mboost-dp1

unknown

Sårbarhed opdaget i Linux-kernen

- Via Computerworld DK - , redigeret af Net_Srak

Der er fundet to fejl i Linux-kernen, hvoraf den ene gør det muligt at skabe en situation, hvor det er muligt for en bruger at give sig selv flere rettigheder.

Fejlen berører både 2,4 og 2,6 versionen af Linux-kernen, men fejlrettelser er allerede stillet til rådighed, de kan hentes hos kernel.org.

Den ene fejl findes i “mremap()” som benyttes til at håndtere den virtuelle hukommelse, den anden i “/dev/rtc”. For begge fejl gælder dog, at de ikke er nemme at udnytte.





Gå til bund
Gravatar #1 - The_Menace
7. jan. 2004 13:34
ingen religionskrig tak

synes der kommer flere og flere sikkerhedshuller, gad vide hvor mange der er ellers i diverse OS'er.
Gravatar #2 - [email protected]
7. jan. 2004 13:34
"For begge fejl gælder dog, at de ikke er nemme at udnytte."

Det er heller ikke nemt at skulle lære at cykle på 2 hjul for aller første gang... Men når man har prøvet det et par gange bliver det lettere.

Det samme gælder vel for denne fejl...?
Gravatar #3 - Disky
7. jan. 2004 13:43
Der er stor forskel på om alle kan udnytte et sikkerhedshul, eller kun dem der i forvejen har shell adgang til maskinen.
Gravatar #4 - Deternal
7. jan. 2004 13:48
#2: Tjeah nu vil jeg da håbe at de fleste maskiner generelt er sat op således at det ikke er alle og enhver der kan få lokal adgang :)

#3: Ja det tænkte jeg også på da CW skrev lokaladgang - at det må være nok at have en shell på boxen altså - men har ikke haft tid til at undersøge det. RedHat havde iøvrigt updaten ude igår aftes, så må siges der har været dejlig lav responstid generelt på dette hul.
Gravatar #5 - Lobais
7. jan. 2004 13:57
Det er rat med opensource, med m$ ville det have taget mindst en uge før opdateringen kom.

#1 Nu er der jo også mange flere der leder efter huller til linux end...
Gravatar #6 - OPY
7. jan. 2004 14:08
Lobais, du er da en røv,
Ingen krig, du ved hvad det ender i jo...

Men helt sikkert god response tid, dejligt.
/opy
Gravatar #7 - sKIDROw
7. jan. 2004 14:11
Arhhh...
Skal hjem om patche - Ohhh well... :)

#5

Så så ikke drille!...
Gravatar #8 - garfield
7. jan. 2004 14:39
Som en service til alle Gentoo brugere, så er det løst fra:
gentoo-sources-2.4.20-r10
gentoo-sources-2.4.22-r3
gentoo-dev-sources-2.6.1_rc1

Og så indeholder kernel 2.4.24 også rettelserne som næsten de eneste ændringer i forhold til 2.4.22.
---Edit---
Er det kun i min browser der er noget der ikke helt ser ud som det skal i dette indlæg?
Gravatar #9 - kiwi
7. jan. 2004 14:45
#8

g
entoo-dev-sources-2.6.1_rc1

Vist et linieskift for meget :)
Gravatar #10 - garfield
7. jan. 2004 14:49
#10:

Det er det jeg hentyder til, men ikke om jeg kan gøre noget ved det.

Må være en fejl i Eclipze. Go HMN!
Gravatar #11 - annoia
7. jan. 2004 15:06
For helvede, nu er der fundet et hul i hver linuxkerne fra 2.4.21... Samtlige huller nogen der ligger og hænger i hele træet, tilbage til 2.4.0 (den her åbenbart 2.2.x med?). Pænt belastende!
Gravatar #12 - OsteManden
7. jan. 2004 15:12
Uanset hvad, så er det helt uacceptabel at den først er opdaget nu. Vi hører altid den med mange miliadermillioner folk kigger koden, de må jo alle være medlem af dansk blinde samfund eller sådan noget for at kunne overse sådan noget så læææænge!
Gravatar #13 - athlon
7. jan. 2004 15:30
Mennesket er ikke perfekt, og det er derfor ikke muligt for mennesker at lave noget der er perfekt.
Derfor er der naturligvis også fejl i Linux, sikkert også nogle man endnu ikke har opdaget endnu...

#12: Hvorfor har du ikke selv opdaget den???
Gravatar #14 - CableCat
7. jan. 2004 16:00
Det er også lang tid side der sidst var en updatering til debian.

det er så trist at køre "sudo dselect update;sudo apt-get upgrade" også der ikke er noget at updatere.
Gravatar #15 - hatt
7. jan. 2004 16:04
#12
Find fejlen selv i stedet for at brokke dig over andres arbejde ?

#14
Kører du en stable?
Jeg har da fået updates ind af døren, hver dag, de sidste 3-4 dage med en unstable...eller testing...argh..den i midten :)

Edit: hmm... Indlæg #6, 9 og 14 står alle som "Neutral", men brødteksten er vippet væk, som var de moddet ned :?
Gravatar #16 - myplacedk
7. jan. 2004 16:12
#15 "unstable...eller testing...argh..den i midten :)"
Det burde være nemt nok at huske. Når det er testet, og det har vist sig at være godt nok til at fortsætte, er det så unstable? Nope, når man ikke oplever flere fejl, er det nærmere stable. :)

En huskeregel mere: Der er ingen grund til at teste noget, hvis man ved, det er unstable. Når man tror det ikke længere er unstable, så er det tid til at teste.
Gravatar #17 - C#
7. jan. 2004 16:24
#15 er det personer du har ignored tidligere?
(står nederst på profil siden)
Gravatar #18 - garfield
7. jan. 2004 16:56
Angåede de indlæg der er foldet sammen, så burde det være pga. den karma som forfatteren har, medmindre det er en man ignorerer eller indlægget har en dårlig rating. Man kan indstille hvor god karma forfatteren til et indlæg skal have for at man ser det i sin profil.

Sætter man karma til uheldig bliver #10 vist, mens #6 først bliver vist når man sætter den til uheldig.
Gravatar #19 - SilverWolf
7. jan. 2004 18:40
Hmm. Så det på tide at få smidt 2.4.24 ind.
Gravatar #20 - Hekatombe
7. jan. 2004 18:42
#11, fejlen er ikke i 2.2.X kernel, dog blev det rapporteret, ved en fejl, at 2.2.X også var sårbar. læs evt. her
Gravatar #21 - HarryV
7. jan. 2004 19:29
#12, Hvorfor fandt du den ikke først?
I øvrigt, så burde du ikke "joke" med blinde. Du kunne rent faktisk risikere at såre personer. Well. bare min mening .. min mening om "generel takt og tone"..
Gravatar #22 - Acro
7. jan. 2004 19:56
#21 HarryV:
Hvem bør man så, ifølge dig, lave sjov med?

Er det ikke langt mere chikanerende i henhold til almindelig takt og tone, ved at gøre forskel på en enkelt minoritet - og i såfald, hvorfor skulle man ikke kunne lave sjov med blinde, som med alle andre?!
Gravatar #23 - sunlock.dk
7. jan. 2004 20:43
Det vigtige er da at det blev opdaget. Om man selv skal (dooh, kernel hacking...) eller om et eller andet geni fra Finland (eller hvor de nu kommer fra :) så er det opdaget, og rettet.
Gravatar #24 - ECFE11
7. jan. 2004 21:39
12-> måske, men det er sku ikke ligefrem en pixi bog vi skal kikke igennem for stavefejl...

Selv ,amge af de store (hvis ikke alle) Mainframe unix'es har mange mange fejl tilbage.. Og nogle leverandører har enddag meldt ud at de har opgivet at rette alt, fordi det er meget omfattende. Noget så komplekst der konstant ændres, kan jo ikke forblive perfekt (ellers bliver det jo bare forældet, når intet nyt tilføjes), men hvis dette er sådan et stort problem for dig, fåreslår jeg at du selv begynder at læse al kildekode til igennem, for så må det jo være gjort ordenligt, ik?

/Kunisch
Gravatar #25 - annoia
7. jan. 2004 21:52
#21 - Man kan ikke være så følsom for alting. Der må være en grænse for for politisk korrekt man skal være!
Gravatar #26 - nightsoft
7. jan. 2004 22:09
Jeg syntes bare at det er fedt at der er nogen der gider at bruge deres fritid (ja selvfølgelig også nogle på jobs), til at finde disse fejl og rette dem.

Som sagt før, der findes ingen perfekte mennekser, og selvfølgelig er Linux koden ikke perfekt. Men god det syntes jeg at den er, og det samme for meget af Windows's.. Dog er jeg ikke så vild med at skulle skjule sin kode. Men har dog også en formodning om hvorfor de gør det.

Jeg er glad så længe at de ting som jeg skal bruge, virker.. for det meste, hvis det virkede hele tiden, ville jeg være arbejdsløs. :-)
Bare min mening.!
Gravatar #27 - Klumpen
8. jan. 2004 01:02
#25 >> Nemlig og desuden, hvordan dælen skulle en blind kunne læse hans indlæg? :D
Gravatar #28 - Vejby
8. jan. 2004 07:25
#21 Ja ja rolig nu...
"Hvad er det der sidder i et hjørne og bliver mindre og mindre?"
Svar: "En spasser med en ostehøvl"

Nå jaja sry den kendte du godt... Men den var alligevel lidt sjov hva' ?

#27
Jeg er selv medlem at Dansk Blindsamfund (Uden pis) Og min kæreste er næsten helt blind. Ja det er muligt at få computeren til at læse op hvad der står på skærmen. også på internettet.
Desuden er der også udviklet udmærkede programmer til linux der kan gøre samme trix.
Slackware kommer bla. med at et program by default som også funker under install.
Gravatar #29 - OsteManden
8. jan. 2004 08:07
#13, #15, #21, hvorfor jeg ikke selv har fundet den? måske fordi jeg ikke er en af de miliadermillioner, som man altid får stukket i hovedet når der flames sikkerhedsfejl? :-)

#21, okay, så lad os droppe jokes, indføre grå burka+solbriller til alle og tiltale hinanden med "du der".
Gravatar #30 - Zredna
8. jan. 2004 08:43
@Ostemanden
Øhh? Der er vist da ingen der har påstået at fejl vil blive fundet inden et bestemt tidsrum, da mange læser koden igennem. Det er højst blevet påstået at de mange mennesker, som kigger på og arbejder med koden, er med til at øge risikoen for at fejl bliver fundet i forhold til lukkede udviklingsmiljøer, en holdning som jeg da også deler.

Har du egentligt noget kendskab til fejlen siden du kan sige det er fuldstændigt uacceptabelt at den først er blevet fundet nu? Var det en fejl, som var lige til at gennemskue når man læste koden igennem, siden det åbenbart er så helt vildt utroligt at den ikke er blevet fundet før?
Gravatar #31 - shadowsurfer
8. jan. 2004 09:05
Der er blevet opdaget en del fejl i kerne her på det sidste...
Er det fordi der er kommet flere fejl, eller er de blevet bedere til at finde dem?

Når men man skal til det igen... hjem og patche sin kerne...
Gravatar #32 - sKIDROw
8. jan. 2004 09:17
Giv nu bare #12 et minus istedet for.
Det var jo alligevel ren trolling.
Gravatar #33 - OsteManden
8. jan. 2004 09:21
#30, Jeg synes den ikke er super åbenlys (den må være fra dengang goto's var ok =) ) min pointe er bare, at det kan godt være mange kigger, men for at det virkelig giver noget, skal man lede :) De fleste fejl findes normalt først, når man har et problem, hvor noget ikke virker som man forventer.

http://www.iglu.org.il/lxr/source/mm/mremap.c
Gravatar #34 - Gaffer
8. jan. 2004 10:07
jeg tror på der kommer flere endnu! det er sikkert ikke de sidste der kommer!
Gravatar #35 - annoia
8. jan. 2004 10:40
#31 - De er åbenbart blevet bedre til at finde fejl. Disse fejl eksisterer generelt i hele 2.4-serien.
Gravatar #36 - AndersDK
8. jan. 2004 12:02
:o) Syndtes det er lidt sjovt! Når der opdages et problem med Linux, be i alle om at der ikke skal køres religions krig! Men opdages der problemer med MS bliver det ikke andet!

Nå nok om det! Syndtes det er ok med hurtige opdateringer til sikkerheds fejlene.. Sådan burde det altid være!!
Gravatar #37 - garfield
8. jan. 2004 12:49
#36:

Jeg synes du skal sammenligne debatørernes navne i denne tråd, med tråde hvor der har været religionskrige, og så komme tilbage og fortælle os hvis vi har været hyklere i vores behandling af Microsoft vs. Linux.
Gravatar #38 - sKIDROw
8. jan. 2004 13:03
#36

Det vi opfordede til var at der ikke kom for mange indlæg som f.eks nummer 5... ;)
Gravatar #39 - HarryV
8. jan. 2004 14:10
#27, Kender du FreeNode? Et rimelig stort IRC netværk med 13-14000 brugere. En af de mere aktive IRCops, dmwaters, er blind. Hendes computer-knowledge er vist mere end den gennemsnitlige danskers. Så jo. En blind kan sagtens læse dette. Just for your information.
Gravatar #40 - BareMig
8. jan. 2004 22:20
Nogen der vil være med til at lave en screensaver med linux-kerne kildekoden? - Så kan man da i hvert fald ikke sige vi er passive
Gravatar #41 - rød front
11. jan. 2004 02:14
# 40

Hehe, fed idé
Gravatar #42 - kasperd
11. jan. 2004 08:37
Den der screensaver er måske slet ikke så langt væk. Jeg har i hvert fald på et tidspunkt set en starwars lignende scroll effekt, hvor man selv kunne vælge teksten. Det var godt nok som baggrund til skrivebordet i Gnome, men måske den også kan bruges som screensaver.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login