А чё там за ядро ща в Debian testing? У меня просто Linux Mint Debian Edition, он относительно тестинга позже обновляется и у меня до сих пор:

$ uname -r
3.2.0-3-amd64

Testing сейчас заморожен и версии ядра там не меняются, поэтому тоже 3.2.

3.7.8-gentooб 3.7.8-gentoo - вешает с ошибками в консоли

У меня ни на одном ubuntu 12.04 не заработало(с __3.2__)

Ключевое подчеркнул.

Тоже не заработало

Ну и что? Уязвимость присутствует и апдейт для 3.5 Космонавт таки выложил.

Пересмотрят политику, может быть.

Маловероятно. С LTS они уже обосрались по полной.

ничего удивительного. тут немного подробностей https://rdot.org/forum/showthread.php?t=2634

на 3.8 перелазь

Ога, как всегда у красноглазиков виноваты все, а ядро линуха безупречно.

Не смеши. Эти все local root которые ещё и не везде и не всегда работают, а закрываются через пару часов после выхода в паблик, они угрозу представляют только тем у кого апдейты раз в год приходят и везде дефолты.

Ещё раз повторю, получение злоумышленником доступа к учетке способной что то исполнять уже само по себе есть взлом и подвиг можно сказать. От этого и защищаемся. А все эти local root это так, говно хостинги ломать.

Ну и что? Уязвимость присутствует и апдейт для 3.5 Космонавт таки выложил.

На 64 битах ну не работает и все тут. Вот что делать мне а?

Скастуйте кто-нибудь любителей x86.

зато в прошлый раз была уязвимость только для x86_64 :)

Не смеши. Эти все local root которые ещё и не везде и не всегда работают, а закрываются через пару часов после выхода в паблик, они угрозу представляют только тем у кого апдейты раз в год приходят и везде дефолты.

бгг. неважно, как быстро они закрываются после выхода в паблик.
важно, сколько их использовали до публикации.

Эти все local root которые ещё и не везде и не всегда работают

Работают они _везде_. exploit'ы специально выкладывают под маргинальщину, чтобы скрипт-кидди не смогли воспользоваться дырой.

а закрываются через пару часов после выхода в паблик

Закрываются это когда поставлено обновление на машину и машина перезагружена, до этого момента могут пройти годы, особенно на машинах миллионов хомячков, которые верят в безупречный линух на котором нет вирусов.

ну так ССЗБ, юзали бы Debian, подобные треды читали бы с улыбкой :)

Вот что делать мне а?

Че делать че делать, снимать штаны и бегать.

Маловероятно. С LTS они уже обосрались по полной.

Обосрались по полной это про недавние взломы rhell. Даже если политику с ядрами не пересмотрят, пофиг. Эти уязвимости совсем не то чему очковать нужно. Бажный openssl например, беда. Или ssh.

ога, конечно

А ты тред почитай, вон сколько пруфов с улыбкой до ушей :)

Интересно, а Veracode это находила уже?

http://www.securelist.com/ru/blog/40912/Veracode_uzhestochila_trebovaniya_k_b...

Ух ты, ребята неглупые есть. Жаль только, что на ЛОР они не заходят.

// b.

Работают они _везде_. exploit'ы специально выкладывают под маргинальщину, чтобы скрипт-кидди не смогли воспользоваться дырой.

тут мало кто это понимает :)

А хомячки - ССЗБ, и любители халявы.

Ога, как всегда у красноглазиков виноваты все, а ядро линуха безупречно.

я не говорил, что «безупречно», я говорил «уязвимость не работает».

Зачем мне это? Кому надо те доработают.

очередной слив защитан.

зато в прошлый раз была уязвимость только для x86_64

…которая тоже не работала.

укладывала с полпинка даже рхел с апдейтами

Закрываются это когда поставлено обновление на машину и машина перезагружена, до этого момента могут пройти годы, особенно на машинах миллионов хомячков, которые верят в безупречный линух на котором нет вирусов.

почему тогда на машинах хомячков этих вирусов НЕТ? Что-то тут не так.

SELinux защищает, но весьма...

... и весьма условно. Просто для сплоита нет соотв. политики, позволяющей ему использовать netlink. Как только такая политика появляется, сплоит срабатыввет на х86. Только что проверил.

я говорил «уязвимость не работает».

Как уязвимость может работать или не работать? Не работает приложенный exploit, а сама уязвимость просто есть и при желании ей можно воспользоваться.

очередной слив защитан.

Ага, от тебя.

Работают они _везде_. exploit'ы специально выкладывают под маргинальщину,

А это смотря где выкладывают. И вопрос работоспособности на x64 таки не доказан.

машина перезагружена.

У тебя windows головного мозга. Не всегда нужна перезагрузка(не будь животным потрудись загуглить). Даже ядро менять можно без перезагрузки(при желании и руках + тулзы).

до этого момента могут пройти годы

Фееричный бред, апдейты безопасности приходят автоматом. Админ ставит ребут в ближайшее окно. Так у нас по крайней мере.

особенно на машинах миллионов хомячков

Десктоп в среднем больше пары суток не работает. Опять таки в убунте есть механизм уведомить пользователя когда перезагрузка таки необходима.

пока нет, так как критическая масса еще не достигнута

укладывала с полпинка даже рхел с апдейтами

ну говорю-же - значит RH проблемы.

а еще деб, генту, сусе, убунту :)
остальные ос на серверах попадаются раз в сто лет, так что на них никто не проверял и сплойт не пилил под них

У тебя windows головного мозга. Не всегда нужна перезагрузка(не будь животным потрудись загуглить). Даже ядро менять можно без перезагрузки(при желании и руках + тулзы).

Ага, есть мифический kexec, только я ни разу не видел его применений. Проще перезагрузить машину, что делают 99.99999%.

Фееричный бред, апдейты безопасности приходят автоматом.

Ога, а потом срань на полэкрана в сраной бубунте возникает и не дает работать, поэтому это просто вырубают, чтоб не мешалось.

Админ ставит ребут в ближайшее окно.

Какой, нахрен, админ? Хомячок, работающий на локалхосте уже админос стал?

Десктоп в среднем больше пары суток не работает.

Вранье.

а о миллионах хомячков-пользователей бубунты

У них завтра обновится ядро само. В чем проблема?

Как уязвимость может работать или не работать? Не работает приложенный exploit, а сама уязвимость просто есть и при желании ей можно воспользоваться.

ну дык продемонстрируй. КАК ты её воспользовался. А то у меня вот что-то не получилось.

а еще деб

в дебе у мну тоже не взлетело.

ну дык продемонстрируй. КАК ты её воспользовался.

Ты идиот? Еще раз для тугодумов: мне _нахрен_ не нужна эта уязвимость и я не буду ей пользоваться.

А то у меня вот что-то не получилось.

Не удивительно, квалификации не хватило.

пока нет, так как критическая масса еще не достигнута

Бред. Учитывая среднюю платежеспособность линуксоидов лично я бы хотел стилер под ubuntu который работает по стандартному windows сценарию (без участия пользователя то есть), умеет заражать машины в локалке, и распространяться через сменные носители и веб.

Но увы, под бунты это слишком сложно сделать. И это с учетом того что пока марк по поводу безопасности на десктопе особо не напрягается. А что будет когда начнет?

Учитывая среднюю платежеспособность линуксоидов

0

паблик версия abftw.c дебиан не пробивала, ага.
народ юзал специально допиленную версию

вообще-то да. Любая дырка в минимальном варианте позволяет сделать дос, и практически любой дос можно раскрутить до priviledge escalation (вопрос только в трудозатратности этого процесса).

3.5? Нет, не ставится. Мета-пакет linux-image зависит от 3.2, и все блобы заточены именно под него.

Ага, есть мифический kexec, только я ни разу не видел его применений. Проще перезагрузить машину, что делают 99.99999%.

Ты или баран, или прикидываешься. Конечно большинству ПРОЩЕ, проще ребут сделать. Особенно проще когда админ и тот кто шарит это разные люди. Но на то и есть разнообразие инструментов. Там где критично действительно пользуют kexec. Конечно таких мест не много но это не значит что технология плохая.

Ога, а потом срань на полэкрана в сраной бубунте возникает и не дает работать, поэтому это просто вырубают, чтоб не мешалось.

У нормальных людей запускается менеджер обновлений(если админ в офисе им разрешил обновлять). У дебилов конечно «возникает срань». И потом, речь идет о сервере где как известно никаких окон.. )))

Какой, нахрен, админ? Хомячок, работающий на локалхосте уже админос стал?

Да самый что ни на есть натуральный.

Вранье.

По моей статистике нет. Уведомление о необходимости перезагрузки никто не отменяет.

Ты идиот? Еще раз для тугодумов: мне _нахрен_ не нужна эта уязвимость и я не буду ей пользоваться.

да, я идиот. Защищать свои системы ты тоже не собираешься?

Не удивительно, квалификации не хватило.

вот, думал найти кого поумнее.

0

Учитывая последние события, и статистику по кикстартеру вместе с бандлами. Можно смело сказать что имея крайне маленький процент среди пользователей десктопа, линуксоиды в состоянии сами проплачивать себе порты игрушек на свою платформу. Это феерично.

Учитывая среднюю платежеспособность линуксоидов

0

незвезди. Я со своей машины только-что перевёл $10 куда-то, почему не вирусмейкеру? Почему вирусмейкер должен унижаться, с просьбой отправить СМС, а не просто отослать себе нужную сумму, как это можно сделать с моих систем? Миллионером не станешь, но на кусок хлеба тебе хватит.

и практически любой дос можно раскрутить до priviledge escalation (вопрос только в трудозатратности этого процесса).

ЩИТО?

что тебе в процитированном тобой непонятно?

Я со своей машины только-что перевёл $10 куда-то

бугога, ты только что доказал мое утверждение

Учитывая последние события

Какие?

и статистику по кикстартеру вместе с бандлами.

То там где линуксоиды громче всех орут? Так это еще не статистика.

Вранье. Я скачивал официальный образ с 12.04.2, так вот, 3.5 приезжает по дефолту.

бугога, ты только что доказал мое утверждение

Все мои знакомые линуксоиды покупают что то в сети(почти у всех есть visa/master card и paypal аккаунт. И только некоторые из знакомых виндузятников имеют хотя бы Wm кошелек. Лично моя статистика.

моя статистика говорит об обратном

Какие?

Ну что значит какие? Официальное заявление вальв, анонсы кучи игр из кикстартера(порты которых мы сами и оплатили). Статистика покупок бандлов, etc.

То там где линуксоиды громче всех орут? Так это еще не статистика.

Дурачка не строй, там есть статистика.