Linux, scoperto bug critico in attività da 9 anni

Linux, scoperto bug critico in attività da 9 anni

Un bug che consente l'escalation dei privilegi è stato scoperto di recente su Linux, ma sarebbe in attività da ben nove anni. La patch ufficiale è già stata rilasciata

di pubblicata il , alle 15:31 nel canale Sicurezza
Linux
 
159 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
4GateRush21 Ottobre 2016, 23:27 #21
Originariamente inviato da: fano

Se poi contiamo che su sistemi mission critical te lo scordi di aggiornare il kernel (noi abbiamo 50 sistemi in produzione con CentOs 5.4 e chissà quale versione di kernel? Boh 2.6 qualcosa?) che fai le aggiorni e ricompili tutti gli applicativi? E sì perché se speri che il nuovo kernel col bug fixato di 9 anni faccia girare gli applicativi senza ricompilare o crash random vivi nel mondo delle fiabe
Per sistemi tremendamente importanti ci si riduce al "back porting" che tristezza


Ma quali applicativi devi ricompilare?
Conosce veramente poco come funziona Linux e cosa sia un kernel, mi pare di capire delle sue affermazioni.

Il software per antonomasia ha dei bug, nell'open source quando questi bug vengono scoperti vengono fixati quasi immediatamente. Windows ha bug di cui si e' a conoscenza da anni e non sono stati ancora fixati.

Si informi.
Saluti.
ronin78922 Ottobre 2016, 01:06 #22
Originariamente inviato da: devilred
mah! secondo me l'unico linux che poteva competere con xp era RED HAT. il problema e' che il sistema operativo deve essere considerato anche dal fattore software e ubuntu e varie erano anni dietro. il sistema si e' evoluto, e' finita l'era del cubo rotante col doppio maglio perforante. la gente vuole facilita' e funzionalita', nel mondo linux c'e' solo caos.


...che nel mondo linux ci sia solo caos, è un tuo punto di vista che è esattamente opposto al mio...
...al seguente link, potrai trovare distribuzioni che funzionano benissimo:

http://distrowatch.com/

...
floc22 Ottobre 2016, 02:14 #23
il migliore e' quello che ricompila gli applicativi, vince lui

seriamente, e' un bug che funziona da locale, da solo da remoto non fa niente... Ora, se qualcuno ha accesso a un sistema in locale ho gia' un problema molto serio, non sto a preoccuparmi del bug.
Nui_Mg22 Ottobre 2016, 06:52 #24
https://github.com/hfiref0x/UACME

cdimauro22 Ottobre 2016, 07:36 #25
Originariamente inviato da: 4GateRush
Ma quali applicativi devi ricompilare?
Conosce veramente poco come funziona Linux e cosa sia un kernel, mi pare di capire delle sue affermazioni.

Se cambiano le API e/o le ABI, il codice già compilato non funziona.

E non sono casi rari, perché è il problema principale che affligge l'aggiornamento (modding) dei telefonini Android, dove il produttore ha rilasciato driver closed che smettono di funzionare passando a un nuovo kernel.
Il software per antonomasia ha dei bug, nell'open source quando questi bug vengono scoperti vengono fixati quasi immediatamente. Windows ha bug di cui si e' a conoscenza da anni e non sono stati ancora fixati.

Si informi.
Saluti.

S'informi lei: anche in ambito open source ci sono bug che rimangono a vegetare per ANNI. Se poi si ha anche la sfortuna di avere a che fare con mantainer permalosi (come quello di libc), ci si becca pure degli insulti...

Comunque spero che dopo questa notizia gli affezionati alla famigerata "Legge di Linus" (che legge non è si mettano l'anima in pace.
GTKM22 Ottobre 2016, 07:41 #26
Originariamente inviato da: cdimauro
Se cambiano le API e/o le ABI, il codice già compilato non funziona.

E non sono casi rari, perché è il problema principale che affligge l'aggiornamento (modding) dei telefonini Android, dove il produttore ha rilasciato driver closed che smettono di funzionare passando a un nuovo kernel.

S'informi lei: anche in ambito open source ci sono bug che rimangono a vegetare per ANNI. Se poi si ha anche la sfortuna di avere a che fare con mantainer permalosi (come quello di libc), ci si becca pure degli insulti...

Comunque spero che dopo questa notizia gli affezionati alla famigerata "Legge di Linus" (che legge non è si mettano l'anima in pace.


Esiste pure una "Legge di Linus"?
cdimauro22 Ottobre 2016, 08:25 #27
Purtroppo sì
LeaderGL222 Ottobre 2016, 08:30 #28
Originariamente inviato da: fano
Ma del resto Linus Torvalds una volta se lo fece scappare che lui delle vulnerabilità di sicurezza se ne sbatte la fava quindi...

http://article.gmane.org/gmane.linux.kernel/706950

"scimmie masturbanti" ma va là


...vabbe` pero` mentire sul contenuto degli stessi link che posti mi sembra imbarazzante; nel post c'e` scritto tutt'altro. C'e` scritto che chi si occupa delle issue di sicurezza non va considerato piu` importante di chi si occupa di tutte le altre issues e che tutti i bug hanno la stessa dignita`.

Originariamente inviato da: Linus
To me, security is important. But it's no less important than everything *else* that is also important!

Linus
TheZioFede22 Ottobre 2016, 08:44 #29
Originariamente inviato da: Nui_Mg
https://github.com/hfiref0x/UACME



Sembra che si stiano dando da fare per risolverli in win10 almeno

Microsoft countermeasures

Methods fixed:

1 - Windows 8.1 release and above, still work on Windows 7;
2 - Windows 10 starting from earlier preview builds;
3 - Windows 10 TH2 starting from 1055X builds;
4 - Windows 10 starting from first preview builds, earlier OS versions got KB3045645/KB3048097 fix;
5 - Windows 10 starting from 10147 build;
6 - Windows 10 starting from 10147 build;
7 - Windows 10 starting from 10147 build;
8 - Windows 8.1 release and above, still work on Windows 7;
9 - Windows 10 starting from 10147 build;
10 - Windows 10 TH2 starting from build 10548;
11 - Windows 10 starting from first preview builds, earlier OS versions got KB3045645/KB3048097 fix;
12 - Windows 10 TH2 starting from 10565 build;
13 - Windows 10 RS1 starting from public 14316 build;
14 - Windows 10 TH2 starting from 10548 build;
15 - Windows 10 RS1 starting from public 14316 build;
16 - Windows 10 RS1 starting from public 14316 build;
17 - Windows 10 RS1 starting from public 14371 build;
18 - Windows 10 RS1 starting from public 14371 build;
19 - Windows 10 RS1 starting from public 14376 build.
** 20, 21, 22, 23 are not fixed as at 12 October 2016.


il problema è tutta la roba che gira su linux e che non è possibile aggiornare facilmente secondo me
Piedone111322 Ottobre 2016, 08:49 #30
Originariamente inviato da: cdimauro
Se cambiano le API e/o le ABI, il codice già compilato non funziona.

E non sono casi rari, perché è il problema principale che affligge l'aggiornamento (modding) dei telefonini Android, dove il produttore ha rilasciato driver closed che smettono di funzionare passando a un nuovo kernel.

S'informi lei: anche in ambito open source ci sono bug che rimangono a vegetare per ANNI. Se poi si ha anche la sfortuna di avere a che fare con mantainer permalosi (come quello di libc), ci si becca pure degli insulti...

Comunque spero che dopo questa notizia gli affezionati alla famigerata "Legge di Linus" (che legge non è si mettano l'anima in pace.


Tutto vero, senza dimenticarci però che ci sono hack che scardinano la password di amministratore di windows funzionanti da xp (ed ancora validi), hack che innalzano un account user locale ad amministratore da vista fino ad anniversary.
Nessun sistema è immune a ciò, mi sono anche meravigliato di come sia facile fare il reset della password di OSX in solo 2 minuti avendo accesso alla macchina senza nessun hack o software esterno.
Quindi ?
« Pagina Precedente     Pagina Successiva »

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^