GrSecurity 2.1.0 и проблемы с безопасностью в ядре Linux

Особенно впечатляет

>Using 'advanced static analysis': "cd drivers; grep copy_from_user -r ./* | grep -v sizeof", I discovered 4 exploitable vulnerabilities in a matter of 15 minutes.

Это первый гвоздь в крышку гроба Linux :)

одно слово - пионеры. хотя им же секурность побоку, они за фичами гонятся.

Что и не говори - модель девелопмента ядра потихоньку приходит в негодность. Да и сама архитектура не подарок.

> Это первый гвоздь в крышку гроба Linux :)

Для тех, кто родился сегодня утром ;) Для тех, кто вчера вечером -
двадцать первый, а все остальные давно сбились со счёта ;)
Но караван идёт... Напиши свой линукс. Я серьёзно.

> модель девелопмента ядра потихоньку приходит в негодность

Шесть лет назад много было разговоров на эту тему ;)

Ну да. Сейчас все разработчики расплачутся, покинут проект и сделают себе харакири. Жди...

Ну блин, Линусу послал... Он уже и почту-то наверно не читает...

Не знаю, как с ядром, но вчера компилил последнюю glibc (из gentoo2004.3-r1) и по старой привычке пялился в экран :) ну так там проскакивают warnings типа "сравнение всегда дает false из за того, что..."

> Особенно впечатляет

да меня это просто пугает. 2.6 по-моему надо закрыть... ;)

линукс палюбому умрет но это будет не скоро
как уже грилось будущее за GNU/Hurd
главное понять концепцию остальное догоняеца

GNU/Hurd - это вряд ли. Пациент больше мёртв, чем жив. Нет, просто
родится новый Линус, и сделает более правильную ось.

Гвоздь в крышку линукса - мэй би, мэй би - но собсно на линухе свет клином не сошелся... Напишут другое ядро, и всего делов то... или что-то еще начнут развивать. Главное то что - уже написана куча опенсорсного софта, который можно пересобрать почти под любую операционку - так что со смертью линукса - ничего особо не измениться...

2.6 переименовать в девелоперскую ветку:)

>Это первый гвоздь в крышку гроба Linux :)

Еще 10-ть лет назад был не первым... Ты сегодня что ли с линуксом
познакомился?

>2.6 переименовать в девелоперскую ветку:)

2.6 и так деволоперская ветка, каждый раз что-нибудь да поменяют, пока
не утрясется, эдак к версии 2.6.17 примерно, то юзать на продакшене 2.6
есть полное самоубийство... Конечно, все это больше касается оригинальной ванилы, в дистровых ядрах все же больше уделяют внимание на секьюрность
и прочее....

AC все пофиксит, патчи от него караванами идут, для 2.6.9 их 16 было :)

линукс не умрёт, он будет жить на виртуальной машине внутри лонгхорна

>Брэд Спенглер выразил свое сожаление и недоумение политикой принятия исправлений проблем безопасности в ядре Linux.

Интересно, сколько ему проплатили в МС ? Сейчас МС ведет войну не на жизнь а на смерть.. И любые средства хороши для него, пусть самые грязные.. Взять хотя бы откровенное проплачивание SCO... Такой гигант, обуявший более половины мира противостоит, шутка ли.. И паниковать не нужно.. Никаких гробов и гвоздей... К чему истерия? На это и рассчитывают...

>одно слово - пионеры.
Это ты Линуса пионером называешь ?
А что прости ты из себя представляешь ? Только бздеть под своей дохлой BSD горазд ? Или может не только, может ты нам сейчас раскроешь глаза какой ты чиста гений ?

>может ты нам сейчас раскроешь глаза какой ты чиста гений ?
Ага раскроет, такие только бздеть и могут, не зря их бздунами называют.
Терпеть не могут Linux и упорно ходят на сайты ему посвещенные, просто чтобы воздух попортить.

> Интересно, сколько ему проплатили в МС ? Сейчас МС ведет войну не на жизнь а на смерть..

хочешь, я тебе на ушко шепну, сколько мне заплатила M$, за то, что бы я разместил (и подтвердил) эту новость тут? ;)

а зачем на ушко? ;) ты всем скажи ;) тут чужих нет, все свои ;)

> Ага раскроет, такие только бздеть и могут, не зря их бздунами называют.
Типичный обиженный на весь мир пионер. Ну в упор не желают проклятые злопыхатели признавать вечный небесно-посланный "рулез" Линукса. Одно слово - бздуны...

>может ты нам сейчас раскроешь глаза какой ты чиста гений ? Ага раскроет, такие только бздеть и могут, не зря их бздунами называют. Терпеть не могут Linux и упорно ходят на сайты ему посвещенные, просто чтобы воздух попортить.

А что вы обижаетесь, я не пойму. Винду же у вас неучи пишут, вы видимо самые самые кулхацкеры.

да это старая история - Линусу шлют патчи вагонами, он почту нифига не читает, а потом на него крепко обижаются

Но что то с трудом верится что один Линус ничего не читает. Там наверное целая команда разрабочиков сидит. Прям таки шаражкина конторка "Линус энд кернел". Что то с трудом в это верится.

> хочешь, я тебе на ушко шепну, сколько мне заплатила M$, за то, что бы я разместил (и подтвердил) эту новость тут? ;)

Предлагаю ввести правило, запрещающее админу, запостевшиму новость, подтверждать её. Чтобы M$ не смог повлиять на невинные детские умы черным PR, заплатив всего лишь одному админу. ;)

>хочешь, я тебе на ушко шепну, сколько мне заплатила M$, за то, что бы я разместил (и подтвердил) эту новость тут? ;)

конечно!:)

Да вообще нужно сделать кассу, в которую будут платить бабки авторы новостей - хочешь запостить новость - плати ж-)

на lkml подписаться чудаку видать религия запрещает... обидели ребенка, не ответили на письмо. и даже не держат отдельного чела чтоб он письмами бреда занимался =)))

а bsd не трогайте. это наше все. только с неправильной пока лицензией =)

Ядро, конечно, они заколебали грузить новыми особенностями - лучше бы старые дырки вычистили.

Рассказываю. Взял из федориной девельной ветки ядро 2.6.10-1.1074, собрал. Поставил. Очень обрадовался тому, что перестали oops'ы сыпаться после перелогинивания в иксах (nvidia).

Но радость длилась недолго - с этим ядром kicker и рабочий стол KDE виснет намертво. Проверял несколько раз. Откатываюсь на 2.6.9-1.715 - все в порядке.

Просмотрел логи - тишина.

>Но радость длилась недолго - с этим ядром kicker и рабочий стол KDE
>виснет намертво. Проверял несколько раз. Откатываюсь на 2.6.9-1.715 -
>все в порядке.

Есть такое:((.... Но вчера появилось новое ядро для FC3 - 2.6.10-1.737_FC3,
поставил и вроде полет нормальный...

имхо где-то пробегала мысль о том, что 2.6.* for brave ones, но для десктопа сгодится :) ну а с др стороны, мож не надо спешить - через недельку Линус найдёт в спаме письмо и ...

>>Взял из федориной <b>девельной</b> ветки ядро 2.6.10-1.1074...

этим все сказано ;-)

> Но радость длилась недолго - с этим ядром kicker и рабочий стол KDE виснет намертво. Проверял несколько раз. Откатываюсь на 2.6.9-1.715 - все в порядке.
А в "чистом" 2.6.10 с kernel.org вроде всё работает - может это всё же в RedHat натворили?

>А в "чистом" 2.6.10 с kernel.org вроде всё работает - может это всё же в >RedHat натворили?

В девел ветке 2.6.10 почти "чистый", так что причина пока не известная,
в ветке FC3 2.6.10 с патчами от AC, вот именно это ядро работает как
надо, правда долго я его еще не гонял, но достаточно, что бы повисло
ядро из девел ветки...

Ага - даёшь мозиллу под ДОС ))

> В девел ветке 2.6.10 почти "чистый", так что причина пока не известная, в ветке FC3 2.6.10 с патчами от AC, вот именно это ядро работает как надо, правда долго я его еще не гонял, но достаточно, что бы повисло ядро из девел ветки...

Чушь. В rhel/fedora нет даже близко 2.6.10 с kernel.org. rhel так вообще 4g/4g до сих пор(или "уже") держит, в fedora сбросили на днях. Из -ac взяли опять-таки только в последней версии исправления связанные с недавно обнаруженными дырами в безопасности, никаких других частей оттуда не берут. Кокс только рекомендует davej, что можно взять.

P.S. между fc ядрами и kernel.org несколько сот килобайт разница...

Вот и я говорю -- все кругом пионеры, один Тоха рулезный мэн.

У Билли есть отдел который занимается разборкой его ящика.
У Линуса нет.

Но во всех README написано, слать патчи надо в список рассыки разработчиков,
а не самому Линусу, но этот придурок конечно же самому Линусу послал,
а теперь бедняжка ходит обиженная и еще всем об этом рассказывает.

дурак он одним словом.

4g? Это который 4Gb? В fedora cо времен 1 версии.

Другой момент, что в 2.6.10 от fedora включено аж 4 планировщика и некая таинственная штука, о которой руки не доходят почитать, под названием xen. При этом зачем-то вернули возможность убирать/выставлять 4k stacks.

P.S. Уколбашено оно, конечно, хитро, но опять же не все патчи, которые идут в rpm, используются при постройке.

4McMcc: Есть вопрос - у тебя нормально собиралось ядро из devel'а? Потому как у меня их spec вызывает только ошибки из-за make -s ARCH=$Arch (и пришлось его приводить в первоначальное состояние).

Бреду надо было послать с голубями или открыткой патч. тогда обижаться получилось бы круче что не принимают дескать. или написать что телепатировал а они гады не приняли телепатем. бизя дескать

А чего он их Путину не послал ?

По моему перец баги не правильно оформлял.

Но думаю что Линус возмет его в качестве секретарши для разбирания багов)

> на lkml подписаться чудаку видать религия запрещает...

он написал же, что есть семья, друзья, работа, и lkml не является для него всем миром.

>Есть вопрос - у тебя нормально собиралось ядро из devel'а? Потому как у
>меня их spec вызывает только ошибки из-за make -s ARCH=$Arch (и
>пришлось его приводить в первоначальное состояние).

Да, нормально, такие ошибки могут быть только если ты менял их
конфиг файлы, там указаны ARCH, если ты их перегенерил, то
ARCH вырезается и возникает такая ошибка....

>Чушь. В rhel/fedora нет даже близко 2.6.10 с kernel.org. rhel так вообще
>4g/4g до сих пор(или "уже") держит, в fedora сбросили на днях. Из -ac
>взяли опять-таки только в последней версии исправления связанные с
>недавно обнаруженными дырами в безопасности, никаких других частей
>оттуда не берут. Кокс только рекомендует davej, что можно взять.

Возьми и скачай последнее ядро из девел Fedora, а то сразу чушь...
В отличии от вас, я это ядро смотрел и различия от ванилы в xen,
execshield и selinux, отсутствуют патчи от AC, зато одни дополнения из bk...

Iz rawhide FC4 vzjal ;-)))? V devel vetke FC4 jadra s *-bk patchami! DON'T USE THEM, IF YOU WANT TO USE THE NVIDIA DRIVER!

A s NVIDIA problema v tom, chto onu -- urodi, a eto ne lechitsa. V dokah jasno napisano, chto nelsa ispolsovat' dlja DMA pamjat', videlennuju vmalloc*, inache ne budut rabotat' phys_to_virt/virt_to_phys. Eti idioti is NVIDIA sdelali vsjo tochno naoborot. Usajut vmalloc* pamjat' dlja DMA (usr/src/nv/nv.c: __get_phys_address() -> makrosi v nv-linux.h) delaja mappping s pomoshju privatnich trjukov v <arch/*/asm*/*>. Nachinaja s *-bk5 <asm*/pg*.h> izmenilis'. Poprobuj sobrat' 2.6.10 s bk patchem i potom nvidia modul iz sirzov. On daje kompilitsa ne budet. Hint: #define pmd_offset(...) v <arch/*/asm*/pgtable.h>.

Здесь кто-то еще использует GrSecurity?