mboost-dp1
unknown
#5 -
16. jun. 2004 14:33
Computerworld skriver (hvis det ellers er den samme fejl) at man kan lægge maskiner ned via ftp-adgang. Det er dog sådan at man skal kunne overføre programmet til maskinen, og så eksekvere det der. Det kræver altså en konto på maskinen, og mon ikke ejeren når at logge adgangen før programmet er blevet overført og eksekveret?
Det er selvfølgeligt sygt med ustabile maskiner, men sålænge man ikke kan tiltvinge sig administratorrettigheder er det blot digihærværk.
Det er selvfølgeligt sygt med ustabile maskiner, men sålænge man ikke kan tiltvinge sig administratorrettigheder er det blot digihærværk.
#2
Det har ikke noget at gøre med om en server er fejlkonfigureret eller ej. Fejlen kan udnyttes af alle almindelige brugere, dvs. folk der sælger shells må ha' haft det svært.
Jeg vil gerne vide hvordan man kunne beskytte sig imod det her som shell-udbyder før patchen kom frem (hvilket jo så var nærmest med det samme ;).
Man kan lige så godt indse at der vil blive fundet fejl i alt software før eller siden, så jeg ser ingen grund til at forsvare Linux eller flame dem for det. Dog vil jeg gerne give en ros for den hurtige patch.
#3
Synes også det er en ret uheldig tendens. Windows er modnet meget efter Windows 2k og det ville være mere naturligt at overfalde Microsofts forretningsmetoder (hvilket vil være dumt at gøre her).
Det har ikke noget at gøre med om en server er fejlkonfigureret eller ej. Fejlen kan udnyttes af alle almindelige brugere, dvs. folk der sælger shells må ha' haft det svært.
Jeg vil gerne vide hvordan man kunne beskytte sig imod det her som shell-udbyder før patchen kom frem (hvilket jo så var nærmest med det samme ;).
Man kan lige så godt indse at der vil blive fundet fejl i alt software før eller siden, så jeg ser ingen grund til at forsvare Linux eller flame dem for det. Dog vil jeg gerne give en ros for den hurtige patch.
#3
Synes også det er en ret uheldig tendens. Windows er modnet meget efter Windows 2k og det ville være mere naturligt at overfalde Microsofts forretningsmetoder (hvilket vil være dumt at gøre her).
#7 -
16. jun. 2004 14:54
Hvornår kommer opdateringspakken til kernen? Hveranden måned? Nåh nej, der er jo allerede en lap :-)
Well, hvis jeg skal være ærlig.... som den MS tilhænger jeg er. Så synes jeg efterhånden ikke at linux fanatics er så slemme til at råbe dumme ord mere. Der er naturligvis undtagelser, folk man kan tryne totalt i en diskussion fordi de meget lidt ved om operativsystemer, men som alligevel ikke forstår at de er blevet trynet.
MS laver sgu nogle nice produkter. Emacs er fedt at kode i men jeg foretrækker nu VS.NET. Og så er en licens slet ikke så dyr. Et andet sjovt produkt er MS Virtual PC. Man kan hente en gratis beta version på MS hjemmeside, den fylder ikke ret meget.
MS laver sgu nogle nice produkter. Emacs er fedt at kode i men jeg foretrækker nu VS.NET. Og så er en licens slet ikke så dyr. Et andet sjovt produkt er MS Virtual PC. Man kan hente en gratis beta version på MS hjemmeside, den fylder ikke ret meget.
#6 Gruesome
[Det har ikke noget at gøre med om en server er fejlkonfigureret eller ej. Fejlen kan udnyttes af alle almindelige brugere, dvs. folk der sælger shells må ha' haft det svært.]
Ja dem måske.
Det er nu de færreste udbydere der giver dig shell adgang.
Det var i forbindelse med, FTP og CGI at jeg kalder det fejlkonfigurering, hvis det representere et problem... ;)
[Jeg vil gerne vide hvordan man kunne beskytte sig imod det her som shell-udbyder før patchen kom frem (hvilket jo så var nærmest med det samme ;).]
Det kan de ikke udover ved at man kun kan køre ting som admin har godkendt... ;)
Standard shell kommandoer osv.
[Man kan lige så godt indse at der vil blive fundet fejl i alt software før eller siden, så jeg ser ingen grund til at forsvare Linux eller flame dem for det.]
Nej men det er positivt, at den kun kan rammes "indefra"... ;)
[Dog vil jeg gerne give en ros for den hurtige patch.]
Helt klart... :)
[Det har ikke noget at gøre med om en server er fejlkonfigureret eller ej. Fejlen kan udnyttes af alle almindelige brugere, dvs. folk der sælger shells må ha' haft det svært.]
Ja dem måske.
Det er nu de færreste udbydere der giver dig shell adgang.
Det var i forbindelse med, FTP og CGI at jeg kalder det fejlkonfigurering, hvis det representere et problem... ;)
[Jeg vil gerne vide hvordan man kunne beskytte sig imod det her som shell-udbyder før patchen kom frem (hvilket jo så var nærmest med det samme ;).]
Det kan de ikke udover ved at man kun kan køre ting som admin har godkendt... ;)
Standard shell kommandoer osv.
[Man kan lige så godt indse at der vil blive fundet fejl i alt software før eller siden, så jeg ser ingen grund til at forsvare Linux eller flame dem for det.]
Nej men det er positivt, at den kun kan rammes "indefra"... ;)
[Dog vil jeg gerne give en ros for den hurtige patch.]
Helt klart... :)
#11: Virtuel PC, er et lille program, der gør at du kan emulerer at du kører flere PC'ere på samme maskine. hver PC, kan få sine egne harddiske tilgængelige, og kan køre hver deres OS... Så du kan fx have en WinXP maskine, og skal du så lige lave noget i Linux, åbner du MS Virtual PC, dobbeltklicker på din Linux-Pc, og så starter den en Linuxbox op i en vindue...
Dette gør at laver du et program kan du hurtigt checke om det virker i forskellige OS'er, og forskelligt konfigureret OS'er.
Dette gør at laver du et program kan du hurtigt checke om det virker i forskellige OS'er, og forskelligt konfigureret OS'er.
brug vmware, det kan køre som host på både win/linux, hvorimod VPC kun kan køre som host på win :)
Spøg til side, er det nu meget lidt et MS program, de købte det fra connectix for ikke så langt tid siden. (de er ved at lave en virtual server edition, der skal konkurere med vmwares GSX Server).
-- Edit great kom for sent
Spøg til side, er det nu meget lidt et MS program, de købte det fra connectix for ikke så langt tid siden. (de er ved at lave en virtual server edition, der skal konkurere med vmwares GSX Server).
-- Edit great kom for sent
#8,#11,#12,#13 - Off-topic. Brug privat besked til det.
Den bug i linux kernen, er kerner compilet med -fstack-protector også sårbare overfor crashes? I det mindste er det en forholdsvis harmløs bug - det er et specielt C program, som skal køres af en bruger og som kun crasher systemet.
1) Det er ikke et exploit. Det er et DoS.
2) Hvor mange brugere vil køre det program på et rigtigt system?
3) Administratoren har masser af info i logs = find bruger, slå bruger.
Men alle de "sjove" jokes om linuxupdate bla.bla. så er der meget nemmere måder at få updates til kernen på end en grafisk "holde-i-hånd" metoder. Ftp.kernel.org, hent patch, patch dit source tree, compile, reboot. Enjoy.
Det er kun kernen der skal rebootes ved, har opdateret flere servere uden at skule reboote, højst genstarte et par services, total nede tid? 5 sekunder. Max.
Den bug i linux kernen, er kerner compilet med -fstack-protector også sårbare overfor crashes? I det mindste er det en forholdsvis harmløs bug - det er et specielt C program, som skal køres af en bruger og som kun crasher systemet.
1) Det er ikke et exploit. Det er et DoS.
2) Hvor mange brugere vil køre det program på et rigtigt system?
3) Administratoren har masser af info i logs = find bruger, slå bruger.
Men alle de "sjove" jokes om linuxupdate bla.bla. så er der meget nemmere måder at få updates til kernen på end en grafisk "holde-i-hånd" metoder. Ftp.kernel.org, hent patch, patch dit source tree, compile, reboot. Enjoy.
Det er kun kernen der skal rebootes ved, har opdateret flere servere uden at skule reboote, højst genstarte et par services, total nede tid? 5 sekunder. Max.
#16 - er du træt ? eller er det din normale omgangstone ? Er du klogere end os andre til Linux?
Er der nogen af de Linux-kyndige, der kan afgøre om hullet så er lukket?
Iflg Computerwolds artikel er der en so-so patch:
Med de seneste opdateringer vil programmet stadig kunne køre, men det vil ikke få systemet til at gå helt i stå. Dermed kan programmet lukkes ned igen med en simpel kill-kommando, skriver Linuxreviews.org.
Men på CNet lyder det til hullet er helt lukket. Nogen der kender den præcise status? (Jeg gad ikke spilde tid på at se hvad SlashDot skriver, siden der er sobre artikler andre steder)
Iflg Computerwolds artikel er der en so-so patch:
Med de seneste opdateringer vil programmet stadig kunne køre, men det vil ikke få systemet til at gå helt i stå. Dermed kan programmet lukkes ned igen med en simpel kill-kommando, skriver Linuxreviews.org.
Men på CNet lyder det til hullet er helt lukket. Nogen der kender den præcise status? (Jeg gad ikke spilde tid på at se hvad SlashDot skriver, siden der er sobre artikler andre steder)
#22 Pally
[Er der nogen af de Linux-kyndige, der kan afgøre om hullet så er lukket?]
Vil give dig min indsigt, for hvad den er værd... ;)
[iflg Computerwolds artikel er der en so-so patch:
Med de seneste opdateringer vil programmet stadig kunne køre, men det vil ikke få systemet til at gå helt i stå. Dermed kan programmet lukkes ned igen med en simpel kill-kommando, skriver Linuxreviews.org.]
Programmet/exploid'en vil stadig kunne køres, men vil ikke kunne udrette en skid.
Udover at bruge den lille mængde ram, den lille kodestump måtte forbruge.
Eller jo måske få systemet til at spytte fejlmeddelelser i loggen eller konsollen hvor den forsøges kørt.
Og SELVFØLGELIG kan det afsluttet med en kill kommando.
Sådan nakker man også Sasser og Blaster på Windows.
Taskmanageren / renseværktøjet sender begge en "sigkill", til kernen om at dræbe de pågældende processer.
Præcis som kill kommandoen på et UNIX system.
[Men på CNet lyder det til hullet er helt lukket. Nogen der kender den præcise status? (Jeg gad ikke spilde tid på at se hvad SlashDot skriver, siden der er sobre artikler andre steder)]
Den er også helt lukket.
Har snakket med en del, der har testet kerner op til 2.6.7.
Og i den er det rettet, ligesom de tidligere, kan være imune med visse patchsets.
Jeg har skimmet changelog'en igennem, men ved ikke hvad jeg skal kigge efter... ;)
[Er der nogen af de Linux-kyndige, der kan afgøre om hullet så er lukket?]
Vil give dig min indsigt, for hvad den er værd... ;)
[iflg Computerwolds artikel er der en so-so patch:
Med de seneste opdateringer vil programmet stadig kunne køre, men det vil ikke få systemet til at gå helt i stå. Dermed kan programmet lukkes ned igen med en simpel kill-kommando, skriver Linuxreviews.org.]
Programmet/exploid'en vil stadig kunne køres, men vil ikke kunne udrette en skid.
Udover at bruge den lille mængde ram, den lille kodestump måtte forbruge.
Eller jo måske få systemet til at spytte fejlmeddelelser i loggen eller konsollen hvor den forsøges kørt.
Og SELVFØLGELIG kan det afsluttet med en kill kommando.
Sådan nakker man også Sasser og Blaster på Windows.
Taskmanageren / renseværktøjet sender begge en "sigkill", til kernen om at dræbe de pågældende processer.
Præcis som kill kommandoen på et UNIX system.
[Men på CNet lyder det til hullet er helt lukket. Nogen der kender den præcise status? (Jeg gad ikke spilde tid på at se hvad SlashDot skriver, siden der er sobre artikler andre steder)]
Den er også helt lukket.
Har snakket med en del, der har testet kerner op til 2.6.7.
Og i den er det rettet, ligesom de tidligere, kan være imune med visse patchsets.
Jeg har skimmet changelog'en igennem, men ved ikke hvad jeg skal kigge efter... ;)
#22,#24 - Den er helt lukket, den hedder FP exception bug, og blev fikset i BK patches for et par dage siden. Fra kernel mailling listen:
"Ok, it's out there. The most notable change may be the one-liner that
should fix the embarrassing FP exception problem. Other than that, we've
had a random collection of fixes and updates since rc3. cifs, ntfs,
cpufreq. ide, sparc, s390.
Full 2.6.6->2.6.7 changelog available at the same places the release is.
Linus"
"Ok, it's out there. The most notable change may be the one-liner that
should fix the embarrassing FP exception problem. Other than that, we've
had a random collection of fixes and updates since rc3. cifs, ntfs,
cpufreq. ide, sparc, s390.
Full 2.6.6->2.6.7 changelog available at the same places the release is.
Linus"
Det er da lidt af en overdrivelse at kalde dette hul for kritisk. For langt de fleste brugere har et lokalt DoS angreb ikke nogen betydning. Selvfølgelig kan det være et problem hvis man tilbyder shell accounts til personer man ikke stoler på. Men hvor mange gør det?
Har man lokal adgang er der mange andre ubehagelige ting man kan gøre som f.eks. at bruge alle systemets resourcer. (RAM, diskplads, CPUtid).
Har man lokal adgang er der mange andre ubehagelige ting man kan gøre som f.eks. at bruge alle systemets resourcer. (RAM, diskplads, CPUtid).
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund