Критическая локальная уязвимость в Linux ядрах с 2.6.17 по 2.6.24.1

Автор: vi Дата: 11.02.2008 14:28 Собственно сегодня, 11 февраля, появилось вот такое сообщение на opennet.
"Критическая локальная уязвимость в Linux ядрах с 2.6.17 по 2.6.24.1 включительно.
Выпущены обновления Linux ядра - 2.6.24.2, 2.6.22.18 и 2.6.23.16, с исправлением уязвимости, используя которую локальный злоумышленник может получить права суперпользователя в системе.
....

Уязвимости подвержены все Linux ядра начиная с 2.6.17 и заканчивая 2.6.24.1. Проблему усугубляет наличие эксплоита в открытом доступе."

Как скоро ждать обновлений от ASP?
Re: Критическая локальная уязвимость в Linux ядрах с 2.6.17 по 2.6.24.1 11.02.2008 14:46Bircoph Лучше всего обновитесь сами. Можно просто в текущем ядре
одну строчку заменить (патч наложить) и пересобрать.

P.S. Уязвимость действительно серьёзная и оно, сцуко,
работает, вернее, работало ;-).
Re: Критическая локальная уязвимость в Linux ядрах с 2.6.17 по 2.6.24.1 11.02.2008 18:37skal 2Bircoph
Вот нафига ты такое советуешь?
А если у человека официальная поддержка asplinux, ты хочешь чтобы он ее лишился?
Re: Критическая локальная уязвимость в Linux ядрах с 2.6.17 по 2.6.24.1 11.02.2008 18:40skal И насколько я смотрю слухи о том, что asplinux приходит конец подтверждаются
Уже 2 день уязвимости, а в обновлениях на 12 и близко нет апдейта на ядро.
То есть разработчикам начхать..
Re: Критическая локальная уязвимость в Linux ядрах с 2.6.17 по 2.6.24.1 11.02.2008 19:27Bircoph > Вот нафига ты такое советуешь?

1) Для того, чтоб человек мог защитить свою систему от этой
дыры, если у него есть локально/ssh недоверяемые пользователи
или если это для него так важно.
2) Попрошу не тыкать.

> А если у человека официальная поддержка asplinux, ты
> хочешь чтобы он ее лишился?

И с какой стати он её лишится? В договоре официальной
поддержки нигде не сказано, что пользователь лишается
поддержки при модификации ПО. Там тоже люди работают и всё
прекрасно поймут. В худшем случае ему посоветуют заменить
самосборное ядро на вышедшее к тому моменту обновление.

А вот ваш пустой трёп не носит ни какой конструктивной
составляющей.
Re: Критическая локальная уязвимость в Linux ядрах с 2.6.17 по 2.6.24.1 11.02.2008 20:30skal 2Bircoph
>>1) Для того, чтоб человек мог защитить свою систему от этой
>>дыры, если у него есть локально/ssh недоверяемые пользователи
>>или если это для него так важно.

Ну так и пнул бы разработчиков asplinux, а не советовал херню

>>2) Попрошу не тыкать.
Переживешь

>>И с какой стати он её лишится? В договоре официальной
>>поддержки нигде не сказано, что пользователь лишается
>>поддержки при модификации ПО. Там тоже люди работают и всё
>>прекрасно поймут.

Как думаешь, почему в данный тред не вмешался не один представитель ASPLinux и не сказал, что я неправ? Подумай...

>> В худшем случае ему посоветуют заменить
>>самосборное ядро на вышедшее к тому моменту обновление.

Вот именно.
Только это будет в лучшем случае.

>>А вот ваш пустой трёп не носит ни какой конструктивной
>>составляющей.

Дык приходится чудаков таких как ты и BigAndy на место ставить. А то из-за таких придурков народ шарахается от линукса как черт от ладана.
Re: Критическая локальная уязвимость в Linux ядрах с 2.6.17 по 2.6.24.1 11.02.2008 21:13Bircoph > Ну так и пнул бы разработчиков asplinux, а не советовал
> херню

Херню здесь действительно кое-кто советует, но это явно не я.

> Как думаешь, почему в данный тред не вмешался не один
> представитель ASPLinux

Потому что это форум **пользователей**, а не официальной
поддержки ASPLinux.

> Дык приходится чудаков таких как ты и BigAndy на место
> ставить.

Придурок здесь один, но это не указанные тобой люди, а ты
сам.

А народ, который не читает и не хочет читать книжки, пусть
шарахается дальше, винда для них -- самое то. А если Linux
пойдёт им на уступки, то будет маздайка под GPL.
Re: Критическая локальная уязвимость в Linux ядрах с 2.6.17 по 2.6.24.1 11.02.2008 22:29skal 2Bircoph
>>Херню здесь действительно кое-кто советует, но это явно не я.

Ты мил человек, именно ты

>>Потому что это форум пользователей, а не официальной
>>поддержки ASPLinux.

Именно поэтому наверно lkanter сюда постит обновления и ссылки на факи.

>>Придурок здесь один, но это не указанные тобой люди, а ты
>>сам.

Да понятное дело..
С точки зрения обкуренных фанов все, кто занимается бизнес процессами - придурки.
Ага..

>>А народ, который не читает и не хочет читать книжки, пусть
>>шарахается дальше, винда для них -- самое то.

Ну да...
Не осилившие прочитать документацию от вендора, то есть от Redhat(А шо делать, если комманда ASPLinux не посчитала нужным выложить на сайт Administrator Guide по своим продуктам) идут читать "lfs/gentoo for dummies".


>> А если Linux
>> пойдёт им на уступки, то будет маздайка под GPL.


PS Ты аппендицит удалить можешь?
Нет?
Ты просто полный даун с точки зрения хирурга

Слава богу в RedHat сидят вполне адекватные люди, а не такие как ты с BigAndy
Re: Критическая локальная уязвимость в Linux ядрах с 2.6.17 по 2.6.24.1 12.02.2008 10:14Bircoph > Не осилившие прочитать документацию от вендора, то есть от
> Redhat

Сервисные обязательства RH лишены смысла при использовании
продукции АСП.

> PS Ты аппендицит удалить можешь?

Почему-то все понимают, что аппендицит должны удалять
профессионалы, а вот управление ОС считается уделом
домохозяйки.

А для профессионала пересборка ядра -- это не проблема.
Re: Критическая локальная уязвимость в Linux ядрах с 2.6.17 по 2.6.24.1 12.02.2008 10:19skal 2beduin

А при чем здесь виндовс
"У Вас негров линчуют!"
Re: Критическая локальная уязвимость в Linux ядрах с 2.6.17 по 2.6.24.1 12.02.2008 10:23skal 2Bircoph
>>Сервисные обязательства RH лишены смысла при использовании
>>продукции АСП.

Ты даже не понял о чем я говорю
При чем здесь сервисные обязательства к доступности для пользователей Administration Guide?

>>Почему-то все понимают, что аппендицит должны удалять
>>профессионалы, а вот управление ОС считается уделом
>>домохозяйки.

Да потому что пользование десктопной OS (а никто не забыл, что ASPLinux 12 позиционируется разработчиками исключительно как десктопная OS) - удел домохозяйки. Как и вождение автомобиля, пользование стиральной машинкой и др.
Re: Критическая локальная уязвимость в Linux ядрах с 2.6.17 по 2.6.24.1 12.02.2008 10:28skal Кстати о птичках
3-й день уязвимости
В обновлениях пусто
Отличная... нет не так...ОТЛИЧНАЯ! поддержка дистрибутива со стороны разработчиков..
Так держать
Re: Критическая локальная уязвимость в Linux ядрах с 2.6.17 по 2.6.24.1 12.02.2008 10:50Bircoph > При чем здесь сервисные обязательства к доступности для
> пользователей Administration Guide?

При том, что изначально речь шла о потере гарантии при
самостоятельной замене ядра на самосборное. У RH такое
возможно и, как доказательство, тобой давалась ссылка на их
руководство для администратора.

Теперь же ты, в силу, скорее всего, естественной природной
ограниченности, потерял нить своей собственной мысли, если
таковая была вообще.

> Да потому что пользование десктопной OS (а никто не забыл,
> что ASPLinux 12 позиционируется разработчиками
> исключительно как десктопная OS) - удел домохозяйки. Как и
> вождение автомобиля, пользование стиральной машинкой и др.

Домохозяйка, пользуясь стиральной машинкой, самостоятельно
её не ремонтирует, если даже там образовалась обычная накипь.
Она самостоятельно не заменяет испортившиеся детали и даже
не заменяет масло, а едет на станцию технического
обслуживания, где это делают за неё.

Аналогично с софтом: это не удел домохозяйки что-либо
обновлять или заменять вообще. Для этого есть соотвествующие
специалисты. Так что если уж речь пошла о том, что
пользователь хочет установить обновление, то он автоматически
классифицируется как специалист, со всеми вытекающими
требованиями.
Re: Критическая локальная уязвимость в Linux ядрах с 2.6.17 по 2.6.24.1 12.02.2008 11:00beduin Bircoph писал(а):
> Аналогично с софтом: это не удел домохозяйки что-либо
> обновлять или заменять вообще. Для этого есть соотвествующие
> специалисты. Так что если уж речь пошла о том, что
> пользователь хочет установить обновление, то он автоматически
> классифицируется как специалист, со всеми вытекающими
> требованиями.
>
Господин skal даже сыр дома сам делает, а зачем его покупать если при знании технологий можно и самому сделать.
Re: Критическая локальная уязвимость в Linux ядрах с 2.6.17 по 2.6.24.1 12.02.2008 11:14skal 2Bircoph

>> При том, что изначально речь шла о потере гарантии при
>> самостоятельной замене ядра на самосборное. У RH такое
>> возможно и, как доказательство, тобой давалась ссылка на их
>> руководство для администратора.

Я еще раз утверждаю, что пересобрав ядро ASPLinux пользователь теряет официальную поддержку

>> Домохозяйка, пользуясь стиральной машинкой, самостоятельно
>> её не ремонтирует, если даже там образовалась обычная накипь.
>> Она самостоятельно не заменяет испортившиеся детали и даже
>> не заменяет масло, а едет на станцию технического
>> обслуживания, где это делают за неё.

Yum для того и сделан, чтобы хозяйка сама не меняла ничего в системе все нужное сделает yum-updatesd. Это и есть аналог заправки бензином на бензозаправке. Если для заправки бензином надо будет ехать на СТО, то никто такую машину покупать не будет.

>> Аналогично с софтом: это не удел домохозяйки что-либо
обновлять или заменять вообще.

Праивльно. Система должна это делать в автоматическом режиме. Об этом должны позаботиться вендоры системы. Если это не так, то это никуда негодная система

>>Для этого есть соотвествующие
>>специалисты.

Ага.
Стиральный порошок в машинку засыпать только специалисты должны.
Или может нах такую машинку.

>>Так что если уж речь пошла о том, что
>>пользователь хочет установить обновление, то он автоматически
>>классифицируется как специалист, со всеми вытекающими
>>требованиями.

ТО есть ASPLinux 12 система исключительно для специалистов поскольку в ней автоматом пускается yum-updatesd?
Re: Критическая локальная уязвимость в Linux ядрах с 2.6.17 по 2.6.24.1 12.02.2008 11:15skal 2beduin
Да нет такие как ты мне предлагают для нарезки сыра кусочками вызвать специалиста
Re: Критическая локальная уязвимость в Linux ядрах с 2.6.17 по 2.6.24.1 12.02.2008 12:16beduin BigAndy писал(а):
> Мда... Димрыл+
реинкарнация
Re: Критическая локальная уязвимость в Linux ядрах с 2.6.17 по 2.6.24.1 12.02.2008 12:41kosmonavt В федоре обновление уже появилось.

**skal**, сейчас и на вашей улице будет праздник ;-)
Re: Критическая локальная уязвимость в Linux ядрах с 2.6.17 по 2.6.24.1 12.02.2008 16:58yandrey [andrey@localhost 1]$ ./a.out
-----------------------------------
Linux vmsplice Local Root Exploit
By qaaz
-----------------------------------
[+] mmap: 0x0 .. 0x1000
[+] page: 0x0
[+] page: 0x20
[+] mmap: 0x4000 .. 0x5000
[+] page: 0x4000
[+] page: 0x4020
[+] mmap: 0x1000 .. 0x2000
[+] page: 0x1000
[+] mmap: 0xb7f3b000 .. 0xb7f6d000
Ошибка сегментирования
[andrey@localhost 1]$ uname -r
2.6.20-1.2312.1.112asp



[andrey@localhost exploit]$ ./a.out
-----------------------------------
Linux vmsplice Local Root Exploit
By qaaz
-----------------------------------
[+] mmap: 0x0 .. 0x1000
[+] page: 0x0
[+] page: 0x20
[+] mmap: 0x4000 .. 0x5000
[+] page: 0x4000
[+] page: 0x4020
[+] mmap: 0x1000 .. 0x2000
[+] page: 0x1000
[+] mmap: 0xb7f72000 .. 0xb7fa4000
[+] root
[root@localhost exploit]# whoami
root
[root@localhost exploit]# uname -r
2.6.23.12-52.1.0.120asp


Грустный
Re: Критическая локальная уязвимость в Linux ядрах с 2.6.17 по 2.6.24.1 12.02.2008 17:15skal Да не будет никакого праздника поскольку разработчики откровенно наплевали на дистрибутив
Re: Критическая локальная уязвимость в Linux ядрах с 2.6.17 по 2.6.24.1 13.02.2008 00:14Bircoph > Я еще раз утверждаю, что пересобрав ядро ASPLinux
> пользователь теряет официальную поддержку

Доказательство утверждения в студию. При отсутствии оного ты
официально признаёшься пустым треплом.

> Yum для того и сделан, чтобы хозяйка сама не меняла ничего
> в системе все нужное сделает yum-updatesd. Это и есть
> аналог заправки бензином на бензозаправке.

Это **не** аналог, поскольку бензин -- расходный материал,
а rpm-пакет -- это составная компонента системы, аналогично
шестерёнке в двигателе автомобиля.

Аналог бензина -- это потребление электроэнергии ПК, бумага
для принтера и т.п. rpm -- это функциональная компонента и
её замена и обслуживание требует определённой квалификации.

> Система должна это делать в автоматическом режиме.

Вкорне неверно.
1) У пользователя может не быть интернет-соединения вообще.
2) Соединение может быть слишком дорогим, совершенно реальная
ситуация для многих из здесь присутствующих.

Кроме того, если идёт речь о системе безопасности высокого
уровня, автоматические обновления не допустимы: достаточно
дискредитировать центральное хранилище, зеркало или канал
связи, и ву-а-ля -- система взломана.

К тому же, установка даже оригинальных обновлений -- вопрос
проблематичный, поскольку сложный патч -- это часто замена
одной проблемы другими, иногда гораздо худшими, так что
оптимальным вариантом в таких случаях является использование
стабильного, проверненного набора пакетов с ручным
наложением критически важных патчей.

>> Мда... Димрыл+
> реинкарнация

Социальный вирус, он же -- эффект автономного комплекса,
эффект подражателей. Активирующий эелемент: неспособность
и нежелание индивида воспринять новое, превосходящее по
мощи старое.

Единственный способ борьбы -- полное уничтожение.
Re: Критическая локальная уязвимость в Linux ядрах с 2.6.17 по 2.6.24.1 13.02.2008 02:48Sm@cker Sm@cker called a vote:
"Kick user skal" F1: Yes; F2: No
Re: Критическая локальная уязвимость в Linux ядрах с 2.6.17 по 2.6.24.1 13.02.2008 10:53skal Интересно ребята Вам когда нибудь доводилось обслуживать кол-во машин больше 10?
Похоже что нет, дальше песочницы в которой можно подрочить никто не пошел
Ну и хер с вами дрочите дальше
Re: Критическая локальная уязвимость в Linux ядрах с 2.6.17 по 2.6.24.1 13.02.2008 15:10Sm@cker Толстый тролль такой толстый...
Re: Критическая локальная уязвимость в Linux ядрах с 2.6.17 по 2.6.24.1 14.02.2008 11:38vi Охренеть...
И это форум на официальном сайте ASP.
Мало того, что на поставленный вопрос даже не удосужились ответить хоть что-то представители компании, так похоже и понятие модерирования форума тут отсутствует в принципе.
Не ожидал.
RSS-материал