Grave vulnerabilità nei kernel Linux a 64bit

[medicina]

Quote:

Originariamente inviato da fano

Se preferisci dico "vecchioni" comunque mi pare in sto caso il vaglio non sia venuto molto bene dai la patch c'era da 2 anni ed è stata pure tolta?
Alla faccia dei vagli e dei sarc@zzi...

Forse il buon Linus era distratto

Ma non sarà stata letteralmente tolta, più semplicemente vanificata da una modifica successiva. Nel vaglio non ci si è accorti della regressione...

[sistema09]

Io non ci capisco niente di kernel, so solo installarne uno, ma mi sento comunque più tranquillo sapendo che c'è un problema su linux e che ci stanno lavorando, piuttosto che sentirmi dire che su windows non non ce ne sono, oppure che con un buon antivirus si è al sicuro...anni di utilizzo linux 64 e 32 bit mai un virus, mai un problema non gestibile.

[picard12]

Quote:

Originariamente inviato da raistlin84

In pratica si deve aver già un accesso alla macchina, che sia da remoto o locale non cambia, ma rimane il fatto che l'accesso si deve già avere. Potrei lanciare il codice come user da remoto per e ottenere l'accesso root. Tuttavia se non dispongo già di un accesso non posso fare niente.

Non è un discorso "winzoz" è meglio o peggio. Da utilizzatore di Linux dico che oggettivamente ha le sue falle, e sempre le avrà (come tutti gli O.S.), la differenza stà principalmente nel fatto che tali problemi vengono risolti nel giro di ore dalla community, mentre per Microsoft passano giorni, e mentre un privato può anche avere un sistema non subito patchato (personlmente non condivido, visto che si paga), un'azienda non può certo permettersi questo lusso.

ben detto...

Quote:

Originariamente inviato da s0nnyd3marco

La vulnerabilità è effettivamente molto grave. Molte aziende devono dare accesso remoto agli utenti tramite ssh. Come soluzione temporanea si potrebbe disabilitare il layer di compatibilità per le applicazioni 64bit.
Penso che molti sistemisti passeranno qualche notte insonne per sistemare sta cosa nelle loro aziende.

da quando i sistemi a 32bit hanno il layer per le applicazioni a 64bit..pur di dire qualcosa vero si dicono delle cose "realistiche!!"

Quote:

Originariamente inviato da floc

fuoco di paglia... o meglio, MOLTO meno grave di quanto si puo' pensare a una prima lettura, bisogna avere un account utente locale valido per effettuare l'excalation. oltre al fatto che su un server puro a 64bit il layer di compatibilita' non c'e'

quindi i detrattori di linux dovranno attendere un altro po' per avere la loro fine del mondo

Infatti, oltre al fatto che il problema è già sparito.. insomma non hanno fatto in tempo a scrivere la notizia che già non c'è più..

[lucabeavis69]

Quote:

Originariamente inviato da theJanitor

un sistema operativo è inviolabile solo nella mente del fanboy che lo difende

[strangers]

Si discute come al solito di aria
fritta....
Windows è l'unico dove l'antivirus è praticamente
d'obbligo per cui i windows
boy hanno poco di che
essere contenti con le solite
frasi fatte trite e ritrite....

[Nui_Mg]

Quote:

Originariamente inviato da strangers

Windows è l'unico dove l'antivirus è praticamente
d'obbligo

Ho sempre criticato Windows per questo o per quello, ma quello che hai scritto è oggettivamente errato (non ci sono "se" o "ma").

[strangers]

"oggettivamente"quando le
statistiche dimostreranno il
contrario di quello che dici
allora ne riparleremo.
Per ora la realtà è ben diversa
e qui dentro vedo solo gente
come al solito felice che hanno
trovato un misero baco in un
sistema praticamente inviolabile.

[Nui_Mg]

Quote:

Originariamente inviato da strangers

"oggettivamente"quando le
statistiche dimostreranno il
contrario di quello che dici
allora ne riparleremo

Ho scritto "oggettivamente" perchè è proprio così usando a fondo gli strumenti che Windows mette a disposizione (io lo faccio da WinXp 32 bit sp2), che poi la maggior parte di utenti windows non li sappia usare è tutto un'altro discorso. Qua la statistica non c'entra niente.

[zappy]

Quote:

Originariamente inviato da raistlin84

Non è un discorso "winzoz" è meglio o peggio. Da utilizzatore di Linux dico che oggettivamente ha le sue falle, e sempre le avrà (come tutti gli O.S.), la differenza stà principalmente nel fatto che tali problemi vengono risolti nel giro di ore dalla community, mentre per Microsoft passano giorni, ....

qua veramente era già risolta 3 anni fa, ma la patch è stata rimossa...

il che da l'impressione di una gestione del progetto assolutamente caotica e disordinata. Come del resto tutti i progetti open in cui partecipano troppe persone (da linux a wikipedia, tanto per fare 2 nomi), l'affidabilità ne risente pesantemente.

[RaouL_BennetH]

ragazzi dovreste invece essere tutti contenti che continuino a trovare falle.

Immaginate cosa accadrà quando nei software troveranno anche i "falli"....

[predator87]

che strano leggere notizie di questo.. alla faccia dei fanboy
Alla fin fine, questo dimostra che tutti i sistemi operativi hanno le loro falle..

[zappy]

Quote:

Originariamente inviato da predator87

che strano leggere notizie di questo.. alla faccia dei fanboy
Alla fin fine, questo dimostra che tutti i sistemi operativi hanno le loro falle..

certo. la differenza è che certe falle le paghi profumatamente ed altre no.

[Baboo85]

Quote:

Originariamente inviato da theJanitor

un sistema operativo è inviolabile solo nella mente del fanboy che lo difende

fantastico, pure l'assonanza!

Comunque e' necessario implementare la patch nelle varie distribuzioni? Non basta il classico aggiornamento?

Fortuna che l'exploit non e' sfruttabile da remoto, molti server di aziende hanno come base linux (poi millemila macchine virtuali sopra) e sarebbe stato un bel colpo...

[pabloski]

mmm vorrei fare alcune considerazioni....

la prima è che nessun software è inviolabile e questo credo che dovrebbe essere chiaro dal primo anno primo semestre di ingegneria informatica o informatica

ok, qualcuno ( WarDuck di sicuro ) dirà che sono un fanboy linux e mi sgolo per cantarne le gesta....è vero, apprezzo molto linux molto più di windows ma molto meno di freebsd o haiku per esempio

il punto da chiarire è che le falle non vengono create uguali e questa dimostra proprio l'assioma in questione.....cosa succede spessissimo su windows? compare una falla, vai su secunia et similia e ( in buona parte dei casi ) trovi "sfruttabile da remoto".....

vai su secunia e soci per cercare falle su linux e trovi che quelle sfruttabili da remoto sono la minoranza

questa falla ad esempio è sfruttabile se hai accesso alla macchina linux....ma prima devi guadagnartelo l'accesso....se hai un accesso legale ad una macchina linux allora sei identificabile e fare cazzate come il rooting non è un'idea particolarmente intelligente

la falla in questione può essere accoppiata ad altre falle che consentono l'accesso con privilegi ridotti ( che so in apache, php, mysql o che altro )....

ma il pattern rimane comunque tortuoso e sconnesso....questo fatto è una garanzia in più rispetto a sistemi dove le falle ti portano dritto al trono

la seconda considerazione riguarda il modello di sviluppo che seppur caotico ha permesso a linux in due decenni di diventare un sistema operativo enterprise che compete alla pari con alternativa closed che hanno dietro milioni di ore uomo di lavoro e centinaia di miliardi di dollari

non sono d'accordo sul fatto che ogni ragazzino può introdurre quello che gli pare e infatti un controllo viene fatto.....obiettivamente un controllo su centinaia di migliaia di righe di codice alla settimana non è proprio facilissimo e ovviamente lo strafalcione capita

realisticamente di problemi del genere su linux ne abbiamo notizia raramente e penso che questo sia un buon indicatore che le cose non vanno così male....in una scala di sicurezza da 1 a 10, io a linux darei un 7

è chiaro, confrontato con openbsd, linux fa la figura dell'idiota...ma pure confrontandolo con freebsd non ne esce bene

la terza considerazione è che linux com'è oggi non va bene e Tanenbaum aveva ragione ( certo cose sono del resto ovvie e non mi capacito di come i programmatori in certi casi siano così ottusi )....i microkernel avranno pure un livello di complessità architetturale elevato, ma sono eleganti, non sono bloated, la riusabilità del codice è spinta al massimo, costringono chi li sviluppa a farlo in maniera rigorosa, il debug è facile e la manutenibilità è qualcosa che i kernel monolitici possono solo sognare

purtroppo i microkernel sono ad oggi solo un affare da ricerca scientifica o sistemi mission critical....nessuno dei 3 sistemi operativi più noti è microkernel

[predator87]

Quote:

Originariamente inviato da zappy

certo. la differenza è che certe falle le paghi profumatamente ed altre no.

[medicina]

Quote:

Originariamente inviato da picard12

Infatti, oltre al fatto che il problema è già sparito..

Ieri su OpenSUSE non era affatto sparito, oggi controllerò di nuovo ma temo ci vogliano ancora un paio di giorni massimo.

Quote:

Originariamente inviato da zappy

qua veramente era già risolta 3 anni fa, ma la patch è stata rimossa...

il che da l'impressione di una gestione del progetto assolutamente caotica e disordinata. Come del resto tutti i progetti open in cui partecipano troppe persone (da linux a wikipedia, tanto per fare 2 nomi), l'affidabilità ne risente pesantemente.

Il modo di sviluppare di Wikipedia e Linux hanno poco in comune. In Wikipedia il controllo delle modifiche, che vengono fatte da chiunque, è affidata alla disponibilità del momento e al tempo (e, per inciso, alcuni discipline della versione italiana sono un vero disastro in termini di qualità). In Linux non viene accettato niente se prima non viene controllato. In realtà nello sviluppo del software sia aperto e chiuso si ha come un problema costante il presentarsi di regressioni, che a volte riguardano la perdita involontaria di caratteristiche prima presenti, altre volte, come in questo caso, sono inerenti la perdita di sicurezza.

Come ho scritto prima, non è corretto parlare di patch rimossa, ma di patch vanificata da modifiche successive.

[s0nnyd3marco]

Quote:

Originariamente inviato da picard12

ben detto...

da quando i sistemi a 32bit hanno il layer per le applicazioni a 64bit..pur di dire qualcosa vero si dicono delle cose "realistiche!!"

Infatti, oltre al fatto che il problema è già sparito.. insomma non hanno fatto in tempo a scrivere la notizia che già non c'è più..

Chiedo venia.. il layer per le applicazioni 32bit sul kernel 64.

[WOPR@Norad]

Quote:

Originariamente inviato da pabloski

purtroppo i microkernel sono ad oggi solo un affare da ricerca scientifica o sistemi mission critical....nessuno dei 3 sistemi operativi più noti è microkernel

Quali sarebbero i 3 sistemi operativi più noti?

[fano]

Direi il riferimento era a:

• Windows
• Mac OSX
• Unix & derivati (compreso il nostro amico pinguino)

I primi due si definiscono "kernel ibridi" (pare sia marketing... non vuol dire 'na sega in realtà), Linux invece si definisce "orgogliosamente" monolitico...

Anche Haiku/BeOS dovrebbe essere un kernel "ibrido" (qualunque cosa significhi)... l'unico vero microkernel minimamente noto è Minix... noto più che per il thread sui newsgroup del suo autore che diceva che Linux avrebbe succhiato per sempre... e che Minix ce l'aveva grosso... ironia della sorte 20 anni dopo Linux succhia lo stesso , ma è ovunque... Minix non se lo fila nessuno

Trovato il link al thread originale del 92:
http://bit.ly/bNItFm

[picard12]

Quote:

Originariamente inviato da medicina

Ieri su OpenSUSE non era affatto sparito, oggi controllerò di nuovo ma temo ci vogliano ancora un paio di giorni massimo.



Il modo di sviluppare di Wikipedia e Linux hanno poco in comune. In Wikipedia il controllo delle modifiche, che vengono fatte da chiunque, è affidata alla disponibilità del momento e al tempo (e, per inciso, alcuni discipline della versione italiana sono un vero disastro in termini di qualità). In Linux non viene accettato niente se prima non viene controllato. In realtà nello sviluppo del software sia aperto e chiuso si ha come un problema costante il presentarsi di regressioni, che a volte riguardano la perdita involontaria di caratteristiche prima presenti, altre volte, come in questo caso, sono inerenti la perdita di sicurezza.

Come ho scritto prima, non è corretto parlare di patch rimossa, ma di patch vanificata da modifiche successive.

il rilascio del kernel 2.6.35.5 non ti dice nulla?
si parlava di kernel sistemato non di suse...