Michael Gilbert zauważył, że w kodzie Linuksa nie może znaleźć śladu po poprawkach przygotowanych dla dwóch dziur znanych jako CVE-2004-2135 i CVE-2004-2136. Brak takich poprawek pewnie by przeszedł zupełnie niezauważony, gdyby nie to, że miały one około 3000 linii kodu.
Po pewnym czasie Mike namierzył poprawkę CVE-2004-2136 i potwierdził, że podatność opisana w CVE-2004-2135 nadal występuje w najnowszych wersjach jądra Linux 2.6. Co jest przyczyną tego, że bardzo dobrze opisany błąd, znany od początku 2004 roku, dla którego została przygotowana łatka usuwająca go jest obecny w jądrze Linux?
Ponieważ jądro 2.6.32 zostało już wydane a reguły linii -stable zabraniają wprowadzać do niej takich poprawek, pozostaje mieć nadzieję, że odpowiednia łatka trafi do Linuksa 2.6.33 – którego wydanie przypadnie mniej więcej w szóstą rocznicę opublikowania informacji o błędzie.
Jeśli uważasz, że ten nius jest nieobiektywny, przedstawia nieprawdziwe wydarzenie, jest spamem lub nie spełnia standardów serwisu,
napisz raport.
Komentarze (RSS)
Komentarze są prywatnymi opiniami dodających je osób. Prosimy o zachowanie kultury wypowiedzi. Komentarze obraźliwe oraz obniżające poziom serwisu będą usuwane. Więcej w
regulaminie komentowania.
W komentarzach możesz używać prostych znaczników HTML. Przykłady:
- Link: <a href="jaklinux.org">Linux dla każdego</a>,
- Wytłuszczenie: <strong>tekst pogrubiony</strong>,
- Kursywa: <em>tekst pochylony</em>,
- Przekreślenie: <strike>
tekst przekreślony</strike>,
- Kod: <code>
printf("blok kodu");</code>,
- Cytat: <blockquote>cytat</blockquote>
Uwaga: jeśli dodasz nieznany znacznik, będzie on niewidoczny, gdyż system filtruje takie znaczniki.
Wszystkie autorskie niusy w serwisie publikowane są na licencji Creative Commons Uznanie autorstwa 2.5 Polska. Uwaga, jeśli nius jest skopiowany z innej strony, kopiując go należy podać link również do tej strony!
To może mały konkurs – kto znajdzie starsze, jeszcze niezałatane CVE w Linuksie? Po nagrodę dla zwycięzcy odsyłam do dyrektora Czesława.
CVE-2004-2136 zostało załatane w kernelu 2.6.10
Całe szczęście stajnie Augiasza zwane “Windows” mają zawsze drzwi zamknięte tak żeby nikt nie widział ani nie wąchał tego co jest w środku…
To już pewnie kwalifikuje się pod broń biologiczną.
@TheBlackMan: Oczywiscie fakt, iz tysiace ludzi maja wglad w kod Windows, starannie ignorujesz.
Tysiące ? Pokaż mi jakieś oficjalne statystyki, które jasno i wyraźnie mówią kto, gdzie i w jakiej ilości ma dostęp do kodu Windows.
Bo z tego co wiem, to dostęp mają tylko wysocy rangą inżynierowie na najwyższych stanowiskach w gigantycznych korporacjach oraz w rządach ważniejszych państw. Może paręset osób się z tego nazbiera. Ale tysiące ?
——–
Za to co do jednego można być pewnym: Do kodu Linuksa mają “dostęp” MILIARDY (o ile tylko te miliardy są tym zainteresowane).
Uniwersytety miały dostęp do kodu Windows przez shared source. Teraz nie mają? Coś się zmieniło?
Nie do Windows a do wybranych fragmentów Windows. Dolicz NDA, a więc nawet jak coś znajdą, to nie mogą publikować)
@TheBlackMan: Nie sadze, zeby byly takie statystyki – z calym szacunkiem, ale opinia roznych TheBlackManow malo kogo obchodzi. Tym bardziej nie obchodzi opinia ludzi, ktorzy nie potrafia zrobic riserczu i powtarzaja bzdury o “wysokich ranga inzynierach na najwyzszych stanowiskach”.
Wglad w kod Windows maja ci, ktorym jest potrzebny – bo na przyklad pisza skomplikowane sterowniki albo cos innego mocno zwiazanego z systemem. Maja tez ludzie, ktorym moze byc potencjalnie potrzebny, bo robia jakis risercz.
@trasz: jakieś konkrety? Tzn. jakie dokładnie wymagania należy spełnić, aby uzyskać dostęp do całego kodu Windowsa (referencje proszę, a nie imaginacja)?
Tysiące osób to w samym MS pewnie mają dostęp.
trasz: Z całym szacunkiem, różne twoje opinie też mało kogo obchodzą.
@el.pescado
No dobra, ale mi chodziło o osoby spoza ms. Nie wykręcaj kota ogonem.
Ała! Biedne zwierzątko.
@moloh: Na stronach Microsoftu (szukaj za Shared Source) jest napisane, co musisz zrobic.
Jeśli jesteś programistą, to po podpisaniu cyrografu i zajrzeniu w kod windows najbezpieczniej jest się zastrzelić ;P
@Precz: Niby z jakiego powodu? Ze niechcacy napiszesz to, co zobaczyles? W takim przypadku patrzenie w kod oprogramowania na GPL byloby jeszcze gorsze – bo z firma mozna sie dogadac, a z miliardem wspolautorow projektu na GPL – nijak.
Tylko co do tego wszystkiego ma to ujadanie na winde?
Przypominam: temat jest o kernelu linucha.
Jak kuba Bogu, tak Bóg kubańczykom.
Trollujesz, więc cię niszczę. Z nieskrywaną przyjemnością, przyznaję.
“wiec cie niszcze” – wyjątkowo merytoryczny sposób publicznego samozadowalania się
A tak z innej beczki – wyżej ciekawy link: http://osnews.pl/blad-naprawiony-po-25-latach/
_qaz: Troche inna kategoria problemu, bo tamten blad nie byl zwiazany z bezpieczenstwem, a ten tu – jest.
TheBlackMan
Czy to nie jest cytat Violetty?(przez “V” i dwa “t”) z filmu “BrzydUla. Ona jedynie mogłaby wymyślić tak błyskotliwą ripostę
@Odpowiadacz
Nie wiem, nie oglądam telewizji.
Linux zealots juz tacy sa. Wiesz probuja sie odgryzac na lepszych produktach, zamiast dopracowywac wlasny. Ale taki to juz jest swiat Linuxa.
“Linux zealots juz tacy sa” – ale tu występują głównie zeloci Bill Gatesa, sam materiał przypomina coś w rodzaju “Linux w Monachium”. Błąd, o którym mowa jest może poważny, bo – na ile zrozumiałem opis – w pewnych warunkach (przy sektorach większych niż 1kB i coś tam jeszcze) powoduje, że użyta w FS kryptografia działa jakby gorzej (albo wcale, trudno mi ocenić). Ale cryptoloop to tylko jeden z 3 podsystemów szyfrowania FS w linuksie, w dodatku groźny jak sobie ktoś to włączy przy komplikacji kernela (jak pamiętam z czasów, kedy kompilowałem kernele), no i oznaczony jako kandydat do wylotu z kernela. Nie jest to może błacha sprawa, ale wielki problem też nie za bardzo, więc w tym kontekście nic dziwnego, że zaczęto dyskutować o dużo groźniejszym bugu stosie TCP/IP w najpopularniejszym w naturze OS, czego zresztą producent odmawia poprawić.
jarek, natychmiast przestań, bo jeszcze Cię oskarżą o obrazę uczuć religijnych…
PS.
Niepotrzebnie wymoderowaliście trolling Jarka na który odpowiedziałem, bo teraz ze swoim postem wyszedłem na idiotę.
Cenzura to zuooo, prawie w każdej postaci.
Jak się daje sprowokować trollowaniu, to się cierpi… Kiedyś po usunięciu znikał cały potomny wątek, obecnie najwyraźniej nie – nie moja wina.
@TheBlackMan: Dla ścisłości – chciałeś napisać: ‘jarka’ nie ‘Jarka’, prawda?
‘Jarek’ to ja, a polemizowałeś z ‘jarkiem’ (przez małe ‘j’), czyli kimś innym.
@Jarek: “Wiesz, my jesteśmy Dzikie Mustangi, rozumiesz- nie DZIKIE Mustangi, ale Dzikie Mustangi”- tak zdaje się tłumaczył nazwę gangu kolo w Police Academy
Stawiam browara, że skończy się to usunięciem cryptoloop z kernela. Wydaje się, że brak wprowadzenia tej poprawki wynika z tego, że cryptoloop jest obsolete i po prostu nikt się nim nie interesuje.
Inna sprawa, że pokazuje to braki w zarządzaniu porzuconym kodem..
“Inna sprawa, że pokazuje to braki w zarządzaniu porzuconym kodem..”
Nie – w momencie opublikowania informacji o dziurze był to utrzymywany kod.
Problem jest taki – w Linuksie 2.6 jest dziura od prawie 6 lat. Wprawdzie mało kto tego używa, ale to nie zmienia faktu, że dziura jest obecna. Poprawka była dostępna pewnie bardzo niedługo po upublicznieniu informacji o zagrożeniu – jednak nikt z tym nic nie zrobił.
Czy full disclosure miało tutaj jakikolwiek sens? Nie – tylko naraziło użytkowników.
Czy Linux pobił rekord MS w dziedzinie – długość czasu wystawiania użytkownika na zagrożenie? Tak. Może Microsoft nie garnie się do łatania dziur o których nie wie szersza publiczność, ale jak ludzie się już dowiedzą, to poprawka jest wypuszczana w miarę szybko. A tutaj? Była informacja o dziurze, była poprawka i nikt palcem nie kiwnął, żeby ją włączyć.
Naraziło na wykrycie, w zaszyfrowanym systemie plików, znaków wodnych plików. Ten sam bug dotyczy też innych rozwiązań uznawanych za bezpieczne. Nic nowego, nic przerażającego.
Jak coś takiego się czyta to, aż ciśnienie się podnosi. Może ktoś wie jakie było podejście głównych dystrybucji.
Myślisz, że w dystrybucjach to zostało załatane? Wystarczy przejrzeć łatki w nich dostępne, ale wątpię, żebyś coś znalazł.
Autorzy dystrybucji zazwyczaj wprowadzają łatki niezaakceptowane przez twórców jądra, jednak nie w celu poprawy bezpieczeństwa. Czyli dystrybucyjne jądra są bardziej zabugowane.
Chociaż w tym wypadku nie zdziwiłbym się, gdyby ktoś to włączył.
Warto w tekście choć napomknąć czego owa luka dotyczy.
Wartoby, ale pewnie wyszłoby, że luka mało istotna i do końca obnażyło tendencyjność artykułu.
Kolejne wcielenie “linux.jest.zajebisty” czy innego tfu tfu, nie miałoby radochy po wsadzeniu kija w mrowisko.
Źle to świadczy o autorach Linuksa, lecz niekiedy nie warto łatać działającego, lecz nie wykorzystywanego kodu. Gdyby łatka przyniosła jakieś problemy w aplikacjach użytkownika, to nie miałby się tym kto zająć, a kod i tak jest przeznaczony do usunięcia.
Jednak należy im się nagana.
“lecz niekiedy nie warto łatać działającego, lecz nie wykorzystywanego kodu.”
Wiesz ja tez np nie uzywam IE, to co dalo sie wywalic wywalilem, i jakos dalej mi instaluje poprawki z IE, mimo ze nie uzywam, byc moze kiedys bede potrzebowal i co wtedy? Obudze sie z reka w … IDE?
“Gdyby łatka przyniosła jakieś problemy w aplikacjach użytkownika, to nie miałby się tym kto zająć”
Gdyby babcia miala wasy byla by pewnie dziadkiem, ale nie jest, po to sa wydania ‘dev’ by je testowac!
“a kod i tak jest przeznaczony do usunięcia.”
Szkoda ze kod jest do usuniecia a nie blad! Powino byc zasadniczo odwrotnie, to bledy sie zamyka, i usowa a nie kod …
Skoro kod jest stary to rozumiem ze sie go ‘wymienia na nowy’ lepszy/szybszy/bezpieczniejszy, ale jezeli ktos wywala poprawke bezpieczenstwa ma naprawde nasrane na glowe i powinien zmienic lekarza.
Ludzie … po co tyle krzyków.
Błędy zdarzają się wszędzie i będą zdarzać się dalej – dobrze, że koleś to wykrył i zrobił co trzeba.
Devil
Trudno byłoby kogokolwiek chwalić za taką niedoróbkę, jednak porównywanie Linuxa w tym kontekście do produktów rodem z miasta na literę następującą po literze “P” jest jakimś sporym nieporozumieniem.
Tam mamy do czynienia z sytuacją, gdy oficjalnie koncern ogłosił, że błędu NIE NAPRAWI.
http://www.dobreprogramy.pl/Microsoft-nie-zalata-dziur-w-stosie-TCPIP,Aktualnosc,14455.html
Tę sytuację też trudno porównywać – bo faktycznie kod XP jest stary – trzeba by było nową poprawkę robić. Z drugiej strony, to support Windows XP Pro już się chyba skończył, ale wersja Home ma być wspierana do roku 2014, więc powinni dla niej wydać poprawkę jeśli błąd jest tak poważny. Windows 2000 chyba już nie ma supportu, więc tu nie ma o czym mówić.
Jak to wygląda w Linuksie?
Deweloperzy dają wsparcie dla Linuksa 2.4.x (jeszcze), 2.6.27 (LTS robiony przez Hartmana i w przyszłości Tarreau), 2.6.30 (już niedługo), 2.6.31 i 2.6.32. Reszta wersji nie ma wsparcia – czyli jeśli chcesz poprawkę dla 2.6.28, to sobie sam musisz ją przeportować, napisać.
Co za bzdury. Cały Windows XP Home/Professional jest wspierany do 2014 roku. Inaczej nie miałoby to sensu; przecież od cholery laptopów się sprzedaje (sprzedawało?) właśnie z XP Professional!
Raczej jest wątpliwe, aby Tarreau był w przyszłości zainteresowany wspieraniem 2.6.27.
Co do 2.6.28 to tak, jakbyś oczekiwał, aby każda z poprawek MS była dla dowolnej wersji XP: bez SP, z SP1, z SP2 i oczywiście z SP3.
“Raczej jest wątpliwe, aby Tarreau był w przyszłości zainteresowany wspieraniem 2.6.27.”
“Greg noted that he continues to maintain 2.6.27 because it makes his day job easier; the current plan, evidently, is for Willy Tarreau (the current 2.4 maintainer) to take it over once Greg moves on. ”
z KS2009: Staging, linux-next, and the development process na LWN
Co do reszty, to MS dostarcza poprawki również do starszych wersji SP przez jakiś czas.
Jakbym nie wiedział tego z pierwszego źródła, to bym nie pisał. Ciężko jednak było dyskutować, kiedy nie można było się powołać na publicznie dostępne fakty. Teraz można: http://lkml.indiana.edu/hypermail/linux/kernel/1001.2/01369.html
“bo faktycznie kod XP jest stary – trzeba by było nową poprawkę robić”
Co dla jednej z największych firm programistycznych świat stanowi oczywiście nie lada wyzwanie, któremu, jak można przeczytać, nie jest w stanie sprostać.
“Z drugiej strony, to support Windows XP Pro już się chyba skończył, ale wersja Home ma być wspierana do roku 2014″
Skąd pochodzą te informacje o różnicach?
Na stronie Support Lifecycle daty dla obu wersji są takie same.
“Skąd pochodzą te informacje o różnicach?”
Z mojej pamięci. Nie sprawdzałem jak to jest opisane aktualnie. W zeszłym roku, gdy wszyscy tutaj podniecali się tym, że użytkownicy XP stracą w 2009 support do systemu, wszedłem na stronę MS i dowiedziałem się co następuje – wsparcie dla użytkowników domowych z zakresu poprawek dotyczących bezpieczeństwa systemu do 2014, dla korporacyjnych do 2009. Teraz się zmieniło – fajnie.
Misiu kolorowy, użytkownik domowy to ma OEM – jest pozbawiony wsparcia poza poprawkami.
Jak przytacza podany wcześniej link tymi poprawkami można się podetrzeć, bo w krytycznej sytuacji MS odpiedzieć może, że nie – bo nie. W końcu nowe wersje oprogramowania muszą się sprzedawać.
@spy000yps
XP Professional nie jest przeznaczony dla użytkowników korporacyjnych… Często jest nawet uznawany za najsensowniejszą wersję XP na komputer domowy; Home jest dość biedny, mało co tam można pozmieniać/poustawiać. Widziałem wiele poradników typu “jak zrobić coś tam”, które wyglądały mniej więcej tak:
1) W XP Professional kliknij tu, wejdź w to, odhacz to a potem jeszcze wejdź tu i zaznacz tamto
2) W XP Home kliknij w Start->Uruchom, wpisz regedit, znajdź klucz… itd.
Po literze P w alfabecie jest literka Q…
Po literze P w alfabecie jest literka R… Chyba, że Ty używasz innego alfabetu…
@Marcin Wilk: You would be right, if you had written “In alphabet, after the letter P is the letter Q…”
Anyway, you’re right to a point.
MS musiałby przepisać na nowo stos TCPIP ( oraz dodatkowe biblioteki, funkcje itp itd ) ( ten kto czai trochę o czym pisze to zrozumie, że to nie taka prosta sprawa) aby załatać dziurę co w przypadku Windowsa XP nie ma sensu bo to system już leciwy. Wszystkie nowe komputery wychodzą już z nowszymi systemami które takowego błędu już nie posiadają
“MS musiałby”
strange, MS coś w ogóle miałby “musieć”, muszą tylko jego klienci przesiąść się na kolejny produkt.
“Wszystkie nowe komputery wychodzą już z nowszymi systemami które takowego błędu już nie posiadają”
A wszystkie “stare komputery” (czyli jakieś 90% z wszystkich używanych) należy pewnie odłączyć od sieci.
Czy fakt, że w tym roku XP rozeszło się w dość dużej ilości kopii (netbooki) nic nie zmienia?
owszem, nic nie zmienia
@pow3r_shell:
To co? XP już w naturze nie występuje? przecież Vista się nie przyjęła a win7 dopiero zaczyna wchodzić na rynek. Ciekawe podejście do bezpieczeństwa, marketingowo-biznesowe.
Nieprawda. W korporacjach (w tym w tej w której ja pracuję) wszystkie nowe laptopy i desktopy cały czas mają instalowane XP.
W korporacjach korporacjach, to się instaluje Win Server 2000/2003/2008…
instalowanie Win XP w korporacjach – ja nie wiem, kto podejmuje takie decyzje, ale ja ich nie rozumiem.
@rodem z miasta na literę następującą po literze “P”:
Jakie jest to miasto na Q?
Québec w Kanadzie.
Quebec
)
Qtno.
uwielbiam tę moralność kalego:D
Od razu Linux Youth krzyczy – a co z Windowsem! Windows i tak gorszy! A błędy się zdarzają każdemu (tylko jakby to był bład w windows to byście psy wieszali przez 10000 komentarzy).
Żenada
@popo: o merytorycznej wartości newsa patrz uwagi wyżej. A propos bezpieczeństwa w windows: weż wpisz do googla hasło “shatter attack”, to zobaczysz, że komentarzy jest dużo więcej, z grubsza 10^2 razy więcej, a nie ma w tym nic o wirusach.
@JG & others
Rozwiązaniem tego problemu jest poprawne skonfigurowanie systemowego firewalla. Widać przez wasze wypowiedzi, że nigdy nie napisaliście nawet kawałka softu który by poprawnie dział bez żadnych bugów. Poza support Ubuntu trwa 18 miesięcy a potem wypchaj się. Powiedzą ” Ta wersja już nie jest wspierana. Proszę o zainstalowanie nowszej wersji ” nawet na forum Ci tak powiedzą “sorry Winnetou ta wersja ma już 18 MIESIĘCY , zainstaluj nowszą wersję ” 18 MIESIĘCY != 7 LAT
Czujesz różnicę ?
Tyle że w przypadku Ubuntu (jak i innych wolnych systemów) pobieramy nową wersję za free. W przypadku systemu firmy Microsoft nową wersję należy kupić za niemałe pieniądze. To subtelna różnica
Wspaniale! Oszczędze jakieś 300zł na 7 lat (koszt oemki)!
Przestawie tylko moje wspianiałe obliczenie:
300zł na 7 lat to jakieś 43zł rocznie
300zł na 7 lat to jakieś 3,5zł miesięcznie
300zł na 7 lat to jakieś 10gr dziennie
Szok!
Teraz popatrz na ilość problemów z linuksem i odpowiedź sobie na pytanie ile wart jest twój czas? Wolisz siedzieć w piątek wieczorem rozgryzając dlaczego ci po updacie kernela przestał działać …(wstaw dowolną cześć w komputerze) czy może zapłacić te 300zł na te 7 lat i iść z dziewczyną do kina?
o ile komputer tyle wytrzyma
no przecież uzytkownicy linuxa jeszcze śmiegają na pentium 3 z 512 ram i geforcem 1 generacji to o co chodzi?
Tak jak ze wszystkim:
w przypadku komputera wszystko zależy od umiejętności w zakresie użytkowania komputera i googlowania, potrzeb. Jeśli umiejętności są duże, a potrzeby np. w zakresie gier małe, to rozwiązanie problemu może być szybkie i szkoda płacić za Windows.
Jeśli jest inaczej to łatwiej zapłacić i nie tracić czasu i nerwów.
Oczywiście można kupić też dobre gry i na Linuksa, ale za przynależność do elitarnego klubu się płaci ekstra (z powodu małej popularności ta sama pozycja kosztuje drożej dla Linuksa).
Z samochodami jest podobnie, albo ktoś się zna, ma czas na dłubanie – wtedy może sobie kupić jakiś stary samochód i co jakiś czas wymienić kilka części, które też kupi za małe pieniądze z demobilu albo są ludzie, którzy są gotowi zapłacić po 150k PLN za nowy samochód, tylko po to, żeby nie zawracać sobie głowę nawet częstymi wizytami u mechanika, a co dopiero naprawami.
150k PLN, a co dopiero marne 300 zł
@vshader: Tyle, ze w calym koszcie upgrade’u koszt samej instalki to niewielki procent. Wieksza czesc kosztow to czas osoby robiacej to.
to fakt, jak ktoś za dużo ruchów wykonuje, to ryzykuje, a nigdy nie wiadomo ile to jest za dużo. sam kiedyś byłem zmuszony do reinstalacji, a właściwie do instalacji nowej wersji, bo aktualizacja działającego systemu okazała się dla mnie za trudna
Zdziwiony jestem, że jest w ogóle jakaś dziura, której tak długo nie załatano. Ale nie zmienia to mojego generalnego nastawienia, że wolę system, w który wkładam swoją pracę niż taki, w który wkładam swoje pieniądze. W pierwszym wypadku mam o nim coraz lepsze pojęcie i coraz rzadziej występuje sytuacja, kiedy muszę guglać rozwiązanie problemu. W drugim wypadku fakt, że to czasem muszę zrobić – niepomiernie mnie wkurza, bo przecież zapłaciłem, to chciałbym mieć produkt technicznie niezawodny, a nie mam. I tyle. Nie ma to wiele wspólnego z rachunkiem ekonomicznym, jedynie z osobistym nastawieniem.
Wiedza czyni wolnym. Pieniądze czynią bogatym. Jedno drugiego nie wyklucza (czasami). Zawszeć to lepiej być wolnym i bogatym. Ale jak trzeba wybierać, ja wolę na wolności kęsek lada jaki niźli w niewoli przysmaki.
@flamenco pewnie tylko korzystasz z tej wolności co kot napłakał
A wracając do wyliczeń to dużo osób ( czytaj większość) chce zapłacić i mieć spokój niż ciągle użerać się ze sprzętem i systemem . Nie zmuszajmy wszystkich na siłę aby uczyli się kompilować kernel i wiecznie rozwiązywać problemy ze sprzętem. Poza tym rozwiązaniem tego problemu wynosi 0 PLN ! – wystarczy skonfigurować .
A kto jeszcze używa cryptoloopa?
Od kiedy pamiętam odradzali używania go, szczególnie do “systemów plików z kroniką (‘żurnalem’)”. Źródeł nie podam, wystarczy pogúglać (cryptoloop + journal).
Z różnych metod szyfrowania najbardziej do gustu przypadł mi loop-aes. Ot, moje 3 grosze…