В ядре Linux обнаружена критическая уязвимость

remote или local?

В ядре Linux обнаружена критическая уязвимость

Опять?!! Это уже напоминает сериал о падении самолёта Бройлер 747 (калАмбур) в течении сотен серий - постоянно эта хрень и странно если вдруг прекратится.

Уязвимость исправлена по всей видимости в Ubuntu, о других дистрибутивах информации нет. О наличии рабочих эксплоитов пока не известно.

/me устроился на диване с попкорном и с интересом наблюдает за развитием событий

когда ты уже root куда уж дальше поднимать привилегии?

До сотрудника АНБ

> уязвимость можно проэксплуатировать только от учетной записи root.

Прошу пардону, когда ты уже root куда уж дальше поднимать привилегии?

вот такие вот нынче пошли уязвимости — теоретические :-)

Прошу пардону, когда ты уже root куда уж дальше поднимать привилегии?

Как куда? До Божественного рута. В этом режиме ты можешь сделать rm -rf /* и система тебе не скажет, что ты безумец и подлец.

Кудкудах винда ко-ко-ко!

Цуки... У меня как раз L2TP везде, и дома и на работе - провайдер только по нему подключает. Пичалька :(

Поправьте, если ошибаюсь, но реализация l2tp что в ядре и та что предоставляет xl2tpd - две совершенно разные вещи. Вообще, насколько широко ядерное l2tp используется?

В ядре Linux обнаружена критическая уязвимость (CVE-2014-4943), позволяющая поднять свои привилегии в системе.

уязвимость можно проэксплуатировать только от учетной записи root.

Прошу пардону, когда ты уже root куда уж дальше поднимать привилегии?

Эт можно мегарута получить?

Слова вырваны из контекста. Обычная локальная рут уязвимость, но от неё можно закрыться, заблокировав автоматическую загрузку данного модуля ядра, что не позволит провести атаку из юзерспейса. Однако рут может разблокировать модуль обратно, если нужно.

ШЕРЕТО!

У меня нет винды

http://www.linuxforums.org/forum/kernel/172431-division-zero-kernel.html

он может без него работать, но, как правило, задействует

Не путай LPT и L2TP

реализация l2tp что в ядре и та что предоставляет xl2tpd - две совершенно разные вещи

что не мешает второй использовать первую, опционально

забагованный модуль ядра отключить.

это если у тебя интернет не от «Билайна» :)

Поддержка ядерного l2tp исправлена в xl2tpd начиная с релиза 1.3.2. До этого xl2tpd поддерживал ядерный l2tp только с pppol2tp-патчем к ядру 2.6.21/2.6.22.

В большинстве роутеров используется одно из решений, либо xl2tpd с исправленной поддержкой l2tp_ppp, либо xl2tpd < 1.3.2, но с ядром 2.6.21/22 + pppol2tp-патч.

Два чая, за наблюдательность. Нет, действительно, описание просто lol. Даже на мининовость не тянет.

господи, какое же решето

Тебя ещё не забанили?

За что это меня банить?

Linux <--> Оффтоп

сачёк для бабочек )

судя по жирноте твоего комента ты он и есть

И чего я не зашёл на ЛОР перед тем как идти на работу. Теперь буду сидеть тут весь день и опасаться

Если вдруг прекратится? То есть, если вдруг перестанут приходить обновления? Хе-хе. Почему-то это считается концом продукта. ХР например, перестала получать обновления. Там прекратилось. Вы довольны?

То есть, если вдруг перестанут приходить обновления?

Опять эта дураццкая песня «если напишем обновления, которые установятся только при ломке системы, то это уже не баг».

ХР например, перестала получать обновления. Там прекратилось. Вы довольны?

Ты путаешь - всем пофигу, если можно поставить ХР с нужной легальностью, на прекращение обновления - антивирусы обновления получают и регулярно. А в линуксах обновление селинукса не заменяет принудительную смену версий ядер.

Вы конечно сравнили SELinux и антивирусы - это как Божий дар с яичницей. Да и цели у этих продуктов мягко говоря разные.

1. Обновления ставятся как приходят, а не только при ломке системы. Кого, например, успели ломануть через это обновление? 2. Ну вот, даже антивирусы надо обновлять. Вывод - обновления так или иначе нужны. Костыльные, для дополнительной защитной программы (так как нельзя исправить систему) в Винде или непосредственно ядра (поскольку его можно исправлять) в Линуксе, но обновления нужны всем.

И хорошо, что уязвимости находят, и хорошо, что их закрывают. Плохо было бы, если бы их правили в тихую и это в лучшем случае.

Вы конечно сравнили SELinux и антивирусы - это как Божий дар с яичницей. Да и цели у этих продуктов мягко говоря разные.

Если не могут сделать для линукса аналог виндового антивируса, то нужно придумать цель, которая это оправдывает.

1. Обновления ставятся как приходят, а не только при ломке системы.

Где? У опытных виндузятников и линуксоидов автоматическое обновление отключено. Придёт знаешь ли новый сервиспак по диалапу на машину, у которой для него мало оперативки...

Кого, например, успели ломануть через это обновление?

Вопрос к неуловимому Джо.

Ну вот, даже антивирусы надо обновлять.

Обновления баз антивируса - халява по сравнению с обновлением системы: обнаружен баг в виндовс ХР, исправлен в восьмёрке - обновитесь.

И хорошо, что уязвимости находят, и хорошо, что их закрывают.

Также хорошо, как если бы потерянные тобой ключи от квартиры повесили на открытый стенд на базаре и объявили по громкоговорителю, от какой они двери - берите, кто первый добежит. И мастерская рядом, которая выдаёт дубликаты ключей всем желающим.

Он там не нужен, хотя антивирусов пол линукс полно - тот же веб и каспер. Единственный смысл антивируса в линуксе - стоять на каком-нибудь почтовом шлюзе или фтп и вылавливать виндовую заразу.

Да это просто троллинг. Не кормите, плиз.

Уязвимости подвержены все ядра начиная с 2.6.32

Это норма.

Он там не нужен, хотя антивирусов пол линукс полно - тот же веб и каспер. Единственный смысл антивируса в линуксе - стоять на каком-нибудь почтовом шлюзе или фтп и вылавливать виндовую заразу.

Ага - «не нужен»:)))))) А десктоп обновлять ломая систему, это такой садомазокайф наверно. Не путай линукс на сервере с прочими линуксами.

Вот и не тролль и не кормись.

А десктоп обновлять ломая систему

ты сломал систему, ты не такой как все

обычные люди сидят на lts

Да чего уж там - 2.0 наше все.

обычные люди сидят на lts

Странное название у икспишечки с отключенными обновлениями.

Вот дебилы криворукие

Кто о чём, а писюн - о себе

а ты представляешь сколько уязвимостей находят злоумышленники, учитывая открытость исходников?

столько же, сколько не исправляют в закрытых

Закрытые закрытым рознь. Там, где серьёзные разработчики с большими капиталовложениями, ответственно подходят к этому. По-крайней мере, ответственнее чем в сообществах «выходного и продлённого дня», где разработчики не рискуют своим баблом.

серьёзные разработчики с большими капиталовложениями, ответственно подходят

и работать в их компании большая честь

открыты исходники — можно проверить, а так, у них твой похдод, закрыто, дыры никто не найдёт, можно говнокодить

И вообще, это совершенное голословное утверждение, так как неизвестно ни сколько их не исправляют, ни сколько злоумышленники находят в открытых. Единственно, чем может компенсироваться легкодоступность поиска уязвимостей в открытом коде - это меньшая востребованность уязвимостей открытого по среди злоумышленников .

меньшая востребованность уязвимостей открытого по среди злоумышленников

ваще вяло

Иначе смысл использовать открытое по, по крайней мере там, где важна безопасность?

Или ты будешь отрицать, что в открытом коде легче искать уязвимости?

толпе ксакеров за еду пофигу, а превентивно искать и закрывать — проще

Заделывать решето с теоретически неограниченным числом уязвимостей - сизифов труд. Ты можешь тысячу обнаружить и закрыть, а злоумышленник сходу может обнаружить одну, но ту которую ты не обнаружил.

1:1 про закрытый софт