Linux, scoperto bug critico in attività da 9 anni

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/sicurez...nni_65271.html

Un bug che consente l'escalation dei privilegi è stato scoperto di recente su Linux, ma sarebbe in attività da ben nove anni. La patch ufficiale è già stata rilasciata

Click sul link per visualizzare la notizia.

[ziobepi]

Purtroppo il problema è che il quality-testing è calato terribilmente nel mondo opensource, per via della crisi economica

[GTKM]

Quote:

Originariamente inviato da ziobepi

Purtroppo il problema è che il quality-testing è calato terribilmente nel mondo opensource, per via della crisi economica

[fano]

Il problema non credo sia la crisi economica, ma che Linux e qualità sono proprio due cose avulse

[ziobepi]

Quote:

Originariamente inviato da fano

Il problema non credo sia la crisi economica, ma che Linux e qualità sono proprio due cose avulse

Dieci anni fa non era così. Le prime Ubuntu erano competitive con XP.

Poi la crisi economica. I miglioramenti di Windows.
E un kernel BLOATED, come ammesso dallo stesso Torvalds.

[Axios2006]

Escalation dei privilegi da locale, mica da remoto, come giustamente scritto nel testo dell'articolo....

https://access.redhat.com/security/cve/cve-2016-5195

Ma meglio soffermarsi al titolone bomba...

[El Tazar]

L'avra infilato Microsoft !!!!!

[suneatshours86]

scoprono un bug e "Purtroppo il problema è che il quality-testing è calato terribilmente nel mondo opensource, per via della crisi economica".
Sono curioso sul quanto sia inteso tuo rapporto con il mondo opensource per sparare ste svirgolate anche sui thread linux.

[ziobepi]

Quote:

Originariamente inviato da suneatshours86

Sono curioso sul quanto sia inteso tuo rapporto con il mondo opensource per sparare ste svirgolate anche sui thread linux.

Cioè vuoi il mio curriculum?

[Tasslehoff]

Mah, io francamente trovo curiose tutte queste lamentele sulla presunta riduzione qualitativa del software opensource.

Anzitutto dietro a questa etichetta c'è tutto e il contrario di tutto, quindi dire una cosa del genere è un po' come fare di tutta l'erba un fascio, in secondo luogo a me pare invece esattamente l'opposto.
Mai come in questi anni si sta assistendo a una migliore organizzazione del lavoro nel mondo open, il che va di pari passo con l'importanza e la criticità che tanti progetti open stanno assumendo nel mondo dell'IT; pensiamo a progetti supercritici come i vari orchestrator (Ansigle, Puppet, Chef, giusto per citare i principali), intere suite IaaS (es OpenStack) ma anche ai tanti progetti storici su cui si basa l'ossatura stessa delle architetture applicative da quasi vent'anni (pensiamo ai millemila progetti dell'Apache software foundation, HTTPD e Tomcat in primis).

Suggerisco (ma non auguro) a coloro che affermano il contrario di farsi un giro su qualche progetto basato sui blasonati polpettoni proprietari su cui purtroppo le aziende spesso decidono di buttare palate di soldi (scegliete voi, IBM, Oracle, SAP, Microsoft), tra requisiti fantasmagorici rispetto alle performance, ticket interminabili, workaround imbarazzanti, fatures indietro di almeno 10 anni rispetto alle controparti non commerciali... e auguri.

Quote:

Originariamente inviato da fano

Il problema non credo sia la crisi economica, ma che Linux e qualità sono proprio due cose avulse

Scusa e su quali basi affermi tutto questo?
Stiamo parlando di cose serie (es instabilità del kernel, problemi su I/O, gestione risorse) o di quisquilie (tipo "ho installato l'ultima Ubuntu e Amule non parte")?

[fano]

Stiamo parlando di un kernel che basta uno sbordamento ben cucinato e ti fa passare da utente normale a utente root con potere assoluto sulla macchina a me pare una cosa molto, molto seria ed anche abbastanza indifendibile

Ma del resto Linus Torvalds una volta se lo fece scappare che lui delle vulnerabilità di sicurezza se ne sbatte la fava quindi...

http://article.gmane.org/gmane.linux.kernel/706950

"scimmie masturbanti" ma va là

Se poi contiamo che su sistemi mission critical te lo scordi di aggiornare il kernel (noi abbiamo 50 sistemi in produzione con CentOs 5.4 e chissà quale versione di kernel? Boh 2.6 qualcosa?) che fai le aggiorni e ricompili tutti gli applicativi? E sì perché se speri che il nuovo kernel col bug fixato di 9 anni faccia girare gli applicativi senza ricompilare o crash random vivi nel mondo delle fiabe
Per sistemi tremendamente importanti ci si riduce al "back porting" che tristezza

[Il Picchio]

Ok prendo i popcorn. Linux ha un problema, mi aspetto non meno di 200 messaggi e altrettanti paladini che si ergeranno in difesa del suddetto affermando quanto questo sia sempre e comunque migliore di qualsiasi cosa inventata nell'universo fino all'uscita del prossimo aggiornamento e altrettanti troll che non vedranno l'ora di tirarli scemi

[frankie]

Quote:

il più grande caso di privilege escalation locale su Linux di sempre.

ogni riferimento ad un frutto di stagione è puramente casuale. Giusto per difendere XNU.

[ziobepi]

Quote:

Originariamente inviato da Il Picchio

Ok prendo i popcorn. Linux ha un problema, mi aspetto non meno di 200 messaggi e altrettanti paladini che si ergeranno in difesa del suddetto affermando quanto questo sia sempre e comunque migliore di qualsiasi cosa inventata nell'universo fino all'uscita del prossimo aggiornamento e altrettanti troll che non vedranno l'ora di tirarli scemi

I paladini sono tutti impegnati nella preparazione del
*** LINUX DAY ***
http://www.linuxday.it/
di domani

Chissà se racconteranno di tutto questo!

[LMCH]

Quote:

Originariamente inviato da fano

Stiamo parlando di un kernel che basta uno sbordamento ben cucinato e ti fa passare da utente normale a utente root con potere assoluto sulla macchina a me pare una cosa molto, molto seria ed anche abbastanza indifendibile

Ah! In altre parole come l' "esegui come amministratore" di Windows ?
Notare che il bug esiste da 9 anni, ma che l'exploit in uso non è molto diffuso perche gli si deve abbinare minimo un altro exploit per entrare dentro da remoto.
Anche dopo questo io mi sento più sicuro con una distribuzione Linux che con Windows o altri SO più "opachi".

[blackshard]

Quote:

Originariamente inviato da fano

Stiamo parlando di un kernel che basta uno sbordamento ben cucinato e ti fa passare da utente normale a utente root con potere assoluto sulla macchina a me pare una cosa molto, molto seria ed anche abbastanza indifendibile

Ma del resto Linus Torvalds una volta se lo fece scappare che lui delle vulnerabilità di sicurezza se ne sbatte la fava quindi...

http://article.gmane.org/gmane.linux.kernel/706950

"scimmie masturbanti" ma va là

Se poi contiamo che su sistemi mission critical te lo scordi di aggiornare il kernel (noi abbiamo 50 sistemi in produzione con CentOs 5.4 e chissà quale versione di kernel? Boh 2.6 qualcosa?) che fai le aggiorni e ricompili tutti gli applicativi? E sì perché se speri che il nuovo kernel col bug fixato di 9 anni faccia girare gli applicativi senza ricompilare o crash random vivi nel mondo delle fiabe
Per sistemi tremendamente importanti ci si riduce al "back porting" che tristezza

Veramente non serve ricompilare un applicativo se aggiorni il kernel a meno che tu non abbia un kernel arcaico (tipo 2.4) di 20 anni fa'...
Il back porting è pratica usuale quando vuoi avere una patch fatta per un nuovo software su una vecchia versione. Non esiste solo su Linux, ovviamente, ma lo si fa su qualsiasi software.

Poi uno può spalare cacca quanto gli pare, fatto sta che Linux è ovunque e forse forse non è tutto sto colabrodo come viene dipinto in questo thread

[nn020]

Quanti milioni di righe di codice ci sono nel kernel Linux attuale?
E in Windows?

[medicina]

Sento parlare qui di riduzione della qualità su Linux, quando in realtà a me è sembrato Windows 10 un po' una distribuzione Linux quando l'ho installato per la prima volta alcuni mesi fa, per via del numero di imprecisioni, perdite di funzionalità, errori di digitazione, mancanze di help in linea, bug, e vari difetti che ho riscontrato... Solo alcune di queste cose sono state corrette ultimamente. Fra i vari bug, la calcolatrice che mi interpreta il segno meno come divisione (tipo fosse attiva la tastiera inglese), è il mio preferito.

[matsnake86]

Non mi soprende....
Linux è scritto da esseri umani.... gli umani sbagliano!

L'importante è che questi problemi vengano trovati e corretti!

[Tedturb0]

Quote:

Originariamente inviato da fano

Il problema non credo sia la crisi economica, ma che Linux e qualità sono proprio due cose avulse

A giudicare dalla firma, il commento e' certamente imparziale