Objavená dlhoročná závažná chyba v kerneli
Bezpečnostní experti objavili závažnú bezpečnostnú chybu vo všetkých jadrách Linuxu verzií 2.4.x a 2.6.x, ktoré vznikli od mája 2001 do uplynulého štvrtka. Umožňuje spustiť kód so systémovými právami bežným užívateľom zariadenia, popisujú objavitelia - zamestnanci Google - na svojom blogu. Problém spočíva v tom, ako sa Linux stavia k neexistujúcim operáciám pre určité protokoly, píše The Register. Výsledkom je možnosť uložiť si na určitú adresu vlastný kód a nechať si ho spustiť. Na problém existuje záplata, pre systémy Red Hat je k dispozícii aj manuálny postup zákazu častejších protokolov. S plátaním by systémoví administrátori nemali čakať, vytvoriť exploity využívajúce chybu je totiž podľa objaviteľov otázkou pár minút. Odkazy na niekoľko funkčných sa nachádzajú priamo pod blogovým príspevkom o chybe. Zdroj: www.zive.sk , originál správy
Pre pridávanie komentárov sa musíte prihlásiť.
Boli aj odporucenia zakazat (u mna natahovanie modulov pre) niektore protokoly, co som vyskusal, pulseaudiu som zrusil setuid bit (ale dalsich setuid programov je v beznych distrach dost), eskalacia prav lokalneho uzivatela sa konala veselo dalej.
Akoze chapem, ze grsecurity si musia ako bezp. analytici urobit reklamu ... len neviem, ake vazne to je ... na linuxovych strankach, kde chodievam je akosi ticho, a len sem-tam ktosi utrusi - akoby na okraj - ironicku poznamku...
Linus poslal opravu (link pre pre 2.6.x jadro), fedoraci maju uz opatchovane jadro, v mojej MDV zatial update nie je, tak neviem, ci kompilovat jadro (uz sa vlastne kompiluje) alebo co.