LINUX.ORG.RU

Релиз Linux 4.13.7, закрывающий критическую уязвимость CVE-2017-5123

 , ,


0

1

Спустя 2 всего дня после релиза 4.13.6 вышел релиз Linux 4.13.7 включающий всего три коммита, один из которых закрывает критическую уязвимость CVE-2017-5123, введённую в мае этого года. В переписанном системном вызове waitid() была пропущена проверка адреса аргумента, в результате чего становилось возможным переписать память ядра и, потенциально, повысить привилегии.

anonymous

Проверено: jollheef ()

введённую в мае этого года

Спустя 2 всего дня после релиза 4.13.6 вышел релиз Linux 4.13.7

Я вот тоже не понял, разработчики только сейчас узнали об этой уязвимости? Если она была опубликована несколько месяцев назад, что мешало подождать с выпуском 4.13.6 и закрыть ее? Зачем ради этого отдельный выпуск?

Serge10 ()

введённую в мае этого года.

Видимо перестала быть нужной всяким АНБ...

WindowsXP ★★ ()
Ответ на: комментарий от Serge10

да, узнали между релизами 4.13.6 и 4.13.7

anonymous ()
Ответ на: комментарий от Serge10

Если она была опубликована несколько месяцев назад, что мешало подождать с выпуском 4.13.6 и закрыть ее? Зачем ради этого отдельный выпуск?

Она не была опубликована несколько месяцев назад. Об уязвимости сообщили (и дали прототип патча) под NDA. С договорённостью выпустить патч в заранее оговорённый момент времени, одновременно для всех систем. Но некоторые маргиналы разтрезвонили раньше времени.

greenman ★★★★★ ()
Последнее исправление: greenman (всего исправлений: 2)
Ответ на: комментарий от anonymous

anonymous, greenman, спасибо за информацию.

Все равно я не понимаю смысла запрещать в течение месяцев(!) закрывать уязвимости. По поводу патча еще могу понять, но почему сразу не донести информацию до разработчиков, чтобы они могли принять меры самостоятельно?

Serge10 ()
Ответ на: комментарий от Serge10

Информацию как раз и донесли до разработчиков. А принятые преждевременно (т.е. не синхронно с остальными системами) меры (т.е. выпущенный патч) как раз фактически раскрывает уязвимось (для всех, кто просматривает патчи) и ставит под удар всех остальных (кто собрался выпустить патч для своей системы в обусловленное заранее время). Эгоизм и подстава.

greenman ★★★★★ ()
Последнее исправление: greenman (всего исправлений: 2)
Ответ на: комментарий от greenman

А принятые преждевременно (т.е. не синхронно с остальными системами) меры (т.е. выпущенный патч) как раз фактически раскрывает уязвимось (для всех, кто просматривает патчи) и ставит под удар всех остальных (кто собрался выпустить патч для своей системы в обусловленное заранее время). Эгоизм и подстава.

Так любую конкуренцию можно «эгоизмом и подставой» назвать.

IMHO, если бы кто-то сразу же выложил патч, остальные тоже зашевелились бы, и уязвимость оказалась бы везде закрыта в течение дней, а не месяцев.

Serge10 ()
Ответ на: комментарий от Serge10

Читайте уж историю этой уязвимости.

Теперь OpenBSD будет шевелиться последней, увидев чужие патчи, только и всего.

greenman ★★★★★ ()
Последнее исправление: greenman (всего исправлений: 1)
Ответ на: комментарий от Serge10

Так любую конкуренцию можно «эгоизмом и подставой» назвать.

Вот только информацию об уязвимости патч предоставили проекту OpenBSD, а не они сами до всего дошли и сделали. Проекту оказали помощь и по-хорошему попросили не гадить всем. Тео в ответ повёл себя в обыкновенном репертуаре - паразитически, да ещё и права, которых у него отродясь не было, стал качать. Так что не было никакой конкуренции. Есть всего лишь сообщество и один больной ублюдок (Тео), который в очередной раз решил паразитировать в стиле манагера крупной конторы.

Quasar ★★★★★ ()
Последнее исправление: Quasar (всего исправлений: 1)
Ответ на: комментарий от Quasar

Так вот кто каждые 10 минут делает cvs log в OpenBSD! И читает, читает, читает коммиты!

buratino ★★★ ()
Ответ на: комментарий от Quasar

Вот только информацию об уязвимости патч предоставили проекту OpenBSD, а не они сами до всего дошли и сделали.

This.

jollheef ★★★★☆ ()
Ответ на: комментарий от Serge10

Все равно я не понимаю смысла запрещать в течение месяцев(!) закрывать уязвимости.

Где про это написано ? В новости написано не это.

AS ★★★★★ ()
Ответ на: комментарий от Quasar

Вот только информацию об уязвимости патч предоставили проекту OpenBSD

Что-то я совсем запутался. Почему только OpenBSD предоставили? А остальным как?

Проекту оказали помощь и по-хорошему попросили не гадить всем.

IMHO, дурацкая просьба. Разве это дело, 4 месяца(!) тянуть с закрытием дыр?

И что мешало Teo связаться с коммьюнити других дистрибутивов и поделиться информацией?

Serge10 ()
Ответ на: комментарий от AS

Где про это написано ? В новости написано не это.

Там как-то непонятно написано. Как я понял (возможно, неправильно), в мае обнаружили (кто обнаружил?) уязвимость, но договорились (кто и с кем?) не распространять эту информацию и не публиковать патчи до некой фиксированной даты.

Вот последняя практика меня и возмущает...

Serge10 ()
Ответ на: комментарий от Serge10

в мае обнаружили (кто обнаружил?) уязвимость

Не обнаружили, а создали: «введённую в мае этого года». Слово «введено» никак не обозначает «обнаружено». Или ты подозреваешь сознательное введение ? Ну так тогда кодер сознательно молчал, а никто не знал больше. :-)

AS ★★★★★ ()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от Serge10

но договорились (кто и с кем?)

Производители продуктов, кого это затрагивает. Хотя к данной теме не сильно относится.

не распространять эту информацию и не публиковать патчи до некой фиксированной даты.

Это - правильная практика. Надо ещё патчи приготовить, протестировать и т.п. Одно дело в домашней железке, которую не страшно патчем завалить, другое - в производстве. Немедленная публикация поставит под немедленный же удар очень много пользователей.

AS ★★★★★ ()
Ответ на: комментарий от AS

Не обнаружили, а создали: «введённую в мае этого года». Слово «введено» никак не обозначает «обнаружено».

Черт, это я идиот :(. Читать не умею, спасибо. Тогда все более-менее понятно.

Или ты подозреваешь сознательное введение?

Нет, конечно :).

Serge10 ()
Ответ на: комментарий от AS

Это - правильная практика. Надо ещё патчи приготовить, протестировать и т.п.

Если речь идет о днях, то да, это оправдано. А если кто-то уже подготовил патчи, а кто-то тянет, то ждать месяцы, IMHO, недопустимо. Это уже проблемы тех разработчиков, которые не успели в разумный срок дыру заткнуть.

Впрочем, так, наверное, и не бывает, это я исходную новость неправильно прочитал.

Еще раз большое спасибо за объяснения.

Serge10 ()

Эстонцы, у меня в генте уже 4.13.8.

anonymous ()

Что-то зачастили.

4.13.8

4.13.9

greenman ★★★★★ ()

Главное Лёню с компанией к ведру на пушечный выстрел не подпускать, ибо тогда подобные новости об уязвимостях будут каждый день. При этом закрытых как NOTABUG.

h578b1bde ★☆ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.