Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Grave falla in tutte le versioni di Linux
Nuovo argomento   Rispondi    Indice del forum -> Linux
Precedente :: Successivo  
Autore Messaggio
Zeus News
Ospite





MessaggioInviato: 20 Ago 2009 12:05    Oggetto: Grave falla in tutte le versioni di Linux Rispondi citando

Commenti all'articolo Grave falla in tutte le versioni di Linux
Dopo gli inconvenienti di Mac OS X e Windows 7 RTM, tocca ora al papà del popolarissimo Pinguino di correre ai ripari.



Top
{ercolinux}
Ospite





MessaggioInviato: 20 Ago 2009 12:32    Oggetto: Rispondi citando

La falla non è poi così grave... "This issue is easily exploitable for local privilege escalation."
quindi il problema è presente solo in caso di attacco locale (cioè con l'hakerozzo seduto al proprio PC), oppure sfruttando bachi di altri servizi. Inoltre se il valore mmap_min_addr è superiore a 0 (come ho potuto verificare su un paio di macchine con kernel diversi) non ci sono problemi...
Top
Ramon
Semidio
Semidio


Registrato: 07/07/06 00:50
Messaggi: 333

MessaggioInviato: 21 Ago 2009 00:37    Oggetto: Rispondi citando

{ercolinux} ha scritto:
La falla non è poi così grave... "This issue is easily exploitable for local privilege escalation."
quindi il problema è presente solo in caso di attacco locale (cioè con l'hakerozzo seduto al proprio PC), oppure sfruttando bachi di altri servizi. Inoltre se il valore mmap_min_addr è superiore a 0 (come ho potuto verificare su un paio di macchine con kernel diversi) non ci sono problemi...

Si tratta di un problema facilmente risolvibile per chi è abituato a ricompilarsi da solo il kernel; basta andare nella sezione "Security options" e impostare:
Codice:
SECURITY_DEFAULT_MMAP_MIN_ADDR=4096

(di default è impostato a zero).

Per chi non ha dimestichezza con queste cose, sono disponibili delle patch fornite dalle varie distribuzioni; comunque, l'exploit è possibile solo a particolari condizioni che difficilmente si possono realizzare:
Citazione:

In order to exploit this, an attacker would create a mapping at address
zero containing code to be executed with privileges of the kernel, and
then trigger a vulnerable operation using a sequence like this ...
Top
Profilo Invia messaggio privato
eratostene
Dio minore
Dio minore


Registrato: 10/02/06 12:38
Messaggi: 953
Residenza: colli fiorentini

MessaggioInviato: 24 Ago 2009 21:27    Oggetto: Rispondi citando

c'erano in questi giorni degli aggiornamenti pesanti di ubuntu e addirittura una necessitù di riavvio
ci sarà stata anche questi?
Top
Profilo Invia messaggio privato HomePage
MK66
Moderatore Sistemi Operativi
Moderatore Sistemi Operativi


Registrato: 17/10/06 22:24
Messaggi: 8453
Residenza: dentro una cassa sotto 3 metri di terra...

MessaggioInviato: 24 Ago 2009 21:49    Oggetto: Rispondi citando

La necessità del riavvio si ha di solito quando ci sono aggiornamenti del kernel o del server grafico.
Nel mio caso (ubuntu 8.04 Hardy) l'aggiornamento è arrivato il giorno 20/08 ed era relativo al kernel (dal 2.6.24-24-generic al 2.6.24-24.59). Siccome è un aggiornamento che ha di fatto interessato tutte le versioni ufficialmente esistenti di ubuntu e famiglia (6.06, 8.04, 8.10 e 9.04), facile che sia proprio la patch correttiva del problema.
Top
Profilo Invia messaggio privato HomePage
{paolo}
Ospite





MessaggioInviato: 25 Ago 2009 04:30    Oggetto: Rispondi citando

Un bug lo si può trovare dentro al kernel linux, ma la differenza con mac os x e windows è che una volta segnalato, non passa tanto tempo che al prossimo aggiornamento non è più presente.

Al contrario di Apple Computer Cupertino.Inc e Microsoft che fanno aspettare tempi assurdi, anche 4 anni per windows.

Dunque il così tanto noto bug fixing è una prassi normale, solo che per windows e mac os x, sono gli utenti che a proprie spese (ed in tutti i sensi), si lagnano della scarsità del sistema operativo impiegato.

Basta aprire una delle tante riviste informatiche e leggere le lagne degli utenti di windows e mac os x.

Quello che è conosciuto come bug fixing per quanto riguarda windows si chiama Beta Testing.

Solo che per quanto riguarda i sistemi Unix-like sono gli utenti stessi che provvedono a fare il bug finxing, invece gli utenti di windows non possono far altro che lamentarsi ed aspettare che vengano rilasciate le patch (pezze).

Per quanto riguarda i sistemi Unix-like, invece si è soliti riscrivere n porzione di codice.

Windows e Mac Os X sono a pagamento e non si è nemmeno padroni della copia del sistema operativo che si ha sul proprio computer, si è controllati, non si posno far funzionare Software Liberi.. ostacolando ogni forma di pluralismo informatico più volte punito dalla UE con multe da capogiro.

Non si può metter mano al kernel sia per quanto riguarda Mac OS X che Windows, anche se è disponibile la shell per Mac Os X, perchè verrebbe meno il supporto di assisteza.

Nel caso di Windows come minimo ci si beccherebbe una denuncia per violazione del copyright, l'aggiornamento e la modifica di Windows non sono ammesse, se non quelli rilasciati dalla microsoft.

Qualora si svolgesse il Reverse Engineering per decompilare ed apportare delle modifiche per rendere poi il prodotto maggiormente stabile e funzionale, alla microsoft gli girerebbero.

Dunque con Windows e Mac Os x si può far ben poco.

Un aggiornamento di Mac Os X costa 130 euro, mentre con le distribuzioni Linux derivate da Linux Debian o Linux Deb-Ian stessa, per fare un semplice aggiornamento dei packages basta digitare apt-get update e successivamente
apt-get dist-upgrade.

Non sto dicendo che il sistema operativo vada regalato, ma far pagare 130 euro per avere poi un servizio d'assistenza telefonico, fa giramente girar le scatole e quando la distribuzione di Mac OS X e Windows non sarà più commercializzata ed il o i cd's/dvd's si saranno graffiati, non si avrà più l'originale.

Dunque un valido motivo per usare anche del Software Libero è che in ogni momento dal repository è downlodabile anche la distribuzione pù vecchia di Linux.

Apple Computer Cupertino.Inc e Micorsoft sono delle multinazionali del software che agli utenti non danno un accidenti e non gli insegnano ninete, al contrario con qualsiasi distribuzione di Linux è possibile imparare a gestire quantomeno il proprio Linux

Se poi si intendono regalare dei soldi in modo stupido alle multinazionali, allora si possono fare delle donazioni che serviranno a mantenere lo sviluppo di Linux.
Top
{paolo}
Ospite





MessaggioInviato: 25 Ago 2009 10:39    Oggetto: Debian Security Advisory Rispondi citando

Intendo render nota la notizia che riguarda le vulnerabilità del sistema operativo GNU-linux, così come riportato sul Debian Security Advisory DSA-1872-1 linux-2.6 -- denial of service/privilege escalation/information leak

Vorrò proprio vedere il tempo che impiegano quelli che lavorano al kernel linux rispetto alle pezze che vengono segnalate in Windows e Mac OS X.

Vedremo i tempi fra i 3 sistemi operativi, è anche vero che GNU-linux Debian e derivate ed altre distribuzioni non sono l'unica soluzione.

Ci sono tutti i vari forks:
GNU-Darwin
GNU-KFreeBSD
GNU-NetBSD
GNUSTEP
FreeBSD
NetBSD
OpenBSD

dunque GNU-linux non è l'unica soluzione e differente tempo fa anche FreeBSD ebbe problemi di sicurezza che vennero riscontrati una sola volta in 7 Anni.

Invece Windows e Mac Os X sono il defacement continuo, mentre GNU-linux continua ad affrettare i tempi per rendere il kernel linux sempre stabile e sicuro.

GNU-linux Debian fa si che si adotti un kernel linux stabile, sicuro e ciò significa allungare i tempi ed avere una versione più datata rispetto a quella che viene aggiornata.

Dunque a chi non gli va bene una cosa del genere, può tranquillissimamente usare un unstable e mettere patches, fare modifiche... per fatti porpri, così come può non esser necessario far tutto ciò.

Ognuno farà col proprio computer quello che desidera e ciò non deve essere una discriminate per dire agli utenti tornate a Windows oppure usate Mac Os X, se hanno paura, allora possono ricorrere a FreeBSD tenendo presente che l'ultima FreeBSD License è compatibile con la GNU General Public License.
Top
delfo
Eroe
Eroe


Registrato: 02/07/05 20:08
Messaggi: 54

MessaggioInviato: 25 Ago 2009 11:07    Oggetto: Problema che riguarda Linux, perché si parla d'altro? Rispondi citando

Riuscite a parlare male di tutto quello che non sia linux anche quando c'è un problema che riguarda Linux.
Sembrate dei noti politici italiani che quando gli si dice che le cose in Italia vanno male dicono che in Francia e Germania però stanno peggi.
Ma per favore !!!
Top
Profilo Invia messaggio privato
zeross
Moderatore Software e Programmazione
Moderatore Software e Programmazione


Registrato: 19/11/08 11:04
Messaggi: 3464
Residenza: Atlantica

MessaggioInviato: 25 Ago 2009 11:30    Oggetto: Rispondi citando

delfo ha scritto:
Riuscite a parlare male di tutto quello che non sia linux anche quando c'è un problema che riguarda Linux.
Sembrate dei noti politici italiani che quando gli si dice che le cose in Italia vanno male dicono che in Francia e Germania però stanno peggi.
Ma per favore !!!


Quello che ha riportato l'utente Paolo sono sue opinioni, correlate però al problema principale della falla in Linux, che come detto all'inizio del thread e si grave ma per esplicarsi necessità di condizioni particolari.

Ed il rimedio è stato trovato mentre in altri casi con piattaforma Windows i problemi spesso erano molti ed alcuni non avevano soluzione ( esiste ad esempio una vulnerabilità nota in windows NT che non è stata corretta per le versioni antecedenti a Xp) per cui farlo notare non è sbagliato in linea di principio.

Poi si può non essere d'accordo sul modo di far notare queste cose ma non parlarne è sicuramente la via peggiore per risolvere i problemi dato che l'ignoranza è la culla di ogni male.

Zeross
Top
Profilo Invia messaggio privato MSN
{paolo del bene}
Ospite





MessaggioInviato: 02 Set 2009 21:30    Oggetto: Quello che ha riportato l'utente Paolo sono sue... Rispondi citando

non mi sembra di averti messo in bocca delle parole che non ti appartengono e dunque non capisco da cosa devi prendere le distanze, dal momento che nel kernel linux le correzioni vengono apportate, per quanto riguarda windows, invece non si possono apportare, l'utente no ha una shell, un compilatore, non sa dove andare a mettere le mani, proprio perchè windows nasce con lo scopo di rendere le persone ignoranti "ignosco", e dunque con l'intento di non fargli apprendere alcunchè.

e questa sarebbe l'alfabetizzazione informatica ?

:-)

preferisco dei bugs dentro al kernel linux, ma almeno è possibile segnalarli oppure chi è in grando può effettuare il bug fixing senza dover spendere 199 euro di sistema operativo che tra l'altro nonostante l'abbiano comprato non possono usarlo a proprio piacimento, vedasi la EULA ci microsoft e le sue restrizioni cosa che invece è possibile fare con la GNU General Public License su ogni package GNU General Public License.

Comunque vedasi il Debian Secuirity Advisory: http://www.debian.org/security/2009/dsa-1872 i bugs verranno eliminati e non vedo da quando in microsoft si debbano preoccupare di ciò, hanno paura di esser spodestati da Red Hat [GNU-linux] e Novell OpenSuse [GNU-linux] ?

infine il bug fixing lo effettuano gli utenti sui sistemi Unix-like e non certo regalano il frutto delle problematiche ad una multinazionale che immette un prodotto di scarsa qualità sul mercato e non paga coloro che nel mondo segnalano i problemi che provengono da windows.

L'intento di far passare il sistema operativo [GNU-linux], come qualcosa di inferiore a windows, non sta in piedi e lo sai benissimo che è decisamente migliore.

Anzi sin dall'83, quando Richard Matthew Stallman avvio il progetto GNU'S Not UNIX ! nessuna software house volle seguirlo, poi quando nel 1991 venne introdotto il kernel sviluppato da Linus Torvalds Benedict, la Microsoft per bocca di William Gates 3 diceva che era scarso, bello il loro che per qualcosa di passabile hanno dovuto attendere fino a windows xp (poveretti) :-)

Venendo a noi Nel 1997 la Microsoft iniziò a boicottare [GNU-linux], dunque se il sistema operativo non avrebbe mai visto la luce, perchè la microsoft era così intenzionata a boicottarlo ? di cosa aveva paura ?

uscirono poi gli Halloween Documents:

http://en.wikipedia.org/wiki/Microsoft_Halloween_documents_leak

e ciò la dice lunga sui comportamenti di microsoft
Top
freemind
Supervisor sezione Programmazione
Supervisor sezione Programmazione


Registrato: 04/04/07 20:28
Messaggi: 4643
Residenza: Internet

MessaggioInviato: 02 Set 2009 21:36    Oggetto: Rispondi

zeross ha scritto:
delfo ha scritto:
Riuscite a parlare male di tutto quello che non sia linux anche quando c'è un problema che riguarda Linux.
Sembrate dei noti politici italiani che quando gli si dice che le cose in Italia vanno male dicono che in Francia e Germania però stanno peggi.
Ma per favore !!!


Quello che ha riportato l'utente Paolo sono sue opinioni, correlate però al problema principale della falla in Linux, che come detto all'inizio del thread e si grave ma per esplicarsi necessità di condizioni particolari.

Ed il rimedio è stato trovato mentre in altri casi con piattaforma Windows i problemi spesso erano molti ed alcuni non avevano soluzione ( esiste ad esempio una vulnerabilità nota in windows NT che non è stata corretta per le versioni antecedenti a Xp) per cui farlo notare non è sbagliato in linea di principio.

Poi si può non essere d'accordo sul modo di far notare queste cose ma non parlarne è sicuramente la via peggiore per risolvere i problemi dato che l'ignoranza è la culla di ogni male.

Zeross

Hai ragione zeross!
E ha ragione anche paolo riguardo il discorso patch.

Un appunto però per paolo: l'update a snow leopard costa 29euro e non 130 e stasera dopo cena ho installato i tools di sviluppo di osx e tra le cose si possono creare anche delle estensioni per il kernel (magari solo delle parti open, magari anche delle altre però appunto come estensioni e non modificazioni ma comunque un pochino ci si può ravanare).

Le tue idee sul software non libero sono note però non è che uno muore...
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Linux Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi