Rekord gyorsaságú javítás a Linux-kernelben
2004-02-19T18:21:24+01:00
2004-02-20T12:46:11+01:00
2022-07-27T14:12:57+02:00
  • mert te a 2.4.18 kernelhez kiadott javításokról írsz - a 2.4.17-eshez csak szerdán jelentek meg mind.


    0. A kernel a kernel forrast tartalmazo csomag fix-e jan 6-an kijott az i386-al egyutt.

    1. A 2.4.18 frissebb verzio. Lehet ra frissiteni csomag szinten, ha nem sajat forditasu kerneled van.

    2. Ha sajat forditasu kerneled van, akkor ugyis forditasz, es akkor altalaban a frissebb verziokbol forditasz. Az pedig mar mikor kijott (lasd 0. pont).

    3. A 2.4.17 csak szerdan jott ki az csak a kisgepesekre igaz, es az s390-re. Ezekre irtam is, hogy csak szerdan.

    Ezenkivul a 2.4.17 powerpc-re kijott tegnap. A 2.4.18 mar januarban, tehat lasd 1-2 pontokat.

    A tobbi eheti ertesito nem a CAN-2003-0985 bugra vonatkozik.

    Tehat effektive mindenkinek akit az altalad kifogasolt bug (CAN-2003-0985) igazan veszelyeztetett (folyamatosan internetre csatlakozik a gepe), annak megvolt a frissitesi lehetosege jan. 6-an forrasbol, es binaris csomagbol is januar folyaman. Nem pedig szerdan!
    Mutasd a teljes hozzászólást!
  • Ha már itt tartunk, akkor ebben a formában az sem igaz, amit te írsz, mert te a 2.4.18 kernelhez kiadott javításokról írsz - a 2.4.17-eshez csak szerdán jelentek meg mind. De ez annyira részletkérdés jelen topik lényegi felvetéseivel szemben.
    Mutasd a teljes hozzászólást!
  • Egyébként a Debian a kernel nem-i386 változataihoz csak tegnap adta ki a korábbi mmremap sebezhetőségre is a javítást (nesze neked, rekordidő). Erre figyeltem fel, és ez alapján írtam a cikket. 1:0


    Ez igy ebben a formaban biztos nem igaz, azt nem mondom, hogy hazugsag, mert gondolom utana sem neztel mit irsz:

    DSA413 (jan. 6) volt az i386.
    DSA417-1 (jan. 7) volt a powerpc
    DSA417-2 (jan. 9) volt az alpha
    DSA423 (jan. 15) volt az ia64
    DSA427 (jan. 19) volt a mips+mipsel

    Tegnap(elott)re csak a kezigepes architekturakra es az s390-nel maradt a figyelmeztes. A nagyobb architekturak mar kijottek korabban (kiveve s390). A kezigepes architekturak nem tul veszelyeztettek, mivel ez local exploit. Az s390-re ertelemszeruen ez mar nem annyira igaz, de azt meg nem szoktak kitenni az internetre.

    Ez ertelemszeruen a korabbi mremap-os hibara (CAN-2003-0985) vonatkozik, te is arra mondtad.

    Szoval nem 1:0. Es ha csak ez alapjan irtad a cikket, akkor no comment.
    Mutasd a teljes hozzászólást!
  • Hi.

    De mindig lesz 2 uj emberke, akik elkezdik, es folytatjak majd a vitat.

    Udv.: Ben
    Mutasd a teljes hozzászólást!
  • Gyerekek! Nem unjátok még ezt az egész civakodást Windows vs. Linux témában?
    De.. Nagyon.. Arra szerettem volna már egy másik témában is, meg az előbbi hozzászólásomban is felhívni mindenki figyelmét, hogy egy ilyen vita kialakításához min. két ember kell. Vagyis nem kell sem kezdeményezni sem folytatni, reagálni egy ilyenre.
    Mutasd a teljes hozzászólást!
  • Gyerekek! Nem unjátok még ezt az egész civakodást Windows vs. Linux témában? Miért olyan nehéz elfogadni, hogy mindkettő létezik, mindkettőnek vannak pozitív és negatív tulajdonságai, hogy mindkettő hemzseg a hibáktól? Közhelyekben szólva: A változatosság gyönyörködtet, valamint kinek a pap kinek a papné... Használja és örüljön mindenki annak a rendszernek amit szeret és próbálja meg elfogadni, attól, hogy ő az egyiket szereti, más szeretheti a másikat. És attól nem lesz jó a linux mert én azt használom, ahogy a windows se attól jó mert sokan használják. Elvégre vallásszabadság van vagy mi.
    Mutasd a teljes hozzászólást!
  • És mi van azzal a szokással, hogy folyton a flame-re provokálod a jónépet? Köze nincs az M$-nek ehhez a cikkhez. Figyelj! Nagyon tetszik, ahogy cikket írsz, tartalmilag, stilisztikailag, minden szempontból. A kommentárok elküldése előtt viszont javaslom, alaposan olvasd át mit irsz.. Tudod.. Nem zörög a haraszt..
    Mutasd a teljes hozzászólást!
  • Ha részletesen elolvasod a biztonsági értesítőt, az azt írja, hogy több helyen van hiba (pontosabban nincs visszatérési-kód ellenőrzés; ti. nem a do_munmap a hibás, hanem az, hogy nincs lecsekkolva a visszatérési értéke több helyen - ezek közül az egyik a do_mremap).

    Egyébként a Debian a kernel nem-i386 változataihoz csak tegnap adta ki a korábbi mmremap sebezhetőségre is a javítást (nesze neked, rekordidő). Erre figyeltem fel, és ez alapján írtam a cikket. 1:0
    Mutasd a teljes hozzászólást!
  • Na, szóval. Az azért tényleg "erős" egy kissé, hogy órák alatt elkészül egy javítás (bár nem lehetetlen).
    De kedves Sting. Én elolvastam a cikkedben közölt forrást alaposan. Aztán mégegyszer, aztán mégegyszer. Egyetlen hiba leírásáról van szó, miközben te az írásodban következetesen hibákról beszélsz. Azért ez sem semmi.
    Szóval 1:1
    Mutasd a teljes hozzászólást!
  • Te jöttél azzal a bind hibával, én meg rámutattam hogy zárt forrású cuccokban is simán van többéves hiba. Ennyi.
    Egyébként közöm nincs a Linuxhoz és tudom hogy minden programban van hiba.
    Mutasd a teljes hozzászólást!
  • És? Most ez hogy' jön ide?

    Úgy értem azon a dedós szokáson kívül, hogy amikor a Linux valami negatívumát állapítja meg az ember (vagy egyszerűen csak cáfoja egy pozitívumként beállított dolog valódi, gyakorlati pozitívumságát), akkor egyesek megpróbálnak valami vélt vagy valós negatívumot előrángatni a Windows-ról, "na, az sem jobb!" felkiáltással - csak, hogy lehessen valamit mondani a dologra, és ne tűnjön úgy, hogy igaz: kemény szívás van azzal is. Ez csak mindig azt a kényszerképzetemet erősíti, hogy az illetők nem akarnak tudomást venni arról, hogy a Linux _sem_ biztonságos, a Linux _sem_ jobb (általánosságban, mert kivételek nyilván vannak, ellenoldalon is). Pedig itt pusztán erről van szó.
    Mutasd a teljes hozzászólást!
  • Nem t'om, neked nem a flame megszüntetése lenne a célod?

    Ha már flame:
    Az újonnan felfedezett hibák közül a legkritikusabb a Windows ún ASN.1 könyvtárában rejlik, amit a rendszer számos komponense, köztük a digitális tanúsítványkezelés, valamint a Kerberos és NTLMv2 authentikációs alrendszer is használnak. A gyakorlatilag minden támogatott Windows rendszert érintő sebezhetőség egy puffer-túlcsordulás segítségével tetszőleges műveletek elvégézését teszi lehetővé a foltozatlan gépeken, így a távoli támadóknak teljesen kiszolgáltatva azokat.


    Azért az NT sem mai csirke...
    Mutasd a teljes hozzászólást!
  • Na, pontosítsunk! A hivatkozott oldalon "release date" van, ami "közzététel"-t, és nem "feldezés"-t jelent. Nem mondom azt, hogy valószínű, hogy hónapokkal ezelőtt fedezték fel a hibát, de azt sem tartom reálisnak, hogy a hivatalos foltok órák alatt készüljenek el. Egy gyors házi patch nyilván összedobható ennyi idő alatt, de mivel más hibákhoz is minimum több napos késéssel a felfedezést követően jelennek meg a hivatalos update-ek a disztribúitoroknál, ezért nem logikus feltételezni, hogy most órák alatt összehajították; felelőtlenség is lenne így tenni. Szóval valószínűleg már pár nap, esetleg hét elmúlt a felfedezés és a javítás között.

    Ha a "release date" és a patch kiadása közötti időt vesszük figyelembe, akkor az utolsó kritikus Windows frissítés is rekordidő alatt készült el, mert a Windows Update-em már órákkal az előtt jelezte elérhetőségét, mint hogy a MS - és a felfedező biztonsági cég - honlapján közzétette volna a sebezhetőségről szóló bulletint. Azaz - a te logikádat követve - mondhatnám azt, hogy előbb jött ki a javítás, mint hogy felfedezték volna a hibát. Persze nekem eszem ágában sincs semmi ilyesmit mondani - csak arra akartam rámutatni, hogy a rendelkezésre álló adatok alapján (vagy ha úgy tetszik a megfelelő adatok hiányában) rekord gyorsaságról itt szó sem lehet.

    Az, hogy a sebezhetőség 5 éve benne volt a kernelben, és mivel a forrása is elérhető volt, ezért a hackerek akár már évekkel ezelőtt is jó eséllyel felfedezhették (értsd: jobb eséllyel, mint egy zárt kódú programban), már egy teljesen más lapra tartozik, de nyilván az is megérne egy misét.

    De, hogy a kérdésedre is válaszoljak: nem, nem az a baj, hogy pozitívan beszélsz valamiről, hanem az, hogy az információhiány esetén (pl. nem lehet tudni mikor _fedezték fel_ a hibát) az egyik oldalon az elképzelhető legpozitívabb változatot, míg a másik oldalon az elképzelhető legnegatívabb változatot kezeled tényként.
    Mutasd a teljes hozzászólást!
  • Debianek foltozgattak a 2.2 kerneleket, ugy remlik.
    Mutasd a teljes hozzászólást!
  • Ott, hogy az _ÁLTALAD_ hivatkozott oldalon a bejelentés dátuma _AZONOS_ a javított kernel kibocsátásának a dátumával, egyébként a sztájl-t volt kitől tanulnom... Vagy... csak az a gond, hogy pozitív irányba használtam???
    Mutasd a teljes hozzászólást!
  • Ok. igazad lehet, azonban lassan egy éve, hogy nem frissült a 2.2-es ág, miközben vannak azt érintő hibák, ami miatt át kellene álni a frissebb kernelre. (Én pl. a gresecurity patch miatt hagytam eddig 2.4.24-en a Linux-os gépeimet, viszont lehet, hogy mostanság össze kellene "nézni" a 2.4.25->2.4.25 patch-et, meg a 2.4.24-hez készült grsec kiegészítést...
    Mutasd a teljes hozzászólást!
  • Bocs, de hol is van a rekord? Mert még az sem az, hogy 5 éve ott van benne a bug, hiszen a BIND-ben már találtak évtizedes hibát is.
    Mutasd a teljes hozzászólást!
  • Ez azert nem igy van.

    Rengeteg helyen hasznalnak 2.2-t, mert nem volt szukseg 2.4-re, viszont fontos, hogy ne alljanak.
    Mutasd a teljes hozzászólást!
  • A cikkben hivatkozozott iSEC Security Research : : Vulnerabilities 2004 oldalon:

    Release:
    February 18, 2004

    Synopsis:
    Linux kernel do_mremap VMA limit local privilege escalation vulnerability

    Product:
    Linux kernel 2.2 up to 2.2.25, 2.4 up to 2.4.24, 2.6 up to 2.6.2


    A www.kernel.org-on:

    The latest stable version of the Linux kernel is: 2.6.3 2004-02-18 04:36 UTC

    The latest 2.4 version of the Linux kernel is: 2.4.25 2004-02-18 13:37 UTC

    The latest 2.2 version of the Linux kernel is: 2.2.25 2003-03-17 14:15 UTC

    Namost aki 2.2-es kernelt használ, annak vagy nagyon jó oka van rá (legalább olyan jó oka, mint annak, aki Win95-öt...), vagy a wendózát sem frissítené...
    Mutasd a teljes hozzászólást!
Tetszett amit olvastál? Szeretnél a jövőben is értesülni a hasonló érdekességekről?
abcd