LINUX.ORG.RU

GrSecurity 2.1.0 и проблемы с безопасностью в ядре Linux


0

0

Брэд Спенглер выразил свое сожаление и недоумение политикой принятия исправлений проблем безопасности в ядре Linux. Брэд обнаружил несколько уязвимостей в ядре и выслал их описания и исправления лично Линусу и Андре Мортону. К сожалению, они были проигнорированы.

Брэд полагает, что личное уведомнелие об обнаруженных уязвимостей - привелегия, которой теперь лишились разработчики Linux. Брэд так же сетует на качество кода ядра ветки 2.6.

>>> Подробности

★★★★★
Ответ на: комментарий от jackill

Iz rawhide FC4 vzjal ;-)))? V devel vetke FC4 jadra s *-bk patchami! DON'T USE THEM, IF YOU WANT TO USE THE NVIDIA DRIVER!

A s NVIDIA problema v tom, chto onu -- urodi, a eto ne lechitsa. V dokah jasno napisano, chto nelsa ispolsovat' dlja DMA pamjat', videlennuju vmalloc*, inache ne budut rabotat' phys_to_virt/virt_to_phys. Eti idioti is NVIDIA sdelali vsjo tochno naoborot. Usajut vmalloc* pamjat' dlja DMA (usr/src/nv/nv.c: __get_phys_address() -> makrosi v nv-linux.h) delaja mappping s pomoshju privatnich trjukov v <arch/*/asm*/*>. Nachinaja s *-bk5 <asm*/pg*.h> izmenilis'. Poprobuj sobrat' 2.6.10 s bk patchem i potom nvidia modul iz sirzov. On daje kompilitsa ne budet. Hint: #define pmd_offset(...) v <arch/*/asm*/pgtable.h>.

anonymous
()
Ответ на: комментарий от anonymous

>On daje kompilitsa ne budet. Hint: #define pmd_offset(...) v ><arch/*/asm*/pgtable.h>

Все компилится, у меня покрайней мере:) собралось и работает, только
виснет это ядрышко, лучше взять 2.6.10 от FC3 с AC патчами, с ним
проблем пока не обнаружил...

McMCC ★★★
()
Ответ на: комментарий от McMCC

Кстати, а можно ли трактовать патчи от разных авторов как патчи различного функционального назначения? То есть, на чем специализируются патчи от

AC (Alan Cox) - MM (Andrew Morton) - BK (??? ) -

К примеру, меня интересуют патчи, латающие дыры в безопасности. Можно ли их взять на сайте kernel.org или нужно искать другой ресурс?

sergeil
()
Ответ на: комментарий от anonymous

> BK (??? ) -

> Bit Keeper.

Кстати, этот парень, по имени Bit и по фамилии Keeper, клевый чувак. До сих пор 2.2 поддерживает :)

l0gin
()
Ответ на: комментарий от sergeil

> К примеру, меня интересуют патчи, латающие дыры в безопасности. Можно ли их взять на сайте kernel.org или нужно искать другой ресурс?

Если обнаруживается проблема, связанная с безопасностью, она естественно исправляется, и новая версия ядра появляется на kernel.org. Если ты используешь оригинальное ядро, то именно с этого сайта (или с одного из его зеркал) новое ядро и следует брать. Если же в твоём дистрибутиве ядро Linux модифицировано, то стоит брать новое с сайта дистрибутива.

askh ★★★★
()
Ответ на: комментарий от askh

Я уже несколько лет использую ядра исключтельно стабильные ядра с ftp.kernel.org. Так исторически сложилось.

Между обнаружением уязвимости и выходом следующего ядра достаточно много времени. Хотелось-бы взять латку.

Ходят слухи http://kerneltrap.org/node/4503, что: -ac is NOT a testing branch, it's a stabilization/bugfix branch. (It should even be preferred over the vanilla branch).

На ftp.kernel.org все патчи значатся одинаково и как более эксперементальные, чем ванильное ядро ...

sergeil
()
Ответ на: комментарий от anonymous

>Iz rawhide FC4 vzjal ;-)))? V devel vetke FC4 jadra s *-bk patchami! DON'T USE THEM, IF YOU WANT TO USE THE NVIDIA DRIVER!

Да у меня наоборот все собралось и со времен 2.6.4 заработало как надо...

Есть два патча, после который дрова собираются под 2.6.10.

Щас буду 735 из FC3 смотреть. Но что-то не верю я в него. 724 было ужасное - у меня программы с корами валились при запуске (причем через раз).

P.S. 4McMCC: слушай, а у тебя на FC3 smp-машины нормально програмки собирают? А то двухпроцессорный раритет pII на FC2 жил как надо, а на FC3 пригорюнился - собираю qt - выбивает с illegal instruction. Собираешь под него qt на другой машине, ставишь сборку kde - тоже вылетает. Собираешь под него все, ставишь, выбивает kde на старте. По ssh с smp могу запустить любую прогу, кроме qt-шной. Ничего не понимаю.

jackill ★★★★★
()
Ответ на: комментарий от askh

>Если же в твоём дистрибутиве ядро Linux модифицировано, то стоит брать новое с сайта дистрибутива.

Но если повезет, то наложится или оригинальный патч или в рассылке модифицированный найдется. Потому как ядра все равно как-то не особо бодро обновляются.

jackill ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.