Очередная уязвимость в ядре NetBSD, при помощи которой простой пользователь может получить root привилегии.

0

0

Ошибка обнаружена в systrace NetBSD, через которую обычный пользователь может получить привилегии суперпользователя. На момент публикации новости, сервер www.netbsd.org не подавал признаков жизни.

>>> Подробности

Ссылка

←	BadWM 0.07 Released

Novell организует техническую поддержку Linux

→

А почему не Sun-ch? Sun-ch, признавайся, ты эту новость запостил бы? ;)))

dotcoder ★★★★★
(14.05.04 10:09:42 MSD)

Ответ на: комментарий от dotcoder 14.05.04 10:09:42 MSD

У него зрение избирательное, он это не видит в упор :)

Ernesto ★
(14.05.04 10:35:55 MSD)

Ссылка

локальная уязвимость так что не так страшно!

anonymous
(14.05.04 10:42:27 MSD)

Ответ на: комментарий от anonymous 14.05.04 10:42:27 MSD

>локальная уязвимость так что не так страшно!

Это зашёл под анонимусом саныч и ляпнул.. :-))

anonymous
(14.05.04 10:55:46 MSD)

Ссылка

Дэбилы.

netBSD <= 1.6.2: not affected

Fixed: NetBSD-current: Apr 17, 2004

~~Sun-ch~~ ☆
(14.05.04 11:10:24 MSD)

Ответ на: комментарий от Sun-ch 14.05.04 11:10:24 MSD

Ну дык, Integer Oferflow в ядре тоже Linux Kernel <= 2.4.25, а на дворе уже давно 2.4.26, так что?

dotcoder ★★★★★
(14.05.04 11:22:48 MSD)

какой-то слабый у тебя "ответ Чемберлену", это от безысходности что-ли ? аааа, нет, это тя твой ник обязывает :)

W ★★★★★
(14.05.04 11:33:32 MSD)

Ссылка

Ответ на: комментарий от dotcoder 14.05.04 11:22:48 MSD

Да ни чё.

У многих в продакшн <= 2.4.25 и люди сказали спасибо.

А бага в каррент ветке, которую к тому же уже пофиксили еще месяц назад

(имхо) никому сдесь не интересна.

~~Sun-ch~~ ☆
(14.05.04 11:36:37 MSD)

Ответ на: комментарий от dotcoder 14.05.04 11:22:48 MSD

а чего 2.4.х это девелоп-ветка ?

W ★★★★★
(14.05.04 11:37:38 MSD)

Ответ на: комментарий от W 14.05.04 11:37:38 MSD

>а чего 2.4.х это девелоп-ветка ?

А кто сказал, что в стейблах багов не находят?

dotcoder ★★★★★
(14.05.04 11:50:56 MSD)

Ответ на: комментарий от dotcoder 14.05.04 11:50:56 MSD

NetBSD-Current не есть стейбл, разговор ниочем

W ★★★★★
(14.05.04 11:54:20 MSD)

Ссылка

Ответ на: комментарий от dotcoder 14.05.04 11:22:48 MSD

На всякий случай поясню еще раз, для тормозов.

Дыра не в релизе NetBSD, а в текущей development-ветке. То есть это аналогично обнаружению дыры в линухе 2.5.x. Надеюсь, теперь реакция саныча понятна =)

Вот соответствующий кусок из security advisory, для медитации:

NetBSD-current: source prior to Apr 16, 2004

NetBSD 2.0 branch: source prior to Apr 16, 2004

NetBSD 1.6.2: not affected

NetBSD 1.6.1: not affected

...

int19h ★★★★
(14.05.04 11:56:18 MSD)

Ответ на: комментарий от int19h 14.05.04 11:56:18 MSD

Просто знаешь, надоели выпадки разных пиплов в сторону Линукса, ну или тех же БСДей... Нашли одну дыру, все, значит - катастрофа: "Линукс дырявый, конец света, ну и т.п. перл"

dotcoder ★★★★★
(14.05.04 12:03:09 MSD)

Интересно интересно... На СекЛАБе пишут, что и FreeBSD имеет ту же проблему. LOR скрывает уязвимости FreeBSD или СекЛАБа неправильно проинформировали? :)

anonymous
(14.05.04 12:03:55 MSD)

Ответ на: комментарий от dotcoder 14.05.04 12:03:09 MSD

Ну и на вашей улице сегодня праздник :)

В OpenBSD в procfs дыру нашли, бегите скорее тявкать туда, а то все

разойдутся.

~~Sun-ch~~ ☆
(14.05.04 12:06:31 MSD)

Ответ на: комментарий от Sun-ch 14.05.04 12:06:31 MSD

У меня, к счастью, нету такой привычки как у вас, как вы сказали, "тявкать" по поводу найденной дыры, и, возможно, злорадстовать по этому поводу. Люди, которым это нужно, уже давно проинформированны.

P.S. Все, закрываю трэд - такого рода споры не для меня - "я за опенсорс во всех его проявлениях"

dotcoder ★★★★★
(14.05.04 12:17:16 MSD)

Ссылка

Неторопливый релиз-инжиниринг netbsd тут сыграл им на руку, в 1.6.2 дыры _еще_ нет, а в 2.0 _уже_ нет ;-)

А про freebsd: дырка якобы есть в _неофициальном_ порте systrace.

trunk ★
(14.05.04 12:17:22 MSD)

Ссылка

Ответ на: комментарий от Sun-ch 14.05.04 12:06:31 MSD

Саныч, ты не плюй-то на коллектив, а то он утрется и обратно плюнет - утонешь. :) "пряздник", "тявкать", ты видимо не туда попал...

Ernesto ★
(14.05.04 12:21:27 MSD)

Ого... скока придурков на Саныча наехало :-))

anonymous
(14.05.04 12:44:45 MSD)

Ответ на: комментарий от Ernesto 14.05.04 12:21:27 MSD

Что, все уже разошлись?

Я же предупреждал :)

~~Sun-ch~~ ☆
(14.05.04 12:46:26 MSD)

Ссылка

Это доказывает что БЗД такаяже ничем невыдающаяся операционка как ивсе прочие. и бекдоров в ней нет не потому что они невозможны а потомучто о них никому не известно

anonymous
(14.05.04 13:20:13 MSD)

Ответ на: комментарий от anonymous 14.05.04 13:20:13 MSD

было уже

http://www.linux.org.ru/profile/W/view-message.jsp?msgid=315095&anonymous...

W ★★★★★
(14.05.04 13:29:14 MSD)

Ссылка

Ответ на: комментарий от anonymous 14.05.04 12:44:45 MSD

Сдается мне, Саныч тут еще и под ананимусом пишет...

Ernesto ★
(14.05.04 13:36:30 MSD)

Ответ на: комментарий от Sun-ch 14.05.04 11:36:37 MSD

>> У многих в продакшн <= 2.4.25 и люди сказали спасибо.

Дэбил. Бага в ядрах с 2.4.23 по 2.4.25. коих в продакшене мало. те кто гонится за релизами давно сидит на 2.4.26, кто не гонится - на 2.4.19-2.4.21

anonymous
(14.05.04 14:16:12 MSD)

Ссылка

Ответ на: комментарий от Sun-ch 14.05.04 12:06:31 MSD

>В OpenBSD в procfs дыру

Похоже procfs в *BSD это больное место... ...только на моей памяти это 3-я

sS ★★★★★
(14.05.04 14:52:23 MSD)

Ответ на: комментарий от sS 14.05.04 14:52:23 MSD

> На момент публикации новости, сервер www.netbsd.org не подавал признаков жизни.

Видимо кто-то решил по-пользоваться. :)))))

anonymous
(14.05.04 15:19:01 MSD)

Ссылка

Ответ на: комментарий от sS 14.05.04 14:52:23 MSD

Кто бы ее еще пользовал...

CruZ ★
(14.05.04 15:21:04 MSD)

Ссылка

> простой пользователь

Пользовател NetBSD, по своей природе не может быть простым, а только продвинутым ;)

ansi ★★★★
(14.05.04 15:38:18 MSD)

Ответ на: комментарий от ansi 14.05.04 15:38:18 MSD

>> простой пользователь

> Пользовател NetBSD, по своей природе не может быть простым, а только продвинутым ;)

Это такая шутка? Пользователь не может быть продвинутым. Он же пользователь. Он только может более правильно использовать и не больше. :)

А продвинутые - это уже не пользователи.

bzImage ★
(14.05.04 16:31:45 MSD)

Ссылка

Ответ на: комментарий от Ernesto 14.05.04 13:36:30 MSD

однозначно. "себя не похвалишь никто не похвалит". аналогично "других не опустишь - не окажешься выше"

anonymous
(14.05.04 16:55:01 MSD)

Ссылка

Ответ на: комментарий от Sun-ch 14.05.04 11:10:24 MSD

так что всефигня... :-) те кто юзает 1.6.2 могут курить бамбук дальше а тек кто юзает 2-0 и HEAD - скорее всего постоянно обновляются (я например каждую ночь) и тоже фигня :-)))))))))

orb ☆
(14.05.04 17:13:19 MSD)

Ответ на: комментарий от orb 14.05.04 17:13:19 MSD

Мдя, карапузы опять обосрались.

"Сервер не подает признаков жизни..."

Московский сукомолец на лоре :)

~~Sun-ch~~ ☆
(14.05.04 17:21:25 MSD)

Ответ на: комментарий от sS 14.05.04 14:52:23 MSD

>>В OpenBSD в procfs дыру
>
>Похоже procfs в *BSD это больное место... ...только на моей памяти
>это 3-я

Просто в OpenBSD procfs нахрен не нужна. По дефолту вообще не
используется. Этот если у Вас есть программка, которая оттуда
читать чего-нить хочет -- та да, но таких программ я не знаю.

anonymous
(15.05.04 00:27:42 MSD)

Ссылка

Ответ на: комментарий от Sun-ch 14.05.04 17:21:25 MSD

ты кому это сказал?

/me drunk a bit

orb ☆
(15.05.04 02:11:38 MSD)

Ссылка

Ответ на: комментарий от anonymous 14.05.04 12:03:55 MSD

> На СекЛАБе пишут, что и FreeBSD имеет ту же проблему.
Либо дыра не в systrace, либо в СекЛАБе нагло привирают. ВО FREEBSD НЕТ SYSTRACE, в первую очередь из-за того, что systrace имеет неустранимый race condition, заложенный в саму основу дизайна. Интересуюущиеся могут поинтересоваться деталями у товарищей из TrustedBSD...

anonymous
(16.05.04 07:10:36 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	BadWM 0.07 Released

BSD

Novell организует техническую поддержку Linux

→

Похожие темы