The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Новые Linux ядра 2.6.17.5/6 и 2.6.16.25/26. Серьезные проблемы безопасности

15.07.2006 16:04

За последние несколько недель в Linux ядре второй раз обнаружена уязвимость позволяющая локальному пользователю получить права root в системе. Пользователям Linux рекомендуется обновить ядро системы до версий 2.6.17.6 или 2.6.16.26 (в 2.6.17.5 и 2.6.16.25 исправили не все), для тех кто не имеет возможности срочного обновления (эксплоиты можно скачать здесь и здесь), защититься от атаки можно смонтировав /proc с параметрами noexec и nosuid:

    mount -o remount,noexec,nosuid /proc

Пользователи SELinux могут воспользоваться для защиты специально подготовленным правилом.

Для защиты от прошлой уязвимости, устраненной в ядрах 2.6.17.4 и 2.6.17.24, можно использовать команды:


   echo 0 > /proc/sys/kernel/core_uses_pid
   echo /dev/null > /proc/sys/kernel/core_pattern

Кроме того, можно отметить появление за последние несколько дней следующих сообщений о новых проблемах безопасности:

  • "Macromedia Flash Malformed SWF File Multiple Vulnerabilities" - очередная уязвимость позволяющая запускать код злоумышленника через специальным образом скомпонованные SWF файлы;
  • "Samba smbd Memory Exhaustion DoS" - возможность проведения удаленной DoS атаки на samba сервер. Вышел релиз samba 3.0.23 с исправлением.
  • "OpenOffice Java Applet System Access Vulnerability" - выход из изолированного окружения в OpenOffice Java аплетах;
  • "Ruby Safe Level Security Bypass Vulnerabilities" - получение прав системного уровня в Ruby 1.6.x/1.8.x.

    1. Главная ссылка к новости (http://www.kernel.org/...)
    2. Linux Kernel PROC Filesystem Local Privilege Escalation Vulnerability
    3. Linux Kernel PRCTL Core Dump Handling Privilege Escalation Vulnerability
    4. Linux Kernel 2.6.x PRCTL Core Dump Handling (Exploit 2)
    Лицензия: CC BY 3.0
    Короткая ссылка: https://opennet.ru/7896-linux
    Ключевые слова: linux, kernel, security
    При перепечатке указание ссылки на opennet.ru обязательно


    Обсуждение (15) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Siava (??), 01:01, 16/07/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Уже 2.6.17.6 вышло.. =)
     
  • 1.2, dvg_lab (??), 10:36, 16/07/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    дырка на дырке, дыркой погоняет :-(
    жаль очень жаль... интересно когда торвальдс додумаецо пересмотреть политику? качество кода такими темпами скоро станет несопостовимо с поставленными целями
     
     
  • 2.6, www.andr.ru (?), 10:41, 17/07/2006 [^] [^^] [^^^] [ответить]  
  • +/
    > скоро станет несопостовимо с поставленными целями

    а о каких целях идет речь? я вроде слышал одну: just for fun

    enjoy! :D

     

  • 1.3, ZANSWER (ok), 10:51, 16/07/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    МяФ!:) да и куда там чудный Линукс движеться не к Винде ли по дырам?? скоро будет на равне с мелкомяхкими уже по количеству не качественного кода присланого студентами и закомиченого в ядро без проверки професионалами...:)))
     
     
  • 2.4, Vladimir Kozlov (?), 11:49, 16/07/2006 [^] [^^] [^^^] [ответить]  
  • +/
    > куда там чудный Линукс движеться не к Винде ли по дырам??

    Дыры услышали призыв о переходе с винды на линукс и поддержали инициативу =)

     

  • 1.5, Basmach (?), 18:50, 16/07/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вообще тендеция настораживат...
     
  • 1.7, Tracer (??), 15:37, 17/07/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Процесс "фичивания" сменяется процессом "дыркозалайства", довольно закономерно. Остаются консервативные. Но для процесса развития Линух необходим :)
     
  • 1.8, Аноним (-), 17:02, 17/07/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что я вам могу сказать... Рад что вовремя перешёл на FreeBSD.
     
  • 1.9, Vladimir Kozlov (?), 12:07, 18/07/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как говорил Сент-Экзюпери - "проснулся утром, умылся, привел себя в порядок - приведи в порядок свою планету и не забудь скомпилировать новое ядро" :)

    http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.16.27

     
  • 1.10, Аноним (-), 14:54, 18/07/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ИМХО слишком много разработчиков гнущие палку в свою сторону, надо выбрать какое то одно направление - либо сделать хорошо, то чего достигли, либо дописывать новый код в ядро... я думаю с первой задачей справица можно за пару лет и не придёца каждую неделю выпускать новые ядра.
    А вообще фри надёжнее :) переластье на неё пока не привыкли к пингвину...
     
     
  • 2.11, slava (??), 10:06, 19/07/2006 [^] [^^] [^^^] [ответить]  
  • +/
    кому что, а по мне лучше Linux'a нет ничего
     

  • 1.12, Art (??), 11:13, 19/07/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вообще, я не склонен обсуждать вопросы "регилии" на тему "Что лучше Linux или FreeBSD?", но все же...
    Вот что получилось на моей системе (CentOS 4.2):

    [art@new-976ms ~]$ gcc h00lyshit.c -o h00lyshit
    [art@new-976ms ~]$ dd if=/dev/zero of=/tmp/test.file bs=1M count=100
    100+0 входных записей
    100+0 выходных записей
    [art@new-976ms ~]$ cat /usr/lib/* >/dev/null
    ...
    [art@new-976ms ~]$ ./h00lyshit /tmp/test.file

    preparing
    trying to exploit /tmp/test.file

    failed: Exec format error
    [art@new-976ms ~]$

    Вы не ответите мне почему он не заработал у меня? :)
    А я отвечу: дело в системе и в голове. :)

     
  • 1.13, Art (??), 11:14, 19/07/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Так сказать, вдогонку...
    Неправильно кричать на каждому шагу что FreeBSD лучше чем Linux или наоборот - "для каждого винтика своя отвертка". У каждой системы есть как свои плюсы, так и минусы. Так, например, FreeBSD не годится для работы с Oracle (не потому что нельзя поставить, а потому что Oracle в принципе не сертифицирована для FreeBSD - вы не задумывались почему?), не годится FreeBSD для кластеров (взгляните на список машин под Linux на www.top500.org, также советую прочитать про RedHat GFS и RedHat Cluster Suite), но в тоже время FreeBSD наиболее пригодна к использованию, например, в небольших хостинговых и интернет-компаниях. В этой области ей, пожалуй, нет равных. Многим системным администраторам следует знать, что для организаций Linux нужно использовать ТОЛЬКО в промышленном его варианте (никакие ASP, Mandriva, Fedora, ALT и т.п. не годятся для серьезной работы в принципе и сравнивать с ними FreeBSD просто бессмысленно) - это RHEL, SUSE LE, и уж если совсем нет денег, то CentOS. Оптимальные (и желательно сертифицированные) программные решения под конкретную задачу, качественное оборудование и квалифицированный персонал - вот залог нормальной работы чего бы то ни было не зависимо от ОС. Поэтому слова "Linux лучше" или "FreeBSD лучше" - не более чем пустое сотрясание воздуха..
     
  • 1.14, Zont (?), 10:17, 21/07/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ты отстал от жизни :) оракл ставица на фрю - нужен бубен, кровь девственницы и 3 цеплёнка и всё пашет ;-) проверено!

    Для кластеров линукс? ну ты загнул... для кластеров SunOS ИМХО

    И вообще не понимаю тенденции перехода многих уважаемых мной компаний на линукс, раньше вроде на фре жили - щаз на линукс все переходят...

    Вам виднее что лучше.

     
     
  • 2.15, Art (??), 13:10, 23/07/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Ты отстал от жизни :) оракл ставица на фрю - нужен бубен, кровь девственницы и 3 цеплёнка и всё пашет ;-) проверено!
    Читай внимательнее! Я сказал что он не сертифицирован для FreeBSD. Что его можно поставить (причем через эмуляцию Linux, заметь!) известно всем.

    >Для кластеров линукс? ну ты загнул... для кластеров SunOS ИМХО
    Вот именнно, что ИМХО. Если бы Linux не был бы пригоден для кластеров, его не было бы в большинстве из списка на top500.org

    >И вообще не понимаю тенденции перехода многих уважаемых мной компаний на линукс, раньше вроде на фре жили - щаз на линукс все переходят...

    Все просто: нужны производственные решения, за работу которых кто-то будет нести отвественность и которые ГАРАНТИРОВАНО работают. "Бубен, кровь девственницы и 3 цеплёнка" уже не актуальны.

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру