Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

Vot, opjat,'schast'ie privalilo ;(

Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

"We have found that most of the /proc entries (like /proc/version)leak about one page of unitialized kernel memory and can be exploited to obtain sensitive data."

Ну и совсем радует: "There is no hotfix for this vulnerability."

Однако! Это самый натуральный п@#дец. Дыры в последнее время зачастили, но эта - совсем невеселая...

Поглядеть еще раз на FreeBSD повнимательней, что ли...

int19h (05.08.2004 9:53:25)

Re: Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

Ай, паникеры! Ну локальное повышение прав, ну небольшая утечка... Ничего особенно смертельного, прямо вот сейчас никого не поломают.

Shaman007 (05.08.2004 10:07:26)

Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

>"указывается возможность прочтения из памяти ядра например пароля >залогиненого по ssh рута" даже сложно представить себе такую ситуацию...

drd (05.08.2004 10:11:04)

Re: Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

Может все не так страшно?

Уязвимость-то локальная.

А дыры зачастили потому, что люди, которые умеют читать код, стали его изучать ... Это хороший знак. Есть дырка - будет и латка...

Насколько я знаю, некоторые производители дистрибутивов это уже пофиксили. Так что решение уже есть.

Осталось влить латку в стандартное ядро. 8-)

sergeil (05.08.2004 10:13:17)

Re: Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

>>Поглядеть еще раз на FreeBSD повнимательней, что ли...

Дык не пускай кого попало за консоль

Re: Re: Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

>Насколько я знаю, некоторые производители дистрибутивов это уже пофиксили. Так что решение уже есть.

Так оно и есть, свою FC2 уже обновил.

Vlad_Ts (05.08.2004 10:17:34)

Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

http://linux.bkbits.net:8080/linux-2.4/cset@1.1465?nav=index.html|ChangeSet@-2d

hotfix типа...

а ошибки там действительно ламерские. в ядре freebsd подобное врядли найдется.

Cosmicman (05.08.2004 10:24:12)

Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

ALTLinux 2 августа обновились.

WinLin (05.08.2004 10:26:06)

Re: Re: Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

> Ну локальное повышение прав

Если там _такие_ локальные дыры - хотя это уже не дыра, это скорее широко открытые ворота =) - то, как думаешь, сколько ремоутных?

> ну небольшая утечка... Ничего особенно смертельного, прямо вот сейчас никого не поломают.

Да речь не о том что кого-то там поломают. А о том, что такие весьма нехилого размера дыры живут-поживают со времен 2.4. Что косвенным образом говорит о качестве остального кода.

int19h (05.08.2004 10:31:34)

Re: Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

> "указывается возможность прочтения из памяти ядра например пароля залогиненого по ssh рута" даже сложно представить себе такую ситуацию...

Значение слова "например" непонятно? А ты вот лучше эксплоит запусти и посмотри как оно работает =)

int19h (05.08.2004 10:33:04)

Re: Re: Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

Ай, паникеры! Ну локальное повышение прав, ну небольшая утечка... Ничего особенно смертельного, прямо вот сейчас никого не поломают.

Винда как раз для тебя тогда. ;))

Re: Re: Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

Как линуксоиды то "ниче страшного нет, заплатку найдут" запели. :)) Зато сколько понтов про дрявость винды. :)))

Что будет с SuSe?

Дык не пускай кого попало за консоль

Гыыы, а это вообще корка. Никого не подпускай, все шнуры выдерни. ;))

Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

int19h, например - это оставьте студентам. Например, сервер можно уронить со стола.

drd (05.08.2004 10:52:09)

Re: Re: Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

страшнее всего тенденция

W (05.08.2004 10:56:06)

Re: Re: Re: Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

У бздунов память короткая, точно такие же дыры во всех разновидностях bsd находят регулярно.

chucha (05.08.2004 10:59:01)

Re: Re: Re: Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

ну говорит так говорит, вам то что? мессионерская болезнь одолела? :) или пальцы в дверь проходить мешают? сидели бы себе на фрибздорге и не парились :) прочитайте же наконец just for fun если вам конечно религия не запрещает и расслабьтесь :)

Re: Re: Re: Re: Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

August 4, 2004 Linux 2.4.26-ow3 is out. This corrects the access control check in the Linux kernel which previously wrongly allowed any local user to change the group ownership of arbitrary NFS-exported/imported files (CAN-2004-0497) and adds a workaround for the file offset pointer races discovered by Paul Starzetz (CAN-2004-0415).

Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

лор никогда не изменится, обязательно найдется любитель аргумента "сам дурак" :) ну дырка, ну никого кроме пары дистростоителей она не волнует. согласно последним вееньям в разработке ядра, так и должно быть.

W (05.08.2004 11:34:55)

Re: Re: Re: Re: Re: Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

Интересно, а зачем вообще смещение в файле описывается знаковым типом? там ведь по существу даже не race condition, а просто ошибка в типе. внутреннее значение f_pos вообще по идее можно разрешать менять произвольно, ведь оно и так может быть передано напрямую, просто его надо корректно проверять, а для знаковых типов проверка некорректная (судя по двум строкам - это классическая проверка для беззнаковых типов с переполнением).

Murr (05.08.2004 11:52:13)

Re: Re: Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

>> Это хороший знак.

Это знамение прямо :-))
Это только виндовые дырки - сакс и мастдай.
А каждая линуксовая - божественная метка :-))

Ron (05.08.2004 12:36:25)

Re: Re: Re: Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

>Это знамение прямо :-))

Разницу между бюджетами разработчиков linux и windows знаешь?

Если люди just for fun смогли сделать продукт, который на порядок качественней чем коммерческий - это уже заслуживает уважения.

а тебе билли фтюхал своё г***, и ты ЗА СВОИ ЖЕ ДЕНЬГИ работаешь у него бета-тестером. круто, правда =)

geek (05.08.2004 12:42:20)

Re: Re: Re: Re: Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

Ну если так подходить, то дыры-это хорошо. Устаревает продукт, появляется новый-покупают его, фиксят баки. Расширяют каналы в Инет за патчами, люди читают много о уязвимостях, ЛОР живет. :) Это движение вперед, экономика....вот поэтому дядя Билл богатый, а Линус не очень...;)

Re: Re: Re: Re: Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

программеры всегда при деле и не тупеют, рынок развивается, конкурируют кто меньше дыр сделают. Жизнь весела. :)

Re: Re: Re: Re: Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

>> который на порядок качественней чем коммерческий

Ты тот порядок чем мерил-то? Членом своим?

>> а тебе билли фтюхал своё г***

Дурень. Сколько раз каждому пионэру я должен повторять, что нету у меня на компе винды. Когда нужна будет - поставлю, пока что не нужна. Я из рабочего инструмента тотем для поклонения не делаю. Это у вас только храм красноглазых прямо какой-то.

Ron (05.08.2004 12:59:46)

Re: Re: Re: Re: Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

chucha ну ты дал ! Фотку макбрайда повесил :) Типа это как понимать ?

Re: Re: Re: Re: Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

>продукт, который на порядок качественней чем коммерческий

Чем меряли?

Re: Re: Re: Re: Re: Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

>>Я из рабочего инструмента тотем для поклонения не делаю. В этом чувак твоя беда. Из профессии ведь ты то-же культ не делаешь ?

Re: Re: Re: Re: Re: Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

>Дурень. Сколько раз каждому пионэру я должен повторять, что нету у меня на компе винды. Когда нужна будет - поставлю, пока что не нужна. Я из рабочего инструмента тотем для поклонения не делаю. Это у вас только храм красноглазых прямо какой-то.

1. Сам такой 2. Звездишь - стоит у тебя виндовсь. Иначе все твои заявления - пустой звук.

geek (05.08.2004 13:13:17)

Re: Re: Re: Re: Re: Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

>Чем меряли?

линейкой.

geek (05.08.2004 13:13:48)

Re: Re: Re: Re: Re: Re: Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

>> 2. Звездишь - стоит у тебя виндовсь.

Это тебе тоже знамение какое-то сказало? Такие "знамения", по-моему, уже "приходами" называюцца. Подумай как следует, может тебе стоит, хотя бы на время, от травы отказацца? :-))

Ron (05.08.2004 13:21:10)

Re: Re: Re: Re: Re: Re: Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

>Я из рабочего инструмента тотем для поклонения не делаю. В этом чувак твоя беда. Из профессии ведь ты то-же культ не делаешь ?

Дык ему были б желуди... (с) Свинья по дубом

Re: Re: Re: Re: Re: Re: Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

ну хватит тут пиписьками меряться. сегодня у бздишников на улице праздник, а завтра у луноходов. побольше дырок хороших и разных. а за консоль действительно пускать никого не стоит, а тем более всяких стоптанных студентов

Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

2.4.27-rc5
Al Viro and others: Fix file offset handling races in several drivers

А вот 2.6.8-rc3 не нашёл. Может надо зрение подправить :)

Selecter (05.08.2004 13:27:03)

Re: Re: Re: Re: Re: Re: Re: Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

>Это тебе тоже знамение какое-то сказало

а хрен ли из контекста фразу вырвал? я вполне доступно написал, почему я такой вывод сделал. Иди учись читать.

geek (05.08.2004 13:31:33)

Re: Re: Re: Re: Re: Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

>вот поэтому дядя Билл богатый, а Линус не очень...;) А я вот с этим не согласен. Помню, какое-то время назад я слышал, что Линус ушел из трансметы и занялся разработкой ядра. Тоесть его работа теперь -- разработка ядра. И все знают, что лялих -- just for fun. Тоесть его работа -- having fun. Ну и кто богаче? Человек, в которого кидают торты и распускают всякие очень обидные шутки, или тот, кто может нормально жить, кормить семью при этом особо не напрягаясь, а занимаясь тем, что ему интересно? Думаю, что Линус достаточно богат, чтобы покупать новые спортивные машины и дома в престижных районах. А миллиарды долларов имхо не нужны человеку................

Re: Re: Re: Re: Re: Re: Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

> А миллиарды долларов имхо не нужны человеку................

Ну а сам-то ты веришь в это ? или это так по глупости ляпнул ?

Re: Re: Re: Re: Re: Re: Re: Re: Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

>Это тебе тоже знамение какое-то сказало

>а хрен ли из контекста фразу вырвал? я вполне доступно написал, почему >я такой вывод сделал. Иди учись читать.

>geek * (*) (05.08.2004 13:31:33)

Сам то найдешь в своих писаках? Где такая трава растет?

Re: Re: Re: Re: Re: Re: Re: Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

Да я о том что потом разницы нету уже. после какого-то числа. что с ними делать? покупать всякие компании? куда их девать?

Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

>Сам то найдешь в своих писаках? Где такая трава растет?

1. Найду 2. У Рона спроси

geek (05.08.2004 13:50:48)

Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

Ананимус сам с собой спорит :) Ладно, заканчивайте. Пофиксили уже.

Selecter (05.08.2004 14:05:18)

Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

я что то запускаю их эксплойт и он выдает мне файлы с нулючми по 64 метра

что я не так делаю?

stephan (05.08.2004 14:12:18)

Re: Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

А ты на сервере запусти-должно сработать. Гыыы

Re: Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

> я что то запускаю их эксплойт и он выдает мне файлы с нулючми по 64 метра что я не так делаю?

а ты на винде не пробовал этот сплоит запустить ?

Re: Re: Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

на сервере, все на сервере

фуфло короче

утка

stephan (05.08.2004 14:16:40)

Re: Re: Re: Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

Гыыы, руки кривые. Ламер! Эксплоит даже запустить не может! Куда тебе то DHCP поднимать! Гыыы

Re: Re: Re: Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

Там сервер упасть должен...обязан, а у тебя имиджи на диск пишутся. :))

Re: Re: Re: Re: Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

- Папа, папа, а правда говорят, что от ICQ, чатов и ЖЖ люди тупеют?
- Гыыыыы, сына, LOL :)

Dimez (05.08.2004 14:20:44)

Re: Уязвимость в ядрах <= 2.4.26 и <= 2.6.7.

Блин, за...ло уже Линукс патчить. В ставбильном ядре дырок больше чем в нестабильной ФриБзде. Начну ка я потихоньку бздю осваивать и к новому релизу на нее переведу серваки. ЗЫ. Админ отдыхать должен а не патчить каждый день