Linux, scoperto bug critico in attività da 9 anni

Linux, scoperto bug critico in attività da 9 anni

Un bug che consente l'escalation dei privilegi è stato scoperto di recente su Linux, ma sarebbe in attività da ben nove anni. La patch ufficiale è già stata rilasciata

di pubblicata il , alle 15:31 nel canale Sicurezza
Linux
 

Quasi tutte le distribuzioni Linux sono state vulnerabili ad un bug critico negli ultimi nove anni ed è caldamente consigliabile l'installazione di un fix. L'exploit viene identificato come CVE-2016-5195, con il bug che permette un'escalation dei privilegi all'interno del sistema operativo. La gravità è inferiore rispetto a vulnerabilità che consentono l'esecuzione di codice da remoto, tuttavia il bug è stato contrassegnato come critico e non è consigliabile prenderlo troppo alla leggera.

Questo perché principalmente risiede su una parte del kernel Linux utilizzata dalla maggior parte di distribuzioni, e anche e soprattutto perché l'exploit è stato utilizzato fattivamente da vari cyber-aggressori nel corso del tempo. Secondo Dan Rosenberg, ricercatore di Azimuth Security: "È probabilmente il più grande caso di privilege escalation locale su Linux di sempre. La vulnerabilità è presente da nove anni, un periodo di tempo lunghissimo in queste circostanze".

Al momento in cui scriviamo molte distribuzioni di Linux sono in varie fasi delle procedure di distribuzione delle patch, dopo che una patch generica è stata rilasciata ufficialmente. L'exploit in questione può consentire ad un utente malintenzionato di ottenere maggiori livelli di controllo su uno specifico sistema. Ad esempio un utente con accesso limitato su un server web-hosting può utilizzare l'exploit per ottenere l'accesso alla shell principale e più profonda.

Da qui l'aggressore può attaccare i vari utenti del server o addirittura anche i suoi amministratori. Le vulnerabilità di escalation dei privilegi possono essere combinate anche con altri exploit, come ad esempio bug SQL injection per eseguire codice malevolo che senza i permessi più elevati non potrebbe essere sfruttato. Lo sviluppatore Linux Phil Oester è stato il primo a scoprire la vulnerabilità, che è stata poi trattata diffusamente dal sito tecnologico Ars Technica.

161 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
ziobepi21 Ottobre 2016, 15:52 #1
Purtroppo il problema è che il quality-testing è calato terribilmente nel mondo opensource, per via della crisi economica
GTKM21 Ottobre 2016, 15:57 #2
Originariamente inviato da: ziobepi
Purtroppo il problema è che il quality-testing è calato terribilmente nel mondo opensource, per via della crisi economica


fano21 Ottobre 2016, 16:03 #3
Il problema non credo sia la crisi economica, ma che Linux e qualità sono proprio due cose avulse
ziobepi21 Ottobre 2016, 16:05 #4
Originariamente inviato da: fano
Il problema non credo sia la crisi economica, ma che Linux e qualità sono proprio due cose avulse


Dieci anni fa non era così. Le prime Ubuntu erano competitive con XP.

Poi la crisi economica. I miglioramenti di Windows.
E un kernel BLOATED, come ammesso dallo stesso Torvalds.
Axios200621 Ottobre 2016, 16:18 #5
Escalation dei privilegi da locale, mica da remoto, come giustamente scritto nel testo dell'articolo....

https://access.redhat.com/security/cve/cve-2016-5195

Ma meglio soffermarsi al titolone bomba...
El Tazar21 Ottobre 2016, 16:18 #6
L'avra infilato Microsoft !!!!!
suneatshours8621 Ottobre 2016, 16:22 #7
scoprono un bug e "Purtroppo il problema è che il quality-testing è calato terribilmente nel mondo opensource, per via della crisi economica".
Sono curioso sul quanto sia inteso tuo rapporto con il mondo opensource per sparare ste svirgolate anche sui thread linux.
ziobepi21 Ottobre 2016, 16:30 #8
Originariamente inviato da: suneatshours86
Sono curioso sul quanto sia inteso tuo rapporto con il mondo opensource per sparare ste svirgolate anche sui thread linux.


Cioè vuoi il mio curriculum?
Tasslehoff21 Ottobre 2016, 17:14 #9
Mah, io francamente trovo curiose tutte queste lamentele sulla presunta riduzione qualitativa del software opensource.

Anzitutto dietro a questa etichetta c'è tutto e il contrario di tutto, quindi dire una cosa del genere è un po' come fare di tutta l'erba un fascio, in secondo luogo a me pare invece esattamente l'opposto.
Mai come in questi anni si sta assistendo a una migliore organizzazione del lavoro nel mondo open, il che va di pari passo con l'importanza e la criticità che tanti progetti open stanno assumendo nel mondo dell'IT; pensiamo a progetti supercritici come i vari orchestrator (Ansigle, Puppet, Chef, giusto per citare i principali), intere suite IaaS (es OpenStack) ma anche ai tanti progetti storici su cui si basa l'ossatura stessa delle architetture applicative da quasi vent'anni (pensiamo ai millemila progetti dell'Apache software foundation, HTTPD e Tomcat in primis).

Suggerisco (ma non auguro) a coloro che affermano il contrario di farsi un giro su qualche progetto basato sui blasonati polpettoni proprietari su cui purtroppo le aziende spesso decidono di buttare palate di soldi (scegliete voi, IBM, Oracle, SAP, Microsoft), tra requisiti fantasmagorici rispetto alle performance, ticket interminabili, workaround imbarazzanti, fatures indietro di almeno 10 anni rispetto alle controparti non commerciali... e auguri.

Originariamente inviato da: fano
Il problema non credo sia la crisi economica, ma che Linux e qualità sono proprio due cose avulse
Scusa e su quali basi affermi tutto questo?
Stiamo parlando di cose serie (es instabilità del kernel, problemi su I/O, gestione risorse) o di quisquilie (tipo "ho installato l'ultima Ubuntu e Amule non parte"?
fano21 Ottobre 2016, 17:40 #10
Stiamo parlando di un kernel che basta uno sbordamento ben cucinato e ti fa passare da utente normale a utente root con potere assoluto sulla macchina a me pare una cosa molto, molto seria ed anche abbastanza indifendibile

Ma del resto Linus Torvalds una volta se lo fece scappare che lui delle vulnerabilità di sicurezza se ne sbatte la fava quindi...

http://article.gmane.org/gmane.linux.kernel/706950

"scimmie masturbanti" ma va là

Se poi contiamo che su sistemi mission critical te lo scordi di aggiornare il kernel (noi abbiamo 50 sistemi in produzione con CentOs 5.4 e chissà quale versione di kernel? Boh 2.6 qualcosa?) che fai le aggiorni e ricompili tutti gli applicativi? E sì perché se speri che il nuovo kernel col bug fixato di 9 anni faccia girare gli applicativi senza ricompilare o crash random vivi nel mondo delle fiabe
Per sistemi tremendamente importanti ci si riduce al "back porting" che tristezza

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^