LINUX.ORG.RU

Уязвимость в ядре Linux

 , ,


0

2

Google предупреждает о серьезной уязвимости типа удаленного выполнения кода (Zero-click) в стеке Bluetooth Linux.

Zero-click –– это удаленная атака на устройство, не требующая от пользователя никаких дополнительных действий. Она может быть проведена по воздуху (OTA, over-the-air): достаточно, чтобы жертва была в радиусе действия нужного беспроводного канала связи.

Intel Security Advisory рекомендует обновить ядро до версии 5.9.

Видео демонстрирующее использование уязвимости (осторожно музыка).

>>> Подробности

★★

Проверено: Shaman007 ()

Всё-таки Linux 5.10, а не 5.9

Affected Products: All Linux kernel versions before 5.10 that support BlueZ. Recommendations: Intel recommends updating the Linux kernel to version 5.10 or later. If a kernel upgrade is not possible, Intel recommends instead installing the following kernel fixes to address these issues: https://lore.kernel.org/linux-bluetooth/20200806181714.3216076-1-luiz.dentz@gmail.com/ https://lore.kernel.org/linux-bluetooth/20200806181714.3216076-2-luiz.dentz@gmail.com/ https://lore.kernel.org/linux-bluetooth/20200806181714.3216076-3-luiz.dentz@gmail.com/ https://lore.kernel.org/linux-bluetooth/20200806181714.3216076-4-luiz.dentz@gmail.com/ https://git.kernel.org/pub/scm/linux/kernel/git/bluetooth/bluetooth-next.git/commit/?id=a2ec905d1e160a33b2e210e45ad30445ef26ce0e

anonymous ()
Ответ на: комментарий от cocucka

на опеннете пишут, что нет

Платформа Android проблеме не подвержена, так как в ней применяется свой Bluetooth-стек Fluoride, основанный на коде проекта BlueDroid от компании Broadcom.

fernandos ()
Ответ на: комментарий от wandrien

Всем любителям «монолитное ядро это хорошо»

А что, в других системах bluetooth драйвер в режиме пользователя работает? Модули в ядре Linux есть как и везде.

X512 ()
Ответ на: комментарий от wandrien

Таненбаума на них нет.

Это который написал Minix, у которой долгое время была несвободная лицензия и которая используется в зонде Intel ME?

При желании пользоваться Minix 3 никто не мешает, туда даже X11 графику завезли.

X512 ()
Ответ на: комментарий от X512

Это который написал Minix, у которой долгое время была несвободная лицензия и которая используется в зонде Intel ME?

Как одно связано с другим?

При желании пользоваться Minix 3 никто не мешает, туда даже X11 графику завезли.

Таненбаум грант отработал, пиар-акция закончилась, все энтузиасты разбежались. Се ля ви…

wandrien ()
Ответ на: комментарий от wandrien

Таненбаума на них нет.

А зачем? Линукс родился в полемике студента Торвальдса с профессором Таненбаумом. Это наивысшая награда, которой желает любой педагог.

Линукс не идеален, как неидеальна сама жизнь, но разве дело в этом?

anonymous ()
Ответ на: комментарий от anonymous

В чем смысл этой полемики? В универах были свободные исходники Unix. Вместо того чтобы обучать студней грамотным техническим решениям и культуре программирования, профессор породил какого-то недоноска и трахал им мозги не одному поколению.

Uncle_Bobby ()

Никогда не доверял блютусу, он у меня всегда отключен. Так что уязвимость так себе. Кроме того, как метко замечено в комментах к видео, «Bluetooth range is within punching range»

hotpil ★★★ ()
Ответ на: комментарий от Uncle_Bobby

А вот авторов tcp/ip никто не знает.

Архитектора из Матрицы то никто не знает?

https://en.wikipedia.org/wiki/Vint_Cerf

Он кстати сейчас вот это пилит

https://en.wikipedia.org/wiki/Interplanetary_Internet

vertexua ★★★★☆ ()
Последнее исправление: vertexua (всего исправлений: 1)
Ответ на: комментарий от X512

linux вовремя попал в мэйнстрим, как раз после выхода i386. Ну и энтузиасты, да. Книжка есть по этому поводу. Переводную лучше не читать, переводчик явно был под кайфом, когда переводил, а вот оригинал советую, кто умеет. Вот в ней начальный линуксячий дух показан аутентично.

Помнится, в глубоком детстве попалась в руки книжонка пятьдесят какого-то года. О том, как из подручных материалов сочинить реактивный движитель.

Поскольку домашние неправильно понимали мои задумки и единственным ответным действом был запрет на всё, кроме стояния в углу, конструированием я занимался в глубокой тайне.

Двигатель не состоялся. В книжке описывалась чушь. И тогда, давным-давно, я счёл автора графоманом. Возможно, это так и было. Но в этот период, который включал поиск копеек на приобретение ингредиентов, рысканье по помойкам в поисках нужных железок, разочарований от неудачных пусков и тяжёлых раздумий над их последствиями было получено столько экспириенса и скиллов, что никакому школьному учителю физики не удалось бы большего.

Автор книжонки и был энтузиастом. В пятидесятые годы страна ломилась в Космос показывать буржуинам Кузькину мать и автор, видимо, тоже хотел быть в мэнстриме советского прогресса. Мне не известна его судьба, да и фамилия давно позабыта, но по факту, спустя несколько десятков лет энтузиазм автора вернулся бумерангом.

anonymous ()

Уязвимость в ядре Linux

Linux это и есть одна большая уязвимость. Написаная дошколятами для дошколят на говноязычке.

anonymous ()
Ответ на: комментарий от anonymous

реактивный движитель

стояния в углу

Меня в этом возрасте в угол уже не ставили. Правда я увлекался не ракетными двигателями, а больше портвейном «Агдам» и игре на гитаре.

Uncle_Bobby ()
Ответ на: комментарий от Uncle_Bobby

В чем смысл этой полемики?

микроядро vs. макроядро

Вместо того чтобы обучать студней грамотным техническим решениям и культуре программирования, профессор породил

  1. Грамотных технических решений не существует. Существуют задачи и ресурсы, исходя из которых строится конкретная модель реализации задачи. Меняется условие - меняется решение.

  2. Когда я спустя десяток лет посетил свою альма-матер и послушал о чём говорят студни в библиотеке, я понял, что альма-матер превращается в ПТУ 80lvl. Так оно и произошло. Сегодня там учебное заведение под пышной вывеской, намекающей на. Но и только. За вывеской чистенькие коридорчики и отсутствие всего, что называется процессом образования специалистов из полуфабрикатных заготовок. А почему? Да потому что от уровень и статус профессоров занизили под «потребности» рыночка. Как ты хочешь. Ты хочешь окончить университет и обладать навыками кодирования? Но это не функция высшего образования. Для этого есть ПТУ. Нахрена тебе универ, иди в ПТУ и пиши сайтики.

профессор породил какого-то недоноска и трахал им мозги не одному поколению

Ты дурачок, что-ли? Профессор создал работающую модель операционной системы. Модель, понимаешь? Натурный стенд для демонстрации каких-то IT-концепций.

anonymous ()
Ответ на: комментарий от anonymous

Почему врачей не учат на моделях, а они идут и режут трупы? Или инженеров, которые идут на практику работать на производство?

Модель ничему не учит, тем более такая примитивная как МИНИКС. Кому на рынке нужны специалисты по МИНИКС? Учить надо решениям которые применяются в рабочих системах. Тем более весь код открыт и его можно использовать в учебных целях.

Uncle_Bobby ()