Многочисленные уязвимости ядер linux

С 2 по 4 - баяны.

>С 2 по 4 - баяны.

Почему ты так считаешь?
на LOR было только про "голубой зуб"

> Ошибки в работе с файловой системой ISO9660 могут привести к DoS или к выполнению произвольного кода

Это же находка для промышленного шпионажа :-))

Линукс, видимо, уже суперстабилен и супернадежен, раз о 4-х уязвимостях говорят "многочисленные". Скоро появится новость: обнаружена многочисленная уязвимость...

Нет, с такими багами Linux супер опасен.

пазерско-пеарная новость!!

И что? Обновляться раз в три часа до нового ядра?

>С 2 по 4 - баяны.

А новость о 2.6.11.6 с исправлением всех этих багов не пропустили...

Ясно. А я view-all.jsp всегда смотрю, когда на ЛОР захожу.

/me только что выкачал 2.4.26-std-up-alt10 (12 Мб) и увидев новость испугался немного, что придется снова что-то качать :))) Но раз удаленных DOS'ов нет, то не так страшно..

Зато теперь эту новость, правда иносказательно выраженную, всё-таки на первую страницу пропустили.

Ох не сдержался, хоть и говорил себе вегда при флейме про нахождение новых дырок забивать на ламмеров, но сейчас не сдержался, уж простите пиво кипит. Во-первых, пока ОС разработывают и внедряют живые, люди а не ангелы с инопланетянами - ВСЕГДА в коде будут ошибки. Критерием их влияния на реальное применение той или иной операционной системы являются три основных фактора: 1. Их реальная опасность, 2. Частота появления, 3. Скорость выпуска решения по устранению уязвимости. Про бая н тут уже писали, но даже если и появляется реальная дырища, то читая про нее в security рассылках, я одновременно читаю и про то, как ее заткнуть. Напоследок, обслуживая сеть в несколько десятков Linux серверов (провайдерская контора), реально приходится подрываться из-за дырок которые могут навредить бизнесу приблизительно раз в четыре месяца, да и то, по большей части виноват софт дырявый а не ядро, а все остальное - так, регулярный секюрити апдейт синего зуба(к примеру) на сервере где он никогда в жизни функционировать не будет.

Ты сюда не ходи, ты к vsu ходи. Он, поди, уже проапдейтил kernel-fix-security.

Целочисленная уязвимость :)

ппц куда смотрит цру?

ЦРУ смотрит ваши файлы. ;)

> Но раз удаленных DOS'ов нет, то не так страшно..

почему нет удалённых уязвимостей ? приносит тебе злоумышленник сидюк с изюминкой, а вечерком получает твои файлы по почте. сидюк несут из другого района, так что уязвимость удалённая. во если-б этот злоумышленник сидюк нарезал на твоём компе, и только потом использовал, вот тогда это и была бы локальная уязвимость :)

>> Но раз удаленных DOS'ов нет, то не так страшно..

>почему нет удалённых уязвимостей ? приносит тебе злоумышленник сидюк с изюминкой, а вечерком получает твои файлы по почте. сидюк несут из другого района, так что уязвимость удалённая. во если-б этот злоумышленник сидюк нарезал на твоём компе, и только потом использовал, вот тогда это и была бы локальная уязвимость :)

Дык в вендовозе например вставил диск, запустился autorun, твои файлы отправлены по почте. И никто это уязвимостью не считает.

в венде это не баг, а фича

с дисками есть вероятность что при таком "взломе" тебе самому его в жопу вставят

угу, причём autorun запускался раньше даже есть система залочена.

давай успокаивай себя

(зевая)Какой ужас... а-а-а. Пойду поплачу в ванной.

Нет безглючных программ кроме hello world... вообще!!! И хорошо что в лялихе ошибки исправляються...

> Нет безглючных программ кроме hello world... вообще!!! И хорошо что в лялихе ошибки исправляються...

плохо, что они там появляются, причем некоторые - даже по нескольку раз...

>/me только что выкачал 2.4.26-std-up-alt10 (12 Мб) и увидев новость испугался немного, что придется снова что-то качать :)))

Ну во первых можно качать не ядро а патчи, получается несколько меньше. Во вторых практически на все из новости можно забить. Поднимите руки у кого на среваках юзверь имеет доступ к ext2, "каллубойзупп" и самостоятельно монтирует сд. Про cdrom понравилось. Чувак который так ломать будет - мазохист. Проще записать на диск какой нить "дружеский" рпм, который сам админ и установит. Тоже мне, уязвимость.

>Но раз удаленных DOS'ов нет, то не так страшно.

Для справки DOS - отказ в обслуживании (не зря же Билли так свою первую операционку обозвал). Для проведении удаленной DOS дыр вообще не нужно. Здесь же пугают повышением полномочий путем локального выполнения.

>Для справки DOS - отказ в обслуживании (не зря же Билли так свою первую операционку обозвал). Для проведении удаленной DOS дыр вообще не нужно. Здесь же пугают повышением полномочий путем локального выполнения.

Для справки MS DOS - Disk OS - Дисковая операционная система.

Я ДОС на дух не переношу, но есть люди, которым он нравится...

> Я ДОС на дух не переношу, но есть люди, которым он нравится...
Это не люди, это извращенцы какие-то.

для справки dos -- dirty os :) это автор ее так назвал а не билли

Если 4 уязвимости это многочисленные уязвимости, то что тогда значит малочисленные уязвимости...

>>> Я ДОС на дух не переношу, но есть люди, которым он нравится...

это Ваши проблемы, а не проблемы людей, которым он нравится.

это значит уязвимостей нет. в некоторых ос это считается нормальным.

Залевский пиарит себя и секуину, на которую работает.

Full disclosure must die адназначна!

Ага, надеятся на запуганных лохов, которые им бабули-були-були понесут. "Сексперты по безопасности" херовы.

РЕШЕТО МЛЯ! МЛЯТСКОЕ РЕШЕТО!

И не лень бурю в стакане разводить?

>это значит уязвимостей нет. в некоторых ос это считается нормальным.

Таких ОС нет в природе и быть не может

>Ты сюда не ходи, ты к vsu ходи.

Дык я этим путем и иду 8)

>Он, поди, уже проапдейтил kernel-fix-security.

А вот тут я что-то не очень понял о чем речь %)

Я понял, что если есть уязвимости, то он их устранит и в updates появится 2.4.26-std-up-alt11, который можно будет скачать всем желающим. Так?

>почему нет удалённых уязвимостей ? приносит тебе злоумышленник сидюк с изюминкой, а вечерком получает твои файлы по почте

Слишком уж маловероятно в моем случае. Ко мне если и приходят, то с винтом. Да и нет у меня таких "друзей", которые бы так поступили 8)

>Ну во первых можно качать не ядро а патчи, получается несколько меньше.

Знаю я это. Но я решил сам больше ядра не собирать! Я доверяю это важное дело ALT Team...

>Во вторых практически на все из новости можно забить.

О чем я и сказал (или попытался), когда сказал про DoS...

Кстати, да. Я не правильно выразился DoS тут не причем. Я имел ввиду конечно же уязвимости, благодаря которым злоумышленник, действую удаленно способен получить какие-либо права на моей машине..

"я х#$@%ею, дорогая редакция..."(с)четырехлетняя девочка

поразительно вовремя на лоре новость поместили. ВСЕМ ГАДАТЬ, КТО И ГДЕ ПЕРЕПУТАЛ ДАТЫ, но ядра с исправлениями вышеуказанных уязвимостей УЖЕ ВЫШЛИ к моменту появления этого бреда на лор. достаточно иметь подписку на ОДНУ рассылку, чтобы не постить новости с проходными маложивущими уязвимостями и не разводить по их поводу флейм.

>Ко мне если и приходят, то с винтом.

ага! вот кто базу центробанка в инете продает!

>ага! вот кто базу центробанка в инете продает!

Не виноватая я! Он сам пришел! (с) :)))))

в каких?

>ВСЕГДА в коде будут ошибки

надо использовать правильные технологии и доказывать код тогда не будет ошибок, впрочем пионерам этого не понять...

потрясающе свежая мысль. ты наверное правая рука стиви балмера и у тебя есть яхта и вила в флориде!

> для справки dos -- dirty os :) это автор ее так назвал а не билли

Для справки ... автор назвал её QDOS -- Quick and Dirty OS ...

Кому нах нужны вилы в тухлой лАмерике? У меня замок в предместье Парижа. А Балмер сам моя правая нога. Так что иди нах со своими предположениями.