В ядре Linux обнаружена критическая уязвимость

он уже умирает(((

круто расписали

но с Linux системами и прикладным софтом опенсоурс нет никаких гарантий отсутствия в них специальных закладок и прочих бэкдоров. Ибо сделать ревью всего кода невозможно. А кто из мантейнеров и коммитеров работает на АНБ на самом деле тоже никто не знает. их могут быть десятки. и дыры могут быть настолько неявные, что никто и не заподозрит - как пример - дыра в OpenSSL просуществовавшая два года. Уверен что в течение пары лет найдут похожие «случайные» ляпы как в ядре Линукса, так и в «защитах» типа AppArmor или SeLinux, кторые не будут реагировать на определенные события.

Интересно, заработает ли это под андроидом?

На лоре совсем контент опопсел o_0

ЗЫ: У меня маверикс и ради лулзов я запущу сплоет на оракловом серваке под кентосью.

ЗЫ: У меня маверикс и ради лулзов я запущу сплоет на оракловом серваке под кентосью.

А толку, если тебе понятие PoC ни о чем не говорит?

Сплоет рута дает, токмо на 3.14 и старше вроде.

Поспорю с админами на джамесон, что они не смогут собрать и взлететь на 3.14м ядре, а шелл у меня есть. Вот такие дела.

Сплоет рута дает, токмо на 3.14 и старше вроде.

Это только poc из сабжа

Уязвимость находится в версиях ядра начиная с 2.6.31-rc3 и заканчивая 3.15-rc5.

http://en.wikipedia.org/wiki/Proof_of_concept
На соседних форумах пилят для других версий ядра, чтобы работало без чтения kallsyms и тд.

С какими задачами не справляется Windows 7, что пришлось ещё и лубунту ставить? Интересуюсь исключительно любопытства ради.

Очевидно же, прон )

т.е. продолжаем рутовать Android телефоны? ;)

но с Linux системами и прикладным софтом опенсоурс нет никаких гарантий отсутствия в них специальных закладок и прочих бэкдоров. Ибо сделать ревью всего кода невозможно. А кто из мантейнеров и коммитеров работает на АНБ на самом деле тоже никто не знает. их могут быть десятки. и дыры могут быть настолько неявные, что никто и не заподозрит

И чем это отличается от закрытых продуктов?

И чем это отличается от закрытых продуктов?

в том то и дело,что ничем абсолютно. Это для тех кто кричит что опенсоурсе все очень секьюрно и что именно на него надо переползать в целях безопасности

И чем это отличается от закрытых продуктов?

в том то и дело,что ничем абсолютно

Неверно. Дыры в открытых продуктах ищут больше людей. Heartbleed нашли не разрабы OpenSSL.

Дыры в открытых продуктах ищут больше людей

Не все кто нашли её публикуют...

OpenSSL дыру опубликовали через 2 года... хороший показатель.. а вот нашли её наверняка намного раньше - и эксплуатировали её по полной... ядро 2.6.31 вышло в 2009... когда была опубликована уязвимость? в 2014.. а когда найдена - неизвестно...

берем Heartbleed, долго нудно выдергиваем ключик для авторизации... логинимся на сервер.. получаем root...

Не все кто нашли её публикуют...

А в этом разницы нет.

Уж всяко секьюрнее окон. Есть возможность посмотреть все, исправить что-то. Это делает не один человек. Да что тебе говорить, батхертанутый виндузятник с недотрахом :D

кстати, ты хотя бы пруфы дай, на то, где ты говорил, что, винда меньше отжирает с обновлениями.

Конечно - какая разница - нашел и продал АНБ или сам эксплуатируешь или нашел, опубликовал и дал возможность исправить

Есть возможность посмотреть все, исправить что-то

через пару лет, ога... я не говорю что Windows хуже или лучше, я говорю о том что везде полно бэкдоров и закладок. но почемуто фанатики вроде тебя считают что они супер защищены на своем локалхвосте

Да что тебе говорить, батхертанутый виндузятник с недотрахом

о, фанат детектег - думай дальше что твой линукс не содержит бэкдоров и закладок. Давно ты искал на своем локалхосте руткиты?

кстати, ты хотя бы пруфы дай, на то, где ты говорил, что, винда меньше отжирает с обновлениями.

Выдыхай, бобер, я такого нигде не говорил

Иди лечись, луркоеб малолетний скалерозник.

пруф приведи, анонимка

Я тебе еще раз говорю. В Линуксе этим занимается не один человек. в швиндовс - никто, там только вирмейкеры, да школота вроде тебя, думающая, что, умнее всех. И уж точно мой локалхост и сервак под гентой защищеннее твоей швиндовс с одними только батхертанутыми юзерами. Фанатик? ОК (не луркоеб без жизни же вроде тебя). На Линуксе 3 месяца, а уже убедился, что он много защищеннее. Что с тебя взять, говоришь только в теории, по пруфам только стрелки перекидываешь. Гуляй, школяр. Девку найди себе, может тогда дрочить перестанешь и троллить на сайте для юзеров другой ОС. В крайняк иди к Луке в модеры, там упоротые школяры в почете.

Ну значит эта уязвимость в OpenBSD не считается, теперь-то они могут с чистой совестью вернуть красную надпись про всего-то две сетевые дыры за всё существование поделки.
Спасибо анониму за то что всё разрулил.

Ой, смотрите, он 3 месяца на Линуксе и уже крут как сопля зеленая анонимная... При этом кроме фактов ничего сказать не может, только оскорблениями занимается... Не люблю убогих, давай досвидания

Гуглить не умеешь? Раз. Два.

Производитель снизил минимальные системные требования для устройств, на которых возможен запуск Windows 8.1 — 1 Гб оперативной и 16 Гб встроенной памяти. Для предыдущих сборок Windows 8 требовалось 2 Гб и 32 Гб.

По мне многовато всё равно жрёт (без вмешательства пользователя). Вообще, про тормознутость после обновлений явный бред. После обновлений может кончаться только место на диске, ибо винда хранит все старые версии файлов, при желании их можно удалить, но тогда нельзя будет откатить обновления.

берем Heartbleed, долго нудно выдергиваем ключик для авторизации... логинимся на сервер.. получаем root...

Только если рутовая консоль обеспечивается веб-интерфейсом, крутящимся на работающем под рутом веб-сервером. Нормальные люди админят через SSH, которому Heartbleed до лампочки, а демоны под рутом пускают только в случаях совсем уж крайней необходимости и наружу не вывешивают.

«На Линуксе 3 месяца, а уже убедился, что он много защищеннее»

И как ты в этом убедился, неуловимый Джо? По порносайтам лазил?

«Дыры в открытых продуктах ищут больше людей.»

Количество переходит в качество только при увеличении числа землекопов. При интеллектуальном труде количество не значит ничего.

Гарантии есть, обычно известные дистрибутивы сами проверяют сырцы, плюс если Вас это не устраивает и Вы испытываете такую большую паранойю всегда можете проверить и перепроверить сами. так как в повседневной работе пользователи используют лишь малую часть от всех пакетов. А особо важные либы и пакеты при необходимости переписать на свои, что позволит Вам быть на 100% уверенным что в них уж точно нет ничего из АНБ =).

Позволю заметить что это всё возможно благодаря тому что вы имеете полные исходные кода.

Теперь посмотрим как дела обстоят у закрытых проектов, софта, либ итд.

1. Вы не можете 100% сказать есть там намеренные дыры, намеренные бэкдоры, заплатки итп. Просто потому что вы не имеете исходных кодов.

2. Особенно популярным сейчас становится флайкоды, которые позволяют генерировать исполняемый код на лету, замечу что дизассемблировать их очень и очень сложно, не всякие а очень даже редкие дизассемблеры и не всегда корректно получают код, который сохраняет возможность своего выполнения и наблюдения. Потому определить наличие заплаток так же становится не возможно.

3. За дизассеблинг и/Или реверс инженеринг Вам могут сказать ай яй яй, и взять не хилую денюжку.(но это по большей части на западе)

4. Самый важный фактор, Вам будет влом проверять дизассемблерные коды пакетов программ из за их огромного размера и как следствие не хилого объёма асм кода. По разным причинам из за ужасной читаемости, огромного объёма или не хилой стоимости проверки кода в спец фирмах - которые так же могут не заметить или не захотеть заметить этих вещей;

5. Вы можете выкупить исходные коды у компании производителя для проверки исходных кодов однако никто не гарантирует Вам что Вы получите именно те исходные коды с которых были собраны эти пакеты, а не «Потёмкинские деревни» в которых всё чисто и идеально.

В итоге OpenSource в сравнении с ClosedSource вызывает больше доверия и выглядит более предпочтительнее нежели все закрытые проекты. Так что все Ваши описанные выше опасения меркнут на фоне того что может быть в закрытых проектах.

И так ставим большущий OpenSource и Огроменный минус ClosedSource.

херню ты написал. первая простыня удачнее получилась.

Количество переходит в качество только при увеличении числа землекопов. При интеллектуальном труде количество не значит ничего.

Ахаха.

Эм, может Вы просто нуль в программировании/разработки софта и нуль в его взломе, дизассембленге и реверс-инженеренге ? Наверняка поэтому Вы не видите очевидных вещей ?

Начнём с того что что всё выше описанное мной является профитом, подтверждение которого подчёркиваю ЛЮБОЙ человек может найти в сети (если конечно он умеет пользоваться поисковиками).

Теперь по существу.

1. Опишите что Вам из выше перечисленного не нравится и что является «хренью» ?

2. К сообщениям от анонимного «доброжелателя» отношусь как к сообщениям от «школоты», то есть крайне негативно. Ибо человек даже за свои слова боится ответить.

Перефразирую - виндавс дает всем без разбору, а линакс - ломается %)

Можно и так сказать, винда - девушка лёгкого поведения, которая согласна на всё и со всеми. А вот Линух - девушка с неприступным характером, нужно очень много времени, денег и сил чтобы найти правильный подход...

«А вот Линух - девушка с неприступным характером, нужно очень много времени, денег и сил чтобы найти правильный подход...»

Ты что-то путаешь, Линух - шлюха, которая дает всем, потому что ГПЛ запрещает кому-то не давать. А вот Винда - строгая особа, даже в лицензии написано, что повторно выйти замуж можно только один раз в лучшем случае. А то и вовсе разрешен только один брак.

«К сообщениям от анонимного «доброжелателя» отношусь как к сообщениям от «школоты», то есть крайне негативно. Ибо человек даже за свои слова боится ответить.»

Наличие ничего не значащего ника svsd_val сразу делает тебя способным ответить за слова? Неправильный ответ, если тебя захотят заставить ответить, пробьют твой айпишник. И найдут тебя, даже если ты аноним.

«Ахаха.»

Чего ахаха? Чтобы решить сложную задачу, нужны профессионалы, разбирающиеся в проблеме. Ватники думают, что можно посадить пару тысяч ПТУшников, и они решат проблему. А вот не решат. Потому что ни один из них не знает ни проблематики, ни способов решения. Это только в анекдоте тысяча мартышек напечатает «Войну и мир».

Вы что то путаете однако. Тут шла речь об защищённости системы и софта. Вы же похоже даже не разобрались о чём речь шла. прям вылетая ШКОЛОТА «Ничего не знает но везде лезет и учит жить».

GPL лицензия даёт право проверить внутреннее состояние софта и системы. В том случае если что то не устраивает - исправить под себя. ( Если точно выражаясь по Вашим понятиям пойти проверить с вичь Она или нет ).

По поводу брака - вы так же спутали всё - лицензия винды - выражаясь Вашими понятиями «нагнуть раком и замуровать ноги руки» что бы не двигалась и лучше было использовать все щели. При этом нагибают не винду а Вас. Запрещая Вам делать что либо иное не указанное в лицензии.

Выражаясь яснее идите читать что и как в GPL лицензии, и не путайте понятия пожалуйста, Вы этим самым указываете своё невежество или ещё хуже...

1. Вы не ответили на поставленные вопросы выше. Жду ответа на них.

2.Наличие ника даёт возможность поставить вам - или кинуть модераторам вопрос какого фига этот человек ещё не в бане, а так же найти что и где писал этот человек в сети, что бы составить более полное представление об этом человеке. =)

3.Наличие IP ещё не факт что вы меня сможете найти - великий Вы наш индивид. Хотелось бы узнать у вас сколько и каких операций нужно произвести что бы вычислить человека по его IP, но боюсь Вы даже малую часть из тех операций не укажите (мб почитав и погуглив найдёте чего-нить стоещее) ))))) Наверняка Вы поклонник голивудских фильмов и наша раша фильмпов где по IPConfig /all можно определить где когда, как и кем был выход в сеть )))))

«GPL лицензия даёт право проверить внутреннее состояние софта и системы.»

Ну я и говорю, линух - шлюха. Приличная Винда требует сначала заключить брак, а потом пускает внутрь.

«Наличие ника даёт возможность поставить вам - или кинуть модераторам вопрос какого фига этот человек ещё не в бане»

Ты сам ответил на свой вопрос. Нафига мне давать тебе возможность забанить меня по нику?

«но боюсь Вы даже малую часть из тех операций не укажите (мб почитав и погуглив найдёте чего-нить стоещее) »

Простое знание IP позволяет вычислить вас вплоть до провайдера или организации, купившей постоянный айпи. И если у вас есть ник, типа svsd_val, или в профиле написано ваше имя Валентин и адрес в жаббере, вычислить вас становится еще проще, поискав по социальным сетям или по базам резюме. Я так парочку ушлепков вычислил, они были очень напуганы.

Читаю и поддерживаю :)
Валяюсь с этих петросянов.

Например, вас даже без знания айпи можно вычислить. Я уже вашу фамилию нашел.

Повторяю мы говорим о защищённости, винда не требует брака для того что бы ей «впиндюрили» по самое не хочу =)

А у линухи нужно сначала искать подходы итп.

Ясно же: Что бы ума набрался =)

винда не требует брака

ну давай напиши эксплоит для винды, для подтверждения твоих слов.

По IP Вы сможете найти только если человек реально сидит на этом продовайдаре. Если же используется серия проксисерверов с шифрованием и корректным разбросом динамических проксей - выследить практически не реально.

или в профиле написано ваше имя Валентин и адрес в жаббере, вычислить вас становится еще проще, поискав по социальным сетям или по базам резюме. Я так парочку ушлепков вычислил, они были очень напуганы.

Меня найти очень и очень просто ибо я не скрываюсь, если погуглите найдете полный адресс и номер телефона =). Однако если у меня будет желание сделать пакость кому-то или чему-то найти меня будет крайне проблематично, потому что даже следов не останется что это сделал я =)

Читайте мой пост от 16.05.2014 11:40:14

А теперь марш бегом гуглить эксплойт-паки ;)

А теперь марш бегом гуглить эксплойт-паки ;)

А они что, на святом духе работают? Они основаны на таких же уязвимостях, что и в сабже.

P.S. в винде ситуация хуже только потому, что нет зоопарка дистрибутивов, версий ядра и тд.

Зачем ? Я не хочу само утвердится и показать своё превосходство. Не спорю лет 7-9 назад писал успешные вирусы, кряки и хуки - чисто из любопытства так сказать «на посмотреть» как оно себя поведёт. Если хочешь узнать в гугле найдёшь мои древние мелкие не опасные проектики которые я выложил для рассмотрения.