CVE-2014-0196: zraniteľnosť jadra Linux

13.05.2014 | 11:12 | dodoedo | Novinky

Zraniteľnosť jadra Linux (CVE-2014-0196) predstavuje kritickú chybu, ktorá umožňuje užívateľovi získať root prístup. Táto chyba zabezpečenia je vo verziách jadra počnúc verziou 2.6.31-RC3 a končiac verziou 3.15-RC5. V čase písania tejto správy, distribúcie Fedora 20 a Ubuntu už vo svojich verziách jadra opravili kód tejto chyby. Problém spôsobila chyba vo jadrovej funkcii n_tty_write (drivers/tty/n_tty.c).

    • RE: CVE-2014-0196: zraniteľnosť jadra Linux 13.05.2014 | 17:13
      Avatar Guliveris   Návštevník

      Tak to je grc ...

      Du ven blejt ......

      • RE: CVE-2014-0196: zraniteľnosť jadra Linux 13.05.2014 | 17:15
        Avatar prasiatko   Návštevník

        Zasa dalsi windovsak tu opruzuje,

        zmizni hobedo

        • RE: CVE-2014-0196: zraniteľnosť jadra Linux 13.05.2014 | 19:12
          Avatar bedňa antiX, Devuan, LegacyIce  Administrátor

          To neva, root sa dá získať len na lokálnom kompe.

          Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
          • RE: CVE-2014-0196: zraniteľnosť jadra Linux 14.05.2014 | 15:34
            Avatar mordor   Návštevník

            Zdroj?

            • RE: CVE-2014-0196: zraniteľnosť jadra Linux 14.05.2014 | 18:16
              Avatar bedňa antiX, Devuan, LegacyIce  Administrátor

              Máš to v odkaze správičky.

              The n_tty_write function in drivers/tty/n_tty.c in the Linux kernel through 3.14.3 does not properly manage tty driver access in the "LECHO & !OPOST" case, which allows local users to cause a denial of service (memory corruption and system crash) or gain privileges by triggering a race condition involving read and write operations with long strings.

              Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
              • RE: CVE-2014-0196: zraniteľnosť jadra Linux 14.05.2014 | 23:09
                Avatar mordor   Návštevník

                Uprimne som dufal ze sa dozviem co je to ten "local user", obvykle sa chyti wikipedia, ale teraz google nasiel prevazne len win tlachy. Tolko na uvod.

                Myslim ze obvykle to znamena shell a moznost spustat nativny kod na danom (ktoremu je user lokalny) stroji. Ale to sa da aj na dialku (nelokalne) napr. cez ssh alebo dieru v browsri. Teda ano, je sa coho bat.

                • RE: CVE-2014-0196: zraniteľnosť jadra Linux 15.05.2014 | 07:16
                  Avatar bedňa antiX, Devuan, LegacyIce  Administrátor

                  Či pri kompe sedíš, alebo si pripojený cez ssh je úplne nepodstatné. Podstatné je že musíš mať užívateľské konto v tom kompe aby si danú chybu mohol zneužiť.

                  Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
                  • RE: CVE-2014-0196: zraniteľnosť jadra Linux 15.05.2014 | 10:44
                    Avatar mordor   Návštevník

                    A to ma ma ako upokojovat? "Konto" ziskas napr. cez browser, tam je chyb podstatne viac ako v jadre.

                    • RE: CVE-2014-0196: zraniteľnosť jadra Linux 15.05.2014 | 11:05
                      Avatar bedňa antiX, Devuan, LegacyIce  Administrátor

                      Toto je už pekne od témy o tejto správičke.

                      Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
                      • RE: CVE-2014-0196: zraniteľnosť jadra Linux 15.05.2014 | 11:28
                        Avatar mordor   Návštevník

                        Je to k teme tvojho zlahcujuceho vyhlasenia, ktore by mohol niekto nespravne pochopit.

                • RE: CVE-2014-0196: zraniteľnosť jadra Linux 15.05.2014 | 10:46
                  Avatar dodoedo Fedora Linux  Používateľ

                  1.

                  Dá sa to ešte aj tak interpretovať, že táto zraniteľnosť (CVE-2014-0196) UMOŽŇUJE ne-privilegovanému userovi (bežný užívateľ s kontom) ZÍSKAŤ práva root-a.

                  2.

                  Postihnuté sú týmto napríklad VŠETKY staršie Android-box zariadenia po celom svete,

                  takže tak, takže tak.

                  G. Orwell: "Čím více se společnost vzdaluje od pravdy, tím více bude nenávidět ty, kteří ji říkají."
                  • RE: CVE-2014-0196: zraniteľnosť jadra Linux 15.05.2014 | 11:02
                    Avatar bedňa antiX, Devuan, LegacyIce  Administrátor

                    To je jasné, že aj eskalácia práv je nebezpečná, len hovorím, že nejde pre bežného užívateľa moc nebezpečnú chybu, jedine že by sa mu do kompa nabúrala mama čo tam má tiež účet.

                    Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
                    • RE: CVE-2014-0196: zraniteľnosť jadra Linux 15.05.2014 | 11:26
                      Avatar mordor   Návštevník

                      Alebo skor nigerijsky pornomagnat... Chyba takehoto charakteru totiz znamena ze ked browsujes internet, je to skoro rovnake ako keby ti browser bezal pod root-om. A o tom, ze browsre su nejak super bezpecne by som si iluzie nerobil. Takze tam kde by si bezne ziskal "len" uzivatelske konto, mozes teraz ziskat celu masinu.

                      • RE: CVE-2014-0196: zraniteľnosť jadra Linux 15.05.2014 | 11:50
                        Avatar bedňa antiX, Devuan, LegacyIce  Administrátor

                        Nebezpečné je to pre firmy ponúkajúce služby cez ssh a podobne, neviem čo s tým má browser.

                        Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
                        • RE: CVE-2014-0196: zraniteľnosť jadra Linux 15.05.2014 | 12:01
                          Avatar mordor   Návštevník

                          Len to, ze bezpecnostna chyba v nom umozni utocnikovi spustit exploit, a ziskat nie len usera pod ktorim browser bezal ale aj roota.

                          • RE: CVE-2014-0196: zraniteľnosť jadra Linux 15.05.2014 | 13:31
                            Avatar bedňa antiX, Devuan, LegacyIce  Administrátor

                            Keď mi ukážeš ako môžem cez prehliadač na nejakom webe kde som zaregistrovaný spúšťať príkazy, budem ti povďačný.

                            Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
                            • RE: CVE-2014-0196: zraniteľnosť jadra Linux 15.05.2014 | 14:29
                              Avatar mordor   Návštevník

                              Napriklad, sice uz je zaplatana, ale hadam si nemyslis ze ak by este fungovala tak by som ti o nej povedal zadarmo :). Ak ta tema zaujima tak klucove slova "arbitrary code execution".