|
| Precedente :: Successivo |
| Autore |
Messaggio |
Zeus News
Ospite
|
 Inviato: 20 Ago 2009 12:05 Oggetto: Grave falla in tutte le versioni di Linux |
 |
|
Commenti all'articolo Grave falla in tutte le versioni di Linux
Dopo gli inconvenienti di Mac OS X e Windows 7 RTM, tocca ora al papà del popolarissimo Pinguino di correre ai ripari.
|
|
| Top |
|
 |
{ercolinux}
Ospite
|
| Inviato: 20 Ago 2009 12:32 Oggetto: |
|
|
La falla non è poi così grave... "This issue is easily exploitable for local privilege escalation."
quindi il problema è presente solo in caso di attacco locale (cioè con l'hakerozzo seduto al proprio PC), oppure sfruttando bachi di altri servizi. Inoltre se il valore mmap_min_addr è superiore a 0 (come ho potuto verificare su un paio di macchine con kernel diversi) non ci sono problemi... |
|
| Top |
|
|
Ramon
Semidio
Registrato: 07/07/06 00:50
Messaggi: 342
|
| Inviato: 21 Ago 2009 00:37 Oggetto: |
|
|
| {ercolinux} ha scritto: | La falla non è poi così grave... "This issue is easily exploitable for local privilege escalation."
quindi il problema è presente solo in caso di attacco locale (cioè con l'hakerozzo seduto al proprio PC), oppure sfruttando bachi di altri servizi. Inoltre se il valore mmap_min_addr è superiore a 0 (come ho potuto verificare su un paio di macchine con kernel diversi) non ci sono problemi... |
Si tratta di un problema facilmente risolvibile per chi è abituato a ricompilarsi da solo il kernel; basta andare nella sezione "Security options" e impostare:
| Codice: | | SECURITY_DEFAULT_MMAP_MIN_ADDR=4096 |
(di default è impostato a zero).
Per chi non ha dimestichezza con queste cose, sono disponibili delle patch fornite dalle varie distribuzioni; comunque, l'exploit è possibile solo a particolari condizioni che difficilmente si possono realizzare:
| Citazione: |
In order to exploit this, an attacker would create a mapping at address
zero containing code to be executed with privileges of the kernel, and
then trigger a vulnerable operation using a sequence like this ...
|
|
|
| Top |
|
|
eratostene
Dio maturo
Registrato: 10/02/06 12:38
Messaggi: 1058
Residenza: colli fiorentini
|
| Inviato: 24 Ago 2009 21:27 Oggetto: |
|
|
c'erano in questi giorni degli aggiornamenti pesanti di ubuntu e addirittura una necessitù di riavvio
ci sarà stata anche questi? |
|
| Top |
|
|
MK66
Moderatore Sistemi Operativi
Registrato: 17/10/06 22:24
Messaggi: 8616
Residenza: dentro una cassa sotto 3 metri di terra...
|
| Inviato: 24 Ago 2009 21:49 Oggetto: |
|
|
La necessità del riavvio si ha di solito quando ci sono aggiornamenti del kernel o del server grafico.
Nel mio caso (ubuntu 8.04 Hardy) l'aggiornamento è arrivato il giorno 20/08 ed era relativo al kernel (dal 2.6.24-24-generic al 2.6.24-24.59). Siccome è un aggiornamento che ha di fatto interessato tutte le versioni ufficialmente esistenti di ubuntu e famiglia (6.06, 8.04, 8.10 e 9.04), facile che sia proprio la patch correttiva del problema. |
|
| Top |
|
|
{paolo}
Ospite
|
| Inviato: 25 Ago 2009 04:30 Oggetto: |
|
|
Un bug lo si può trovare dentro al kernel linux, ma la differenza con mac os x e windows è che una volta segnalato, non passa tanto tempo che al prossimo aggiornamento non è più presente.
Al contrario di Apple Computer Cupertino.Inc e Microsoft che fanno aspettare tempi assurdi, anche 4 anni per windows.
Dunque il così tanto noto bug fixing è una prassi normale, solo che per windows e mac os x, sono gli utenti che a proprie spese (ed in tutti i sensi), si lagnano della scarsità del sistema operativo impiegato.
Basta aprire una delle tante riviste informatiche e leggere le lagne degli utenti di windows e mac os x.
Quello che è conosciuto come bug fixing per quanto riguarda windows si chiama Beta Testing.
Solo che per quanto riguarda i sistemi Unix-like sono gli utenti stessi che provvedono a fare il bug finxing, invece gli utenti di windows non possono far altro che lamentarsi ed aspettare che vengano rilasciate le patch (pezze).
Per quanto riguarda i sistemi Unix-like, invece si è soliti riscrivere n porzione di codice.
Windows e Mac Os X sono a pagamento e non si è nemmeno padroni della copia del sistema operativo che si ha sul proprio computer, si è controllati, non si posno far funzionare Software Liberi.. ostacolando ogni forma di pluralismo informatico più volte punito dalla UE con multe da capogiro.
Non si può metter mano al kernel sia per quanto riguarda Mac OS X che Windows, anche se è disponibile la shell per Mac Os X, perchè verrebbe meno il supporto di assisteza.
Nel caso di Windows come minimo ci si beccherebbe una denuncia per violazione del copyright, l'aggiornamento e la modifica di Windows non sono ammesse, se non quelli rilasciati dalla microsoft.
Qualora si svolgesse il Reverse Engineering per decompilare ed apportare delle modifiche per rendere poi il prodotto maggiormente stabile e funzionale, alla microsoft gli girerebbero.
Dunque con Windows e Mac Os x si può far ben poco.
Un aggiornamento di Mac Os X costa 130 euro, mentre con le distribuzioni Linux derivate da Linux Debian o Linux Deb-Ian stessa, per fare un semplice aggiornamento dei packages basta digitare apt-get update e successivamente
apt-get dist-upgrade.
Non sto dicendo che il sistema operativo vada regalato, ma far pagare 130 euro per avere poi un servizio d'assistenza telefonico, fa giramente girar le scatole e quando la distribuzione di Mac OS X e Windows non sarà più commercializzata ed il o i cd's/dvd's si saranno graffiati, non si avrà più l'originale.
Dunque un valido motivo per usare anche del Software Libero è che in ogni momento dal repository è downlodabile anche la distribuzione pù vecchia di Linux.
Apple Computer Cupertino.Inc e Micorsoft sono delle multinazionali del software che agli utenti non danno un accidenti e non gli insegnano ninete, al contrario con qualsiasi distribuzione di Linux è possibile imparare a gestire quantomeno il proprio Linux
Se poi si intendono regalare dei soldi in modo stupido alle multinazionali, allora si possono fare delle donazioni che serviranno a mantenere lo sviluppo di Linux. |
|
| Top |
|
|
{paolo}
Ospite
|
| Inviato: 25 Ago 2009 10:39 Oggetto: Debian Security Advisory |
|
|
Intendo render nota la notizia che riguarda le vulnerabilità del sistema operativo GNU-linux, così come riportato sul Debian Security Advisory DSA-1872-1 linux-2.6 -- denial of service/privilege escalation/information leak
Vorrò proprio vedere il tempo che impiegano quelli che lavorano al kernel linux rispetto alle pezze che vengono segnalate in Windows e Mac OS X.
Vedremo i tempi fra i 3 sistemi operativi, è anche vero che GNU-linux Debian e derivate ed altre distribuzioni non sono l'unica soluzione.
Ci sono tutti i vari forks:
GNU-Darwin
GNU-KFreeBSD
GNU-NetBSD
GNUSTEP
FreeBSD
NetBSD
OpenBSD
dunque GNU-linux non è l'unica soluzione e differente tempo fa anche FreeBSD ebbe problemi di sicurezza che vennero riscontrati una sola volta in 7 Anni.
Invece Windows e Mac Os X sono il defacement continuo, mentre GNU-linux continua ad affrettare i tempi per rendere il kernel linux sempre stabile e sicuro.
GNU-linux Debian fa si che si adotti un kernel linux stabile, sicuro e ciò significa allungare i tempi ed avere una versione più datata rispetto a quella che viene aggiornata.
Dunque a chi non gli va bene una cosa del genere, può tranquillissimamente usare un unstable e mettere patches, fare modifiche... per fatti porpri, così come può non esser necessario far tutto ciò.
Ognuno farà col proprio computer quello che desidera e ciò non deve essere una discriminate per dire agli utenti tornate a Windows oppure usate Mac Os X, se hanno paura, allora possono ricorrere a FreeBSD tenendo presente che l'ultima FreeBSD License è compatibile con la GNU General Public License. |
|
| Top |
|
|
delfo
Eroe
Registrato: 02/07/05 20:08
Messaggi: 55
|
| Inviato: 25 Ago 2009 11:07 Oggetto: Problema che riguarda Linux, perché si parla d'altro? |
|
|
Riuscite a parlare male di tutto quello che non sia linux anche quando c'è un problema che riguarda Linux.
Sembrate dei noti politici italiani che quando gli si dice che le cose in Italia vanno male dicono che in Francia e Germania però stanno peggi.
Ma per favore !!! |
|
| Top |
|
|
zeross
Moderatore Software e Programmazione
Registrato: 19/11/08 11:04
Messaggi: 6215
Residenza: Atlantica
|
| Inviato: 25 Ago 2009 11:30 Oggetto: |
|
|
| delfo ha scritto: | Riuscite a parlare male di tutto quello che non sia linux anche quando c'è un problema che riguarda Linux.
Sembrate dei noti politici italiani che quando gli si dice che le cose in Italia vanno male dicono che in Francia e Germania però stanno peggi.
Ma per favore !!! |
Quello che ha riportato l'utente Paolo sono sue opinioni, correlate però al problema principale della falla in Linux, che come detto all'inizio del thread e si grave ma per esplicarsi necessità di condizioni particolari.
Ed il rimedio è stato trovato mentre in altri casi con piattaforma Windows i problemi spesso erano molti ed alcuni non avevano soluzione ( esiste ad esempio una vulnerabilità nota in windows NT che non è stata corretta per le versioni antecedenti a Xp) per cui farlo notare non è sbagliato in linea di principio.
Poi si può non essere d'accordo sul modo di far notare queste cose ma non parlarne è sicuramente la via peggiore per risolvere i problemi dato che l'ignoranza è la culla di ogni male.
Zeross |
|
| Top |
|
|
{paolo del bene}
Ospite
|
| Inviato: 02 Set 2009 21:30 Oggetto: Quello che ha riportato l'utente Paolo sono sue... |
|
|
non mi sembra di averti messo in bocca delle parole che non ti appartengono e dunque non capisco da cosa devi prendere le distanze, dal momento che nel kernel linux le correzioni vengono apportate, per quanto riguarda windows, invece non si possono apportare, l'utente no ha una shell, un compilatore, non sa dove andare a mettere le mani, proprio perchè windows nasce con lo scopo di rendere le persone ignoranti "ignosco", e dunque con l'intento di non fargli apprendere alcunchè.
e questa sarebbe l'alfabetizzazione informatica ?
:-)
preferisco dei bugs dentro al kernel linux, ma almeno è possibile segnalarli oppure chi è in grando può effettuare il bug fixing senza dover spendere 199 euro di sistema operativo che tra l'altro nonostante l'abbiano comprato non possono usarlo a proprio piacimento, vedasi la EULA ci microsoft e le sue restrizioni cosa che invece è possibile fare con la GNU General Public License su ogni package GNU General Public License.
Comunque vedasi il Debian Secuirity Advisory: http://www.debian.org/security/2009/dsa-1872 i bugs verranno eliminati e non vedo da quando in microsoft si debbano preoccupare di ciò, hanno paura di esser spodestati da Red Hat [GNU-linux] e Novell OpenSuse [GNU-linux] ?
infine il bug fixing lo effettuano gli utenti sui sistemi Unix-like e non certo regalano il frutto delle problematiche ad una multinazionale che immette un prodotto di scarsa qualità sul mercato e non paga coloro che nel mondo segnalano i problemi che provengono da windows.
L'intento di far passare il sistema operativo [GNU-linux], come qualcosa di inferiore a windows, non sta in piedi e lo sai benissimo che è decisamente migliore.
Anzi sin dall'83, quando Richard Matthew Stallman avvio il progetto GNU'S Not UNIX ! nessuna software house volle seguirlo, poi quando nel 1991 venne introdotto il kernel sviluppato da Linus Torvalds Benedict, la Microsoft per bocca di William Gates 3 diceva che era scarso, bello il loro che per qualcosa di passabile hanno dovuto attendere fino a windows xp (poveretti) :-)
Venendo a noi Nel 1997 la Microsoft iniziò a boicottare [GNU-linux], dunque se il sistema operativo non avrebbe mai visto la luce, perchè la microsoft era così intenzionata a boicottarlo ? di cosa aveva paura ?
uscirono poi gli Halloween Documents:
http://en.wikipedia.org/wiki/Microsoft_Halloween_documents_leak
e ciò la dice lunga sui comportamenti di microsoft |
|
| Top |
|
|
freemind
Supervisor sezione Programmazione
Registrato: 04/04/07 20:28
Messaggi: 4643
Residenza: Internet
|
| Inviato: 02 Set 2009 21:36 Oggetto: |
 |
|
| zeross ha scritto: | | delfo ha scritto: | Riuscite a parlare male di tutto quello che non sia linux anche quando c'è un problema che riguarda Linux.
Sembrate dei noti politici italiani che quando gli si dice che le cose in Italia vanno male dicono che in Francia e Germania però stanno peggi.
Ma per favore !!! |
Quello che ha riportato l'utente Paolo sono sue opinioni, correlate però al problema principale della falla in Linux, che come detto all'inizio del thread e si grave ma per esplicarsi necessità di condizioni particolari.
Ed il rimedio è stato trovato mentre in altri casi con piattaforma Windows i problemi spesso erano molti ed alcuni non avevano soluzione ( esiste ad esempio una vulnerabilità nota in windows NT che non è stata corretta per le versioni antecedenti a Xp) per cui farlo notare non è sbagliato in linea di principio.
Poi si può non essere d'accordo sul modo di far notare queste cose ma non parlarne è sicuramente la via peggiore per risolvere i problemi dato che l'ignoranza è la culla di ogni male.
Zeross |
Hai ragione zeross!
E ha ragione anche paolo riguardo il discorso patch.
Un appunto però per paolo: l'update a snow leopard costa 29euro e non 130 e stasera dopo cena ho installato i tools di sviluppo di osx e tra le cose si possono creare anche delle estensioni per il kernel (magari solo delle parti open, magari anche delle altre però appunto come estensioni e non modificazioni ma comunque un pochino ci si può ravanare).
Le tue idee sul software non libero sono note però non è che uno muore... |
|
| Top |
|
|
|
|
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
