Linux Foundation: attacco ai server e servizi offline - Pagina 2

medicina · 14-09-2011, 12:46

Chi ha accesso alle funzionalità di git, non è detto che abbia anche una login per loggarsi nel server come utente. Chi gestisce l'accesso a git, non deve essere root, potrebbe godere di qualche privilegio in più nel sistema per altri motivi, ammesso che sia influente, si tratta sempre di una, due o tre persone, contro tutti gli altri utenti del sistema che in teoria possono perdere la propria password.

Insomma, il punto del mio discorso - altrimenti ci perdiamo - è che non si può liquidare la cosa come semplice furto di credenziali d'accesso (cosa che è solo supposta che sia avvenuta tra l'altro). Purtroppo anche i programmatori di Linux sono umani e possono fare errori e non mi sembra giusto dare l'idea di una inviolabilità che in pratica non sussiste, tanto meno mi pare giusto farlo proprio dopo che purtroppo hanno subito uno smacco del genere.

Vedremo se ci saranno novità nei prossimi mesi che possano fare un po' di luce.

ironoxid · 14-09-2011, 22:16

Ci sono continuamente patch di sicurezza al kernel, ma questa non è una debolezza, piuttosto è la forza di linux! Quindi, ottimo direi, kernel.org tornerà online ed avranno pure chiuso un altra falla (senza aspettare il patch day del semestre successivo)!

Naturalmente su linux (linux è solo il kernel) le falle individuate sono spesso riferibili a condizioni molto particolari (es. è stato individuato che in sistemi con il modulo xemn83r8h, con l'opzione sdmw92d=38d e dend=4234 un utente locale con privilegi di... potrebbe scalare i privilegi).
Anche il software "maturo" legato alle principali distribuzioni linux riceve patch di questo genere, ma è rarissimo che ci sia un problema generale su configurazioni di default o quantomeno comuni.

Naturalmente partire con un account locale su un sistema è già un bel vantaggio, tanto più se questo account ha anche qualche privilegio particolare. Come già detto comunque, hanno sfruttato un exploit.

Anche linux ha il suo orifizio ma perlomeno non ha un cratere.
Ma perlomeno ripareranno a breve e non si fanno pagare per fornire un cratere che poi ti sfonda il primo script kiddie

14-09-2011, 12:46	#21
medicina Senior Member Iscritto dal: Jul 2001 Messaggi: 1787	Chi ha accesso alle funzionalità di git, non è detto che abbia anche una login per loggarsi nel server come utente. Chi gestisce l'accesso a git, non deve essere root, potrebbe godere di qualche privilegio in più nel sistema per altri motivi, ammesso che sia influente, si tratta sempre di una, due o tre persone, contro tutti gli altri utenti del sistema che in teoria possono perdere la propria password. Insomma, il punto del mio discorso - altrimenti ci perdiamo - è che non si può liquidare la cosa come semplice furto di credenziali d'accesso (cosa che è solo supposta che sia avvenuta tra l'altro). Purtroppo anche i programmatori di Linux sono umani e possono fare errori e non mi sembra giusto dare l'idea di una inviolabilità che in pratica non sussiste, tanto meno mi pare giusto farlo proprio dopo che purtroppo hanno subito uno smacco del genere. Vedremo se ci saranno novità nei prossimi mesi che possano fare un po' di luce.

14-09-2011, 22:16	#22
ironoxid Member Iscritto dal: Feb 2007 Messaggi: 62	Ci sono continuamente patch di sicurezza al kernel, ma questa non è una debolezza, piuttosto è la forza di linux! Quindi, ottimo direi, kernel.org tornerà online ed avranno pure chiuso un altra falla (senza aspettare il patch day del semestre successivo)! Naturalmente su linux (linux è solo il kernel) le falle individuate sono spesso riferibili a condizioni molto particolari (es. è stato individuato che in sistemi con il modulo xemn83r8h, con l'opzione sdmw92d=38d e dend=4234 un utente locale con privilegi di... potrebbe scalare i privilegi). Anche il software "maturo" legato alle principali distribuzioni linux riceve patch di questo genere, ma è rarissimo che ci sia un problema generale su configurazioni di default o quantomeno comuni. Naturalmente partire con un account locale su un sistema è già un bel vantaggio, tanto più se questo account ha anche qualche privilegio particolare. Come già detto comunque, hanno sfruttato un exploit. Anche linux ha il suo orifizio ma perlomeno non ha un cratere. Ma perlomeno ripareranno a breve e non si fanno pagare per fornire un cratere che poi ti sfonda il primo script kiddie

Strumenti
Mostra una versione stampabile Invia questa pagina per email