LINUX.ORG.RU

Уязвимости в ядре Linux и нужно ли их хранить в тайне

 , ,


0

0

После анонса 2.6.25.10 релиза стабильной версии ядра, Greg Kroah-Hartman в сопроводительном тексте обратил внимание (http://lkml.org/lkml/2008/7/3/40) на то, что пользователи должны обязательно обновить ядро, не уточнив при этом причину. О том, что данная необходимость связана с устранением многочисленных уязвимостей, стало известно только спустя неделю, после публикации отчетов (http://secunia.com/advisories/31048/) о проблемах безопасности на специализированных ресурсах.

Сделанный акцент на слове «обязательно» породил (http://kerneltrap.org/Linux/Security_...) продолжительную дискуссию на тему, являются ли дефекты, связанные с безопасностью, какими-то особенными, а их исправление – «героическим» поступком.

Свое мнение высказал и Linus Torvalds: «Я рассматриваю ошибки, ведущие к проблемам с безопасностью, как “обычные”. Если они появляются, я не пытаюсь это скрыть, но и не вижу причины раздувать шумиху по этому поводу… На самом деле исправление обычных ошибок является более важной задачей, поскольку их намного больше… Я считаю необходимым просто хорошо делать свою работу и не потворствую тем, кто хочет превратить безопасность в шоу».

По вопросу публикации обнаруженных уязвимостей мнения разработчиков тоже расходятся. Для документации проблем безопасности в начале 2005 года была создана специальная закрытая рассылка (http://kerneltrap.org/node/4540). Но единой точки зрения на проблему необходимости раскрытия всей информации об имеющихся недостатках до сих пор не выработано.

>>> Подробности

anonymous

Проверено: Shaman007 ()

Ответ на: комментарий от Dselect

>Как только доля кретинов, орущих "в Linux нет вирусов", превысит некий предел, вирусы расплодятся -- мама не горюй.

Видел на ЛинуксФоруме опрос "Нужен ли на десктопе файрвол?" Оказывается, в сети полно идиотов, считающих, что линукс настолько крут, что файрвол в нём можно не включать.. О чём после этого говорить?

anonymous
()

Не нужно, а то вон на МС посмотрите, совсем заврались ;)

temy4
()
Ответ на: комментарий от anonymous

>Оказывается, в сети полно идиотов, считающих, что линукс настолько крут, что файрвол в нём можно не включать..

Потом найдутся те, кто будет считать, что linux настолько крут, что на нем можно запускать вирусы из-под рута. :D

anonymous
()
Ответ на: комментарий от anonymous

>>.. Нужно ли ЭТО скрывать (или просто помалкивать в тряпочку)??? ИМХО: Нет!!!!!!!!! Buy (*) (18.07.2008 22:19:32)

ЭТО напоминает кризис в подходе к программированию в стиле "базар" и попытку перехода к стилю "собор", впрочем по фак[!т]у этот переход уже произошел, просто Линус пытается это оформить "юридиски". Горе программе, баги которой надо скрывать, даже временно! тут я вступаю в противоречие с самим собой "Самым разумным оказалось предложение притормаживать инфу в броадкасте до устранения течи, лично я не вижу ереси в таком решении" это означает только одно: противоречие есть и причина его лежит глубже, чем просто архитектура ядра, впрочем эта проблема не решается на уровне софта, ее надо решать путем полной автономизации перефирии компьютера от операционной системы, а понятие "драйвер" надо пересмотреть, избавить от виндозной шелухи, и, наконец, поменять всю архитектуру.

anonymous
()
Ответ на: комментарий от anonymous

>Видел на ЛинуксФоруме опрос "Нужен ли на десктопе файрвол?" Оказывается, в сети полно идиотов, считающих, что линукс настолько крут, что файрвол в нём можно не включать.. О чём после этого говорить? anonymous (*) (18.07.2008 22:46:29)

С тобой говорить не о чем. Вот интересно, как ты в линуксе включал файерволл, хотелось бы это в виде комиксов увидеть, так сказать для "идиотов за 24 часа"

anonymous
()
Ответ на: комментарий от MYMUR

Ну возможно терминологическая путаница :)

Это у нас с ним был давно спор о том, что дерева не достаточно для представления данных. Будут пересечения. То есть - сеть. Возможно дерево - тоже граф (математически, да похоже так и есть). Тогда пусть будет сеть :)

sin_a ★★★★★
()
Ответ на: [offtopic] Про теорию графов. от Dselect

>> "дерева недостаточно для структурирования информации".

> А доказать не затруднит?

Dselect, я нашёл тот тред.

>>> в простой древовидной структуре (кстати, я таки хочу увидеть пример информации, не укладывающейся в оную)

и далее я привожу пример как раз с фото, а далее так-же рассматривается и музыка.

sin_a ★★★★★
()

"Устранение обычных ошибок более важное дело, так как их намного больше. Я не думаю, что какая-нибудь эффектная дыра в безопасности должна считаться особенной по сравнению с ошибкой, ведущей к зависанию системы..."

"...Я думаю, что OpenBSD это стадо мастурбирующих обезьян, которые считают себя важными из-за концентрации на безопасности. Для меня безопасность важна. Но она не более важна чем всё остальное"

В целом сказано совершенно верно! :)

Buy ★★★★★
()
Ответ на: комментарий от sin_a

>>> "дерева недостаточно для структурирования информации".

> А доказать не затруднит?

>Dselect, я нашёл тот тред.

>>> в простой древовидной структуре (кстати, я таки хочу увидеть пример информации, не укладывающейся в оную)

>и далее я привожу пример как раз с фото, а далее так-же рассматривается и музыка. sin_a ***** (*) (18.07.2008 23:41:47)

Эт ничо, что я вмешаюсь в диалог, пОциент Dselect находится на индивидуальном излечении, пенициллин не помогает! Коллеги психопатологоанатомы

anonymous
()
Ответ на: комментарий от anonymous

Былин ребенок отвлек! Пришлось укладывать спать. Дык о чем я, а точно, лечим тут одного звезданутого, Dselect обратитесь в поликлинику по месту работы, Фам требуется срочное спасение остатков моска от полного разложения.

anonymous
()
Ответ на: комментарий от anonymous

>Вот интересно, как ты в линуксе включал файерволл, хотелось бы это в виде комиксов увидеть, так сказать для "идиотов за 24 часа"

OMG Вы не знаете, как в вашем дистре запускаются службы? И вы можете воспринимать такую информацию только в виде комиксов??? Боюсь, ни я, ни официальная медицина тут уже не помогут.. :(

anonymous
()

угу, больше напрягает прецендент. когда Линус "ставит перед факто" СТРАТЕГИЧЕСКОГО изменения механизма ядрописания. причем даже "стилистика" "постановки перед фактом" - типично MicroSoft-овская. знать не столь уж "мало доверяемы", его "знакомые из МикроСофыт", как он гутарит, если доверяемы - МЕНЬШЕ, чем тем, кто пишет иадро. где опенс-сорс, в конце концов ? тоталитарная диктатура Линуса, спившигося в зюзю(позовните его половинке - он ведь тоже его теряет).

anonymous
()
Ответ на: комментарий от anonymous

OMG Вы не знаете, как в вашем дистре запускаются службы? И вы можете воспринимать такую информацию только в виде комиксов??? Боюсь, ни я, ни официальная медицина тут уже не помогут.. :( anonymous (*) (19.07.2008 0:24:55)

ОБАНА! IPTables - службы! Вот это новость! Я в шоке! МИдицина Адыхает! У мене нервенный срыв!

anonymous
()
Ответ на: комментарий от Dselect

>Детей, которые верят в неуязвимость UNIX

Зря воюешь. Почитай переписку. Новости, как обычно, в своем репертуаре - выдернули жареных высказываний и давай писать сообщение.

jackill ★★★★★
()
Ответ на: комментарий от anonymous

>угу, больше напрягает прецендент. когда Линус "ставит перед факто" СТРАТЕГИЧЕСКОГО изменения механизма ядрописания. причем даже "стилистика" "постановки перед фактом" - типично MicroSoft-овская. знать не столь уж "мало доверяемы", его "знакомые из МикроСофыт", как он гутарит, если доверяемы - МЕНЬШЕ, чем тем, кто пишет иадро. где опенс-сорс, в конце концов ? тоталитарная диктатура Линуса, спившигося в зюзю(позовните его половинке - он ведь тоже его теряет). anonymous (*) (19.07.2008 0:30:05)

Согласен по сути, не согласен по существу! (Во! блин заморочил!)

Йа считаю, ик! Пора Линуса отправить на почетную пенсию, и взять свой ЯДРО мозолистой рукой "... и все должны мы неудержимо..." блин, запамятовал! (Просплюсь, вспомню) ... и ващще у нас базар или как?

anonymous
()
Ответ на: комментарий от jackill

>Зря воюешь. Почитай переписку. Новости, как обычно, в своем репертуаре - выдернули жареных высказываний и давай писать сообщение. jackill ***** (*) (19.07.2008 0:40:30)

ДЭЭЭЭЭ! Кто еще думает, что сие существо здря воюет?

А может не зря? А за деньги? Что аргументированного ОНО смогло предоставить?

anonymous
()
Ответ на: комментарий от jackill

Re.........

Можно вопрос?

У меня стоит настроенный gentoo-hardened, настроен iptables. В интернет лажу из под отдельного пользователя, расположенного в разделе с noexec, права на интерпретаторы задавал вручную и интернетовкому пользователю их не запустить. Рут-службы порезаны до нимагу. Можно пробить такую систему (цель будет поиметь секюрные данные пользователя, у которого блокирован доступ к интернету)? И можно ли называть меня дрочащей обезьяной?

lindemidux
()
Ответ на: комментарий от anonymous

Да вот боюсь как бы агенты ФБР не нашли акт спаривания анонимуса с БГ и СБ

lindemidux
()
Ответ на: Re......... от lindemidux

Чувак шифруйся... прийдут руки заломают, загрузятся с LiveCD и ВСЕ твое порно стырят. =)

qsloqs ★★
()
Ответ на: комментарий от anonymous

>IPTables - службы! Вот это новость!

Расслабся, Капитан О, и без тебя всё знаем.. =) Лучше вспомни, что ты просил показать _запуск_ файрвола, а он оформлен в виде запуска соот. службы. Нет, если ты вручную делаешь echo 1 >/proc/sys/net/ipv4/ip_forward, восстанавливаешь правила и прочее, то тогда понятно, но всё же большинство предпочитает /etc/rc.d/iptables start, или просто прописать iptables в автозапуск (сюрпрайз!) служб.

>Я в шоке! МИдицина Адыхает! У мене нервенный срыв!

Логопеды с эвтаназипамом и портативным биореактором уже выехали.

anonymous
()
Ответ на: Re......... от lindemidux

>Можно пробить такую систему (цель будет поиметь секюрные данные пользователя, у которого блокирован доступ к интернету)?

Если в твоём ядре или суидной программе есть уязвимости (а они там всегда есть :)), то взломщик может получить рута и все твои ухищрения пойдут лесом.. Тут надо основной упор делать на минимизации последствий получения взломщиком рута - граммотно настраивать selinux, шифрование использовать. Например, можно через selinux разрешить доступ к секюрным данным и запуск программы-дешифровальщика только защищаемому юзеру.

>В интернет лажу из под отдельного пользователя, расположенного в разделе с noexec

А на /tmp не забыл noexec поставить? А на /var/tmp? ;)

>И можно ли называть меня дрочащей обезьяной?

Ну если любого админа, *серьёзно* следящего за безопасностью, можно назвать дрочащей обезьяной, то да.

AX ★★★★★
()
Ответ на: комментарий от qsloqs

На счет загруpки с LiveCD: не забыли случайно про разделы с шифрованием для монтирования которых нужно ввести ключевую фразу?

anonymous
()
Ответ на: комментарий от AX

>Яволь! Хер майор! Их бин арбайтн! А кокое ведро компилять?

NT-6.0

>Если в твоём ядре или суидной программе есть уязвимости (а они там всегда есть :)), то взломщик может получить рута и все твои ухищрения пойдут лесом.

Ну допустим у меня непатченное ядро 2.6.24 (неправда), там есть уязвимость vmsplice, но она локальная. У меня запущен браузер minefield (firefox) 3.0 SSP+PIE edition играется в noexec песочнице, pppd тоже в noexec песочнице, /tmp - noexec /var/tmp - частично noexec. Допустим есть браузере или pppd критическая дырка запуска произвольного кода, но вопрос: можно ли будет через эту уязвимость воспользоваться vmsplice`ом?

lindemidux
()
Ответ на: комментарий от lindemidux

>Ну допустим у меня непатченное ядро 2.6.24 (неправда), там есть уязвимость vmsplice, но она локальная. У меня запущен браузер minefield (firefox) 3.0 SSP+PIE edition играется в noexec песочнице, pppd тоже в noexec песочнице, /tmp - noexec /var/tmp - частично noexec. Допустим есть браузере или pppd критическая дырка запуска произвольного кода, но вопрос: можно ли будет через эту уязвимость воспользоваться vmsplice`ом? lindemidux (*) (19.07.2008 2:45:39)

Ну вы, барин, задачки задаете, за десять ден мне без помошников не справиться! Мне помощники нужны! Дайте мне Dselect в помочники, без него никак, за десять ден не управимся!

anonymous
()

О боги!.. Это ж надо столько пить...

raxill
()
Ответ на: комментарий от lindemidux

>Допустим есть браузере или pppd критическая дырка запуска произвольного кода, но вопрос: можно ли будет через эту уязвимость воспользоваться vmsplice`ом?

А что тут сложного? Если через дырку в фф или pppd можно запускать произвольный код, то достаточно взять эксплоит для уязвимой программы и вставить в качестве шелл-кода эксплоит ядра..

P.S. Кстати, кроме интерпретаторов надо обязательно запретить ещё одну вещь - gcc.

AX ★★★★★
()
Ответ на: комментарий от Dselect

> Отсутствие вирусов в *NIX основано исключительно на гигиене.

Не на гигиене, а на организационных мерах. Любая безопасность основывается на организационных и технических мерах. Так что

> Как только доля кретинов, орущих "в Linux нет вирусов", превысит некий предел, вирусы расплодятся -- мама не горюй.

4.2 ваше.

А вот если кто-то достаточно безмозглый, чтобы не отличать организационние меры от гигиены (да-да, это вы) пролезет в популярные дистростроители, тогда конечно эпидемия вирусни не за горами.

anonymous
()
Ответ на: комментарий от AX

> А что тут сложного? Если через дырку в фф или pppd можно запускать произвольный код, то достаточно взять эксплоит для уязвимой программы и вставить в качестве шелл-кода эксплоит ядра..

Сложность в том, что все ошибки слишком быстро исправляются.

anonymous
()
Ответ на: комментарий от anonymous

>Сложность в том, что все ошибки слишком быстро исправляются

..после их обнародования. ;))

AX ★★★★★
()

угу и ЕСЛИ обнародования. годами ведь юзают эксплоиты, "дядьки в краснозведных шапках".

anonymous
()
Ответ на: комментарий от Dselect

> Не в один миг. Движение в этом направлении началось достаточно давно (где-то так во времена разработки 2.6), а теперь Линус просто признал очевидный факт.

Мне тоже не нравится превращение линуксового ядра в решето а-ля винда. Жду, когда же сделают дебиан на БСД-шном ядре. Тогда сразу свалю с линукса на БСД-шное ядро.

www_linux_org_ru ★★★★★
()

дык сделали вроде. хочешь - NetBSD, хочешь - OpenBSD дистр. p.s. про FBSD-ветку ни слова(мб и к лучшему).

p.p.s. "на виду" на хомепаге Дебьяна - не лежит, но если поискать ....

anonymous
()
Ответ на: комментарий от anonymous

> >>И вообще, Masturbating Monkey - кодовое название релиза убунту 2010.10.

> писарь, возжигаше! =) зачет!

тока не 10.10 а 10.4

8.10 Intrepid Ibex 9.4 Hacked Hole 9.10 Lazy Linus 10.4 Masturbating Monkey

j они пропустят

GuttaLinux
()
Ответ на: комментарий от sin_a

> Это у нас с ним был давно спор о том, что дерева не достаточно для представления данных.

Подсказка для особо одарённых: любой граф можно представить набором остовных деревьев.

Dselect ★★★
()
Ответ на: комментарий от anonymous

Тут еды нет...

> что аргументированного оно смогло предоставить?

Перевожу на русский язык: "Бууу, как же хочется кого-нибудь взломать! А злой дядько Dselect не даёт эксплоитов, понимаешь! А понять слова 'выполнение произвольного кода' или 'вызов функции по указателю, без проверки, что он не NULL', я не могу. Дайте мне эксплоит, быстро, а то я _очень_ обижусь!"

Dselect ★★★
()
Ответ на: комментарий от jackill

> Почитай переписку.

Читал, и даже обсудить успел (http://www.linux.org.ru/view-message.jsp?msgid=2940439)

> Новости, как обычно, в своем репертуаре - выдернули жареных высказываний и давай писать сообщение.

Мне показалось, что на этот раз с новостями таки всё в порядке -- отфильтровали флейм, и сообщили основной смысл. Можно было ещё короче сказать -- Линусу и Ко плевать на безопасность (что само по себе давно не новость).

Dselect ★★★
()
Ответ на: комментарий от Dselect

>> Это у нас с ним был давно спор о том, что дерева не достаточно для представления данных.

> Подсказка для особо одарённых: любой граф можно представить набором остовных деревьев.

Подсказка для особо одарённых: набор остовных деревьев (больше одного) называется лес.

А лес - это не дерево. А дерево - это не лес.

sin_a ★★★★★
()
Ответ на: комментарий от Dselect

> Линусу и Ко плевать на безопасность

Да. Так несправедлива эта жизнь.

sin_a ★★★★★
()
Ответ на: комментарий от www_linux_org_ru

> Жду, когда же сделают дебиан на БСД-шном ядре. Тогда сразу свалю с линукса на БСД-шное ядро.

Дык, он как бы уже есть, Debian/kfreebsd называется. Но не знаю, как у него с практической применимостью.

gaa ★★
()
Ответ на: комментарий от iZEN

>Прочитал: "Уязвимости в ведре Linux и нужно ли их хранить в тайне"

Первый класс? Пилять! Когда вы уже научитесь читать? Аутизм мешает?

p.s. шоман йа йду с мочным магнитом, чтобы вирвать кинджял с твой зюбы!

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.