Linuх устранял уязвимость 6 лет!

Discussion in 'Мировые новости. Обсуждения.' started by buxmanager, 23 Aug 2010.

  1. buxmanager

    buxmanager Elder - Старейшина

    Joined:
    1 Apr 2009
    Messages:
    611
    Likes Received:
    229
    Reputations:
    69
    Как сообщило издание Network World, неделю назад разработчики операционной системы Linux устранили уязвимость, которая позволяла хакерам выполнять практически любой нужный им код с привилегиями суперпользователя в любом приложении, связанном с графическим интерфейсом.

    [​IMG]

    В своей публикации журналистка этого солидного издания Джули Борт, сообщает о том, что первые сведения о данной уязвимости появились еще в 2004 году и даже в одном из дистрибутивов SUSE были исправлены.

    Однако, по неизвестной причине, исправление так и не получило распространения в других ветвях этого свободно распространяемого программного обеспечения с открытым исходным кодом, и было забыто до тех пор, пока не было обнаружено повторно уже в этом году Рафалем Войтчуком (Rafal Wojtczuk), который занимается исследованиями в области информационной безопасности.

    Стоит отметить, что даже повторное обнаружение уязвимости, потребовало от разработчиков более одного месяца работ, хотя обычно все обнаруженные уязвимости ядра Linux устранялись максимум в течении 30 дней.

    Официальная публикация информации об исправлении уязвимости должна была произойти 1 августа, однако разработчикам ядра пришлось перенести сроки публикации лишь на 13-ое августа. Стоит заметить, по сообщению Джули Борт, что первоначально заявленное Линусом Товалдсом (Linux Torvalds) исправление оказалось неэффективным и разработчикам потребовалось еще несколько дней на его доводку.

    Вместе с тем некоторые издания, в частностиLWN.net в лице его главного редактора Джонатона Корбет (Jonathon Corbet),заявили что не считают данную уязвимость столь критической: “Мне бы хотелось отметить, что подобного рода уязвимость предполагает, что злоумышленник уже скомпрометировал систему в степени, достаточной для локального запуска программного кода; сама по себе эта уязвимость не может дать злоумышленнику доступ к уязвимой системе”, – отмечает Джонатон Корбет.

    23.08.2010
    http://www.newsland.ru/News/Detail/id/549479/cat/69/
     
    1 person likes this.
  2. emomasson

    emomasson Member

    Joined:
    27 Jul 2010
    Messages:
    174
    Likes Received:
    12
    Reputations:
    5
    От прям зеродейксплоит..

    Вообще то во всех начиная с 9 версии...
    решаемо обновлением до ядер 2.6.32.19, 2.6.34.4, 2.6.35.2, или добавлением в /etc/X11/xorg.conf
    -------------режем тут---------
    Section "Extensions"
    Option "MIT-SHM" "disable"
    EndSection
    -------------Енд-------------

    Описание самой атаки http://www.invisiblethingslab.com/resources/misc-2010/xorg-large-memory-attacks.pdf
     
    1 person likes this.
  3. tux

    tux Elder - Старейшина

    Joined:
    26 Mar 2009
    Messages:
    423
    Likes Received:
    231
    Reputations:
    67
    Зачем так трагично? На серверах иксов нет, так что эта уязвимость для пользователей. ;)

    Section "Extensions"
    Option "MIT-SHM" "disable"
    EndSection
    чревато отказом проигрывателя vlc - фильм будет без видео. Лучше обновить ядро.
     
  4. emomasson

    emomasson Member

    Joined:
    27 Jul 2010
    Messages:
    174
    Likes Received:
    12
    Reputations:
    5
    Тут речь скорее идет про тех, кому стоит опасаться атаки... Но.. нет возможности проапдейтится прямо сейчас (дистры с куплетной поддержкой без предоставления девелов, как у того же сусе до 11) .
    + Знаешь сколько народуй впинывают иксы на серваки ;)
     
  5. Андрей021

    Андрей021 New Member

    Joined:
    3 Aug 2009
    Messages:
    13
    Likes Received:
    2
    Reputations:
    1
    радостная новость для виндузятников :)
     
  6. tux

    tux Elder - Старейшина

    Joined:
    26 Mar 2009
    Messages:
    423
    Likes Received:
    231
    Reputations:
    67
    Ну... иксы на сервере чаще всего означают продвинутого подоконника-админа ;) Такой вряд ли вообще что-либо будет читать и патчить... хотя...
    Насчет поддержки - кто мешает собрать ту же ваниль? Или качнуть уже исправленное ядро? Разве что лень... хотя, я может быть чего то не понимаю...
    P.S. А тролли в восторге - это да! :)
     
  7. emomasson

    emomasson Member

    Joined:
    27 Jul 2010
    Messages:
    174
    Likes Received:
    12
    Reputations:
    5
    Ну, не то чтоб не понимаешь, просто не сталкивался видно: Sles 10/11, RHES 5 -- по дефолту ставят мини иксовое окружение, хрен выкосишь.. просто с загрузки убиваю и все.
    По поводу ядер, тоже рама, на страшные серваки надо подсовывать кучу вкусняшек для пропиретарных рейдов, карт, и т.д. и т.п. ентерпрайсе такие експеременты череваты. Да и поддержки можно лишиться.

    Имхо, есть специализация или ты который делает дергает цыски, никсы, скули.... или немец в сусе который эти ядра собирает 10 лет и больше вообще ни чем не занимается -- думаю разница очевидна.


    А тролей бы покормить.. чтоль, а то как то слабо веселятся.
     
Loading...