Σημαντικό πρόβλημα ασφαλείας στο Linux θέτει τους χρήστες σε κίνδυνο ακόμη και μετά τη διόρθωσή του

[Seitman]

Για περισσότερο από δύο χρόνια, στο λειτουργικό σύστημα Linux υπήρχε μια ευπάθεια υψηλής σοβαρότητας και κινδύνου που έδινε σε χρήστες με περιορισμένα δικαιώματα σχεδόν απεριόριστη root πρόσβαση στους υπολογιστές, όπως servers που λειτουργούν σε κοινόχρηστες εγκαταστάσεις Web hosting και άλλα ευαίσθητα περιβάλλοντα. Παραδόξως, οι περισσότεροι χρήστες είναι ακόμα εκτεθειμένοι ακόμα και τώρα, παραπάνω από ένα μήνα που οι developers του open source λειτουργικού συστήματος "κυκλοφόρησαν" με αρκετή μυστικοπάθεια μια ενημέρωση που έκλεινε αυτήν την "τρύπα".

Η σοβαρότητα του bug αυτού, το οποίο εντοπίζεται στα perf του kernel του Linux (υποσύστημα μετρητών απόδοσης), δεν ήταν ξεκάθαρη μέχρι την περασμένη Τρίτη, όταν κώδικας για επιθέσεις που εκμεταλλεύονται αυτήν την ευπάθεια έγινε διαθέσιμος στο κοινό. Το νέο αυτό script μπορεί να χρησιμοποιηθεί για ανάληψη ελέγχου servers που λειτουργούν υπό αρκετούς κοινόχρηστους παροχείς Web hosting, όπου δεκάδες ή εκατοντάδες άτομα έχουν λογαριασμούς με περιορισμένα δικαιώματα στον ίδιο υπολογιστή. Hackers που έχουν ήδη περιορισμένη πρόσβαση σε κάποιον υπολογιστή με Linux, "αξιοποιώντας" ένα κενό ασφαλείας του browser ή κάποιας εφαρμογής web, μπορούν να αναβαθμίσουν τα δικαιώματα τους σε root. To σφάλμα αυτό επηρεάζει τους kernels των εκδόσεων 2.6.37 μέχρι 3.8.8 που έχουν γίνει compile με την επιλογή CONFIG_PERF_EVENTS.

Λύση για το πρόβλημα αυτό στον πυρήνα του Linux, κυκλοφόρησε τον περασμένο μήνα. Στην τεκμηρίωση της δεν αναφέρει ότι ο κώδικας διορθώνει ένα σημαντικό πρόβλημα ασφαλείας που θα μπορούσε να θέσει σε κίνδυνο την ασφάλεια οργανισμών με λειτουργικό σύστημα Linux στους υπολογιστές τους σε εξαιρετικά ευαίσθητα περιβάλλοντα. Αυτή η απουσία προειδοποιήσεων σχετικά με την ασφάλεια είναι συνήθης τακτική εδώ και χρόνια μεταξύ του Linus Torvalds και άλλων προγραμματιστών του Linux kernel και έχει κατά καιρούς αποτελέσει αντικείμενο έντονης κριτικής από ορισμένα άτομα που ασχολούνται με την ασφάλεια των υπολογιστικών συστημάτων. Τώρα που η ενημέρωση του κώδικα είναι διαθέσιμη στον kernel, θα αρχίσει να ενσωματώνεται σε όλες τις προβληματικές εκδόσεις "σταθερών" kernels που υπάρχουν στο kernel.org, όπου διατηρεί τον κώδικα της καρδιάς του Linux. Οι μεμονωμένες διανομές αναμένεται να εφαρμόσουν την ενημέρωση στους kernels και να κυκλοφορήσουν ενημερώσεις ασφαλείας μέσα στις επόμενες ημέρες.



Πηγή: ArsTechnica

[sdikr]

Παω για να αγοράσω Popcorn, πολύ Popcorn!!

[nikoslykos]

ναι και τα windows οσες τρυπες και να κλεισουν ακομα υπαρχουν αλλες 500.βρηκαν κατι να μειωσουν τα linux μετα απο τοσο καιρο ουαου

[sdikr]

ναι και τα windows οσες τρυπες και να κλεισουν ακομα υπαρχουν αλλες 500.βρηκαν κατι να μειωσουν τα linux μετα απο τοσο καιρο ουαου

Κλασική απάντηση

είπαμε τα windows Ξέρουμε τι είναι, το Linux όμως με τον ελεύθερο κώδικα και όλα του τα καλά κάνει μια τέτοια πατάτα;
Και δεν είναι η πρώτη

[chrismfz]

[U]To σφάλμα αυτό επηρεάζει τους kernels των εκδόσεων 2.6.37 μέχρι 3.8.8 που έχουν γίνει compile με την επιλογή CONFIG_PERF_EVENTS.
Πηγή: ArsTechnica

Υπάρχουν και τα backports... (βλέπε Redhat και ΣΙΑ) την έφαγαν και άλλοι kernelaδες... Δεν είναι ανάγκη κάποιος να νομίζει πως αν έχει Centos 5 με 2.6.18 πως την έχει γλιτώσει έτσι

[akis1009]

Παω για να αγοράσω Popcorn, πολύ Popcorn!!

Θέλει και καναπέ και 3d γυαλί .

ναι και τα windows οσες τρυπες και να κλεισουν ακομα υπαρχουν αλλες 500.βρηκαν κατι να μειωσουν τα linux μετα απο τοσο καιρο ουαου

Μαααα,στο linux δεν μπορεί μια τρύπα να υπάρχει τόσο καιρό γιατί τον κώδικα τον βλέπουν 20.000 μάτια .....
Και φυσικά τα windows δεν υπερηφανεύονται την ασφάλεια ....

[Artemius]

η περιοδος των πυρκαγιων αρχισε νωρις φετο!

LET THE FLAMES ENGULF EVERYTHING... XD

[Veldrin]

Εντάξει, όσο διάβαζα την είδηση σκεφτόμουν τις πύλες τις κολάσεως να ανοίγουν. Όταν είδα και την απάντηση του sdikr γέλασα σα διάολος.

Έχω αράξει κι εγώ και περιμένω...

[senkradvii]

Πολύ ησυχία βλέπω ακόμα..

Πάντως απ'ότι διαβάζω (μυστικότητες, πάνω από 2 χρόνια μπαλώματος, πρόσβαση στο root) πρέπει να είναι πολυυυυυυυύ μεγάλο το κενό. Υποθέτω τόσο μεγάλο όσο η τρύπα που ψάχνουν μερικοί ιεροκύρηκες των Linux για να κρυφτούν..

[HELL_pegaSOS]

Για περισσότερο από δύο χρόνια, στο λειτουργικό σύστημα Linux υπήρχε μια ευπάθεια υψηλής σοβαρότητας και κινδύνου που έδινε σε χρήστες με περιορισμένα δικαιώματα σχεδόν απεριόριστη root πρόσβαση στους υπολογιστές, όπως servers που λειτουργούν σε κοινόχρηστες εγκαταστάσεις Web hosting και άλλα ευαίσθητα περιβάλλοντα. Παραδόξως, οι περισσότεροι χρήστες είναι ακόμα εκτεθειμένοι ακόμα και τώρα, παραπάνω από ένα μήνα που οι developers του open source λειτουργικού συστήματος "κυκλοφόρησαν" με αρκετή μυστικοπάθεια μια ενημέρωση που έκλεινε αυτήν την "τρύπα".

Οι λέξεις και η φρασεολογία που χρησιμοποιείται θυμίζει φαν των θεωριών συνομωσίας...

Αυτή η απουσία προειδοποιήσεων σχετικά με την ασφάλεια είναι συνήθης τακτική εδώ και χρόνια μεταξύ του Linus Torvalds και άλλων προγραμματιστών του Linux kernel και έχει κατά καιρούς αποτελέσει αντικείμενο έντονης κριτικής από ορισμένα άτομα που ασχολούνται με την ασφάλεια των υπολογιστικών συστημάτων.

"απο ορισμένα άτομα" ?
Δηλαδή οι υπόλοιποι δεν εγκρίνουν ή το αποσιωποιύν?
Πάλι το κείμενο έχει ειρμό θεωρίας συνομωσίας...

Πηγή: ArsTechnica

"Ars Technica" ?


Ολη η αξιοπιστία του site κρεμάσμένη από ένα "e"

- - - Updated - - -

Υγ.
Δεν είμαι ιεροκύρηκας του Linux...
Χρησιμοποιώ Win 8 και XP SP3 αυθεντικά.
Πρόσφατα παιδεύτηκα να συστήσω τα mint σε ένα γνωστό που χε ξεμείνει από σκληρό δίσκο αλλά πέσαμε στην περίτπωση και η Broadcom WiFi κάρτα του εν αναγνωριζόταν (δεν είχε δικό του adsl αλλα του γείτονα οπότε δεν υπήρχεδυνατότητα για κάνουμε ματσακωνιές)
Δυστυχώς μόνο ταινίες μπορεί να δει μέχρι αν του αλλάξουν τον χαλασμένο σκληρό..

[Seitman]

Ε άμα δε σου κάνει η πηγή, μπορείς να δεις εδώ, εδώ και εδώ

[FuS]

Δεν είμαι καθόλου σχετικός (ελάχιστα μόνο) αλλά κάπως τραβηγμένη μου φαίνεται η φρασεολογία.
(τώρα διαβάζω και από αλλού)

Kατα τ' αλλα

Spoiler:

Edit: [ Χμμ, εσείς τι πιστεύετε γιατί τελικά δεν μου φαίνεται καθόλου τραβηγμένο. Ξαναλέω, δεν γνωρίζω πολλά ]

[patch]

για όσους θέλουν να το δούνε αν το έχουν στο kernel

Άμα η εντολή
zgrep CONFIG_PERF_EVENTS /proc/config.gz
βγάζει :
CONFIG_PERF_EVENTS=y

υπάρχει το πρόβλημα

Spoiler:

μόλις τελείωσε το compile και πέρασα κερνελ

Παω για να αγοράσω Popcorn, πολύ Popcorn!!

να δεις εγώ από πότε έχω πάρει σειρά

[DarkSky]

Το είδα προχτές, σε διάφορα box που έχω πρόσβαση (με 2.6.32 - 3.9.x) δεν έπαιξε πάντως..

[biggeo65]

Τρύπα στον kernel του Linux. Ε και τι έγινε; Υπήρχε για δύο χρόνια, και τα δύο αυτά χρόνια δεν ακούστηκε
κάποια σοβαρή παραβίαση ασφαλείας, ή ότι έγινε κάποια "ζημιά" σε συστήματα Linux.

Aπό την στιγμή που έχει να κάνει με κώδικα, λογικό ήταν κάποια στιγμή να συμβεί.
Και ειδικά όταν κάποια πράγματα γίνονται ρουτίνα για τους προγραμματιστές.

Μαθεύτηκε ,έκλεισε η τρύπα , τέλος.

Εδώ το MacOS είχε σλόγκαν σαν το "απαραβίαστο" λειτουργικό κι αποδείχτηκε ότι δεν είναι.
Κι ασχολείται μια συγκεκριμένη ομάδα για την ανάπτυξη του,"κλειστός" κώδικας

Ο Κernel των Windows θυμίζει "χιλιομπαλωμένο" ρούχο με τόσα patch,
και για την ανάπτυξη του ασχολείται συγκεκριμένη ομάδα,"κλειστός" κώδικας

Λογικό είναι ότι κάποια στιγμή θα παρουσιαζόταν και στο Linux και ίσως το ότι άργησε να φανεί,
να οφείλεται στο ότι είναι open source και μπορούσαν πιο εύκολα να αποφύγουν τα λάθη.