Σημαντικό πρόβλημα ασφαλείας στο Linux θέτει τους χρήστες σε κίνδυνο ακόμη και μετά τη διόρθωσή του

[dpa2006]

περιεργο δημοιευμα...
κατα ποσο αξιοπιοστη και γνωστη στον χωρο είναι η πηγη...;

[chrismfz]

Το γελοίο είναι πως βρήκαν πάτημα οι τρολ-λιαστες ντομάτες και μας τα έχουν κάνει κυδώνια χωρίς να ξέρουν καν γιατί.

Κάποιος να πει λίγο στις λιαστές ντομάτες να ηρεμήσουν πως αν εχεις ενα ubuntu / fedora / arch / gentoo σπιτάκι σου για να σερφάρεις δεν έχεις πρόβλημα.
Δεν είναι Point n click 'η ...αυτόματο exploit στυλ (oops) windows. Δεν θα μπω youporn και ξαφνικά θα μου πάρουν root.


Πρόβλημα έχουν όσοι δίνουν user access. Πανεπιστήμια, web hosting servers, εταιρίες κ.ο.κ.

Πρόβλημα θα έχει κάποιος από αυτούς εφόσον έχει compilers ενεργούς για τους απλούς χρήστες... (ώστε να κάνουν το exploit που μόλις ανέβασαν compile)
(ανέφερα πως 32bit by the way δεν έχει πρόβλημα

Το πρόβλημα χοντραίνει τελικά όταν θα σκάσει το exploit compiled και τρέξει.
Εφόσον ο kernel είναι τρύπιος, ας πάει το τρολλ να τρολλαρει τον Koukos Host A.E. που δεν ήξερε που πήγαιναν τα 5.

Γιατί σαν "σοβαρή" επιχείρηση / web hoster / πανεπιστήμιο που σέβεται τον εαυτό του
αν δεν έχεις ένα Grsecurity patch να σε προστατεύει δουλειά δεν γίνετε.

Compiled και tested με grsecurity το exploit σκάει δίνοντας αντί για root κάτι άλλο

[nnn]

Πάλι χάθηκε το νόημα της είδησης.

Για ψαχτείτε λίγο πόσα εκατομμύρια συσκευές τρέχουν linux πυρήνα, ναι και το modem σας για να μην πω το κινητό σας.

Και όλοι ξέρουμε πόσο σύντομα αναβαθμίζεται (never) το λογισμικό αυτών των συσκευών, άρα patch γιοκ άρα η τρύπα παραμένει.

keep fighting over which platform is secure

[Ntalton]

Το γελοίο είναι πως βρήκαν πάτημα οι τρολ-λιαστες ντομάτες και μας τα έχουν κάνει κυδώνια χωρίς να ξέρουν καν γιατί.

Κάποιος να πει λίγο στις λιαστές ντομάτες να ηρεμήσουν πως αν εχεις ενα ubuntu / fedora / arch / gentoo σπιτάκι σου για να σερφάρεις δεν έχεις πρόβλημα.
Δεν είναι Point n click 'η ...αυτόματο exploit στυλ (oops) windows. Δεν θα μπω youporn και ξαφνικά θα μου πάρουν root.


Πρόβλημα έχουν όσοι δίνουν user access. Πανεπιστήμια, web hosting servers, εταιρίες κ.ο.κ.

Πρόβλημα θα έχει κάποιος από αυτούς εφόσον έχει compilers ενεργούς για τους απλούς χρήστες... (ώστε να κάνουν το exploit που μόλις ανέβασαν compile)
(ανέφερα πως 32bit by the way δεν έχει πρόβλημα

Το πρόβλημα χοντραίνει τελικά όταν θα σκάσει το exploit compiled και τρέξει.
Εφόσον ο kernel είναι τρύπιος, ας πάει το τρολλ να τρολλαρει τον Koukos Host A.E. που δεν ήξερε που πήγαιναν τα 5.

Γιατί σαν "σοβαρή" επιχείρηση / web hoster / πανεπιστήμιο που σέβεται τον εαυτό του
αν δεν έχεις ένα Grsecurity patch να σε προστατεύει δουλειά δεν γίνετε.

Compiled και tested με grsecurity το exploit σκάει δίνοντας αντί για root κάτι άλλο

Ακριβως αυτο.

[anon]

Πάλι χάθηκε το νόημα της είδησης.

Για ψαχτείτε λίγο πόσα εκατομμύρια συσκευές τρέχουν linux πυρήνα, ναι και το modem σας για να μην πω το κινητό σας.

Και όλοι ξέρουμε πόσο σύντομα αναβαθμίζεται (never) το λογισμικό αυτών των συσκευών, άρα patch γιοκ άρα η τρύπα παραμένει.

keep fighting over which platform is secure

Χάθηκε το νόημα απο πολλούς μου φαίνεται. Οτι και να τρέχεις, για να μπορέσει να γίνει exploited πρέπει να υπάρχουν οι εξής παράμετροι:
1) Να χει το bug η εγκατάσταση
2) Να υπάρχει user access
3) Nα υπάρχει δυνατότητα να κάνει compile ο user.

Πόσα ρουτεράκια ξέρετε στα οποία ισχύει το παραπάνω; Ποσες embedded συσκευές με linux; Που να δίνουν user access έτσι τυφλα ΚΑΙ να έχουν δυνατότητα compiling; Χμμμμμ, μάλλον χάσαμε το νόημα... Χώρια που απο ότι διάβασα το πρόβλημα υφίσταται μόνο σε X86_64 αρχιτεκτονική, όχι σε i386, και φυσικά μένει να δούμε εαν υφίσταται σε άλλες αρχιτεκτονικές, πχ ARM, PowerPC και πάει λέγοντας.

Σίγουρα δεν είναι ότι καλύτερο μόνο και μόνο το γεγονός ότι υπάρχει τέτοιο bug και μάλιστα τόσο καιρό. Αλλά η κρισιμότητα του κάθε bug έχει να κάνει με το πόσο πραγματικά μπορεί να γίνει exploited σε πραγματικές συνθήκες.

[giorgosts]

Πάντως από βλάσφημες λέξεις δεν τσιγκουνεύονται στον κώδικα του linux
http://fucksheep.org/~sd/warez/semtex.c
http://www.vidarholen.net/contents/wordcount/

[frap]

Πόσες από τις εκατομμύρια συσκευές που τρέχουν linux kernel (modems, κινητά, set-top boxes, wifi access points) να έχουν public shell access άραγε και επίσης να διαθέτουν άπλετη μνήμη ώστε ο kernel να είναι compiled με ενεργά perf events και όχι με τα απολύτως απαραίτητα...

Μη φέρνετε την καταστροφή.

Ένα bug είναι που υπάρχει στις εκδόσεις πυρήνα που αναφέρθηκαν και τυχαίνει να είναι exploitable για privilege escallation. Ένα public exploit βγήκε, κι αυτό δε μπορεί να εκμεταλλευτεί το bug σε κάθε εγκατάσταση ακόμη κι αν η έκδοση kernel που τρέχει έχει το πρόβλημα (μάλλον χρειάζεται καλύτερο exploit...).

Το bug διορθώθηκε από τον 3.8.9 (ή .10) και μετά. H Fedora 17 μου έχει > 15 μέρες θαρρώ που την έβαλε στο repository και τώρα βρίσκεται στην 3.8.12

edit: με πρόλαβε ο anon.

[nnn]

Αρκετά routers έχουν shell access αν πάρεις πρόσβαση σε αυτά, το ότι δεν έγινε exploit της τρύπας, που είναι τρυπάρα, δεν σημαίνει πως δεν θα μπορούσε να δημιουργήσει σοβαρά προβλήματα.

Είναι γνωστό πως τίποτα δεν είναι 100% ασφαλές.

[biggeo65]

Πάλι χάθηκε το νόημα της είδησης.

Για ψαχτείτε λίγο πόσα εκατομμύρια συσκευές τρέχουν linux πυρήνα, ναι και το modem σας για να μην πω το κινητό σας.

Και όλοι ξέρουμε πόσο σύντομα αναβαθμίζεται (never) το λογισμικό αυτών των συσκευών, άρα patch γιοκ άρα η τρύπα παραμένει.

keep fighting over which platform is secure

Kαι αν παραμένει η τρύπα τι; Έχεις ακούσει να έχει κάνει "ζημια" το exploit,σε συσκευές ή υπηρεσίες;

Κι αν υπάρχει σε mobiles κλπ. σίγουρα θα βγει κι εκεί αναβάθμιση κάποια στιγμή.

Πόσα εκατομύρια συσκευές έχουν windows,και παρά την μηνιαία αναβάθμιση,
συνεχίζει να παραμένει τρύπιο. Εκεί είναι λιγότερος ο κίνδυνος;

[nnn]

Με είδες εμένα να γράφω κάτι για λειτουργικό ή να είμαι Win ή Linux fanboy ?

[biggeo65]

Με είδες εμένα να γράφω κάτι για λειτουργικό ή να είμαι Win ή Linux fanboy ?

Είδες εμένα να γράφω ότι είσαι fanboy; Aπλά απάντησα ότι θεωρείς μέγιστο θέμα την "τρύπα",
η οποία "τρύπα" αν και υπάρχει δύο χρόνια δεν ακούστηκε να έκανε κάπου σοβαρή ζημιά.
Βγήκε το patch, έκλεισε η τρύπα, και τέλος.

[frap]

Αρκετά routers έχουν shell access αν πάρεις πρόσβαση σε αυτά,

Μα, αν πάρεις shell σε αυτά είσαι ήδη root, ή τέλος πάντων μπορείς να κάνεις ήδη σχεδόν ότι θα μπορούσε να κάνει ο root.

Και τέλος πάντων, στην περίπτωση που περιγράφεις, το βασικό πρόβλημά σου θα ήταν ότι κάποιος απέκτησε shell access στον εξοπλισμό σου ενώ ΔΕΝ θα έπρεπε, όχι το ότι αφού μπήκε μέσα, βρήκε και ένα exploit να τρέξει. Και αυτό το βασικό πρόβλημα είναι κυρίως "δική" σου (το όποιου διαχειριστή/χρήστη δλδ) ευθύνη.

Γενικεύεις χωρίς ιδιαίτερο αντίκρυσμα και καταλήγεις να υπερβάλλεις.

[nnn]

Να σου θυμίσω ένα θέμα που είχα ανεβάσει με το πόσα μηχανήματα μένουν με default credentials και ανοικτή πρόσβαση ?

Μην το βλέπεις από την δική σου σκοπιά ή του λίγο γνώστη που καταλαβαίνει, εκεί έξω είναι μια ζούγκλα με αδαείς χρήστες που μπορεί να κινδυνεύουν.

[sdikr]

Να σου θυμίσω ένα θέμα που είχα ανεβάσει με το πόσα μηχανήματα μένουν με default credentials και ανοικτή πρόσβαση ?

Μην το βλέπεις από την δική σου σκοπιά ή του λίγο γνώστη που καταλαβαίνει, εκεί έξω είναι μια ζούγκλα με αδαείς χρήστες που μπορεί να κινδυνεύουν.

Το χειρότερο είναι οτι επειδή πιστεύουν ότι είναι απαραβίαστο δεν προσέχουν καθόλου,
Όπως ακόμα το ότι τα κρύβουν κάτω απο το χαλάκι

[Seitman]

Να κάνω μια ερώτηση;;;
Αυτά τα δύο χρόνια άκουσε κανείς κάτι σχετικό από τους devs του κέρνελου; Και αν το ήξεραν, γιατί δεν είπαν κάτι;

Edit: [ Γμτ, πάλι με πρόλαβε το bot ]