Ubuntu Suomen keskustelualueet

Ubuntun käyttö => Ubuntu tietokoneissa => Aiheen aloitti: whiski - 20.09.10 - klo:14.13

Otsikko: Vakava aukkoko?
Kirjoitti: whiski - 20.09.10 - klo:14.13: http://www.tietokone.fi/uutiset/linux_haava_helsingin_yliopisto_sulki_palvelimet_ja_tietokoneluokat
Otsikko: Vs: Vakava aukkoko?
Kirjoitti: Tha-Fox - 20.09.10 - klo:14.39: Onhan tuo varmasti yliopiston ja vastaavien suurempien ympäristöjen kannalta iso ongelma, mutta kotikäytössä auttaa mukavasti se, että tuo vaatii käyttäjätilin, jolta oikeuksia aletaan korotella.
Otsikko: Vs: Vakava aukkoko?
Kirjoitti: SuperOscar - 20.09.10 - klo:14.42: Tha-Fox ehti ensin, mutta lainataan vielä relevantti kohta uutisesta:

Lainaus
Cert-fin mukaan Linuxin 64-bittisestä ytimestä löydetyn haavoittuvuuden avulla käyttäjän on mahdollista nostaa käyttöoikeustasonsa root-käyttäjän tasolle. Hyväksikäyttö vaatii tunnuksen järjestelmään.
Otsikko: Vs: Vakava aukkoko?
Kirjoitti: noname - 20.09.10 - klo:14.54: ~~Jos yliopistoilla ei ajeta järjestelmiä roottina, ei ole suurta vaaraa. ;)~~
Otsikko: Vs: Vakava aukkoko?
Kirjoitti: odysseus - 20.09.10 - klo:14.58: Ja moniko ajelee 64b:llä 32b sovelluksia? Paketinhallinnastahan kilahtaa 64:een 64:ää!

...no ehkä sitä kirottua Skypeä kun ei opita välttämään kaupallisia sotkuja ja firmoja, jotka elävät menneisyydessä!
Otsikko: Vs: Vakava aukkoko?
Kirjoitti: SuperOscar - 20.09.10 - klo:15.18: Lainaus käyttäjältä: odysseus - 20.09.10 - klo:14.58
Ja moniko ajelee 64b:llä 32b sovelluksia? Paketinhallinnastahan kilahtaa 64:een 64:ää!

...no ehkä sitä kirottua Skypeä kun ei opita välttämään kaupallisia sotkuja ja firmoja, jotka elävät menneisyydessä!

Skypen lisäksi Flash oli (ja varmaan on vieläkin) monella 32-bittinen ihan sen takia, ettei Adobe hetkeen tarjonnut 64-bittistä versiota. Muistaakseni ainakin openSUSEn paketinhallinnasta ”kilahti” 32-bittinen Flash 64-bittiseenkin käyttikseen – mikä sikäli oli mukavaa, että se myös konffattiin saman tien toimivaksi. Debianissa tämä olisi pitänyt tehdä itse, ja ohje oli hitusen vajaan kilometrin mittainen.
Otsikko: Vs: Vakava aukkoko?
Kirjoitti: Tha-Fox - 20.09.10 - klo:15.31: Lainaus käyttäjältä: milan - 20.09.10 - klo:14.54
Jos yliopistoilla ei ajeta järjestelmiä roottina, ei ole suurta vaaraa. ;)

Ei kai sillä ole mitään merkitystä, jos taviskäyttäjä voi nostaa oikeutensa rootin tasolle tuota hyväksikäyttömenetelmää hyödyntämällä?
Otsikko: Vs: Vakava aukkoko?
Kirjoitti: Jallu59 - 20.09.10 - klo:16.50: Onpa HY ylireagoinut. Tuskinpa HY:n kirjoilla on ketään, joka pystyisi&haluaisi hyödyntää kyseistä turva-aukkoa. Muutenkin nuo Cert-fi:n tiedotteet ovat vaillinaisia, niissä ei ollenkaan arvioida minkälaisen todellisen uhan nuo löydetyt aukot aiheuttavat.

T:Jallu59
Otsikko: Vs: Vakava aukkoko?
Kirjoitti: SuperOscar - 20.09.10 - klo:17.41: Lainaus käyttäjältä: Jallu59 - 20.09.10 - klo:16.50
Tuskinpa HY:n kirjoilla on ketään, joka pystyisi&haluaisi hyödyntää kyseistä turva-aukkoa.

Yliopistossa joskus ATK-hommissa olleena olen kyllä eri mieltä vähintään kohdasta ”haluaisi”. Yleensä kaikki kokeillaan, mikä suinkin tiedetään tai havaitaan mahdolliseksi, ja vähän enemmän.
Otsikko: Vs: Vakava aukkoko?
Kirjoitti: Tomin - 20.09.10 - klo:17.49: Joko tuo korjaus tuli eilisissä kernelpäivityksissä?

Lainaus käyttäjältä: SuperOscar - 20.09.10 - klo:17.41
Lainaus käyttäjältä: Jallu59 - 20.09.10 - klo:16.50
Tuskinpa HY:n kirjoilla on ketään, joka pystyisi&haluaisi hyödyntää kyseistä turva-aukkoa.

Yliopistossa joskus ATK-hommissa olleena olen kyllä eri mieltä vähintään kohdasta ”haluaisi”. Yleensä kaikki kokeillaan, mikä suinkin tiedetään tai havaitaan mahdolliseksi, ja vähän enemmän.

No tuota en ihmettele.

PS. Pystyykö tuota hyödyntämään silleen, että tekee oman 32-bittisen binäärin, jota ajaa ohjelmana?
Otsikko: Vs: Vakava aukkoko?
Kirjoitti: odysseus - 20.09.10 - klo:18.05: Lainaus käyttäjältä: Tomin - 20.09.10 - klo:17.49
PS. Pystyykö tuota hyödyntämään silleen, että tekee oman 32-bittisen binäärin, jota ajaa ohjelmana?

Tuo on muuten hyvä pointti!

Mielenkiintoista. Onko tuo aukko joku erikoinen ominaisuus 32 bittisessä ympäristössä. Siis mitähän kaikkea pitääkään tehdä (eli mitä sen pitää käyttää dependenceistä .so:na tai jotain) vai onistuuko tuo homma nyt jotain 32bittistä "hello world" sovellusta ajamalla?

Siis jos teen jotakuinkin näin ja käännän gcc:llä ja ajan ./a.out niin mitä sitten tapahtuu. Miten otan nyt haltuun tuon roottina ja teen jotain pahaa? (retorinen kysymys).

Koodia: [Valitse]
#include <stdio.h> #include <stdlib.h> int main(int argc, char *argv[]) { printf("Hello world.\n"); return EXIT_SUCCESS; }
Entäs näin:

Koodia: [Valitse]
void main(void) { putc('a'); }
Tai näin:

Koodia: [Valitse]
void main(void) { ; }
Haittaako nuo?
Otsikko: Vs: Vakava aukkoko?
Kirjoitti: Jallu59 - 20.09.10 - klo:18.38: Lainaus käyttäjältä: SuperOscar - 20.09.10 - klo:17.41
Lainaus käyttäjältä: Jallu59 - 20.09.10 - klo:16.50
Tuskinpa HY:n kirjoilla on ketään, joka pystyisi&haluaisi hyödyntää kyseistä turva-aukkoa.

Yliopistossa joskus ATK-hommissa olleena olen kyllä eri mieltä vähintään kohdasta ”haluaisi”. Yleensä kaikki kokeillaan, mikä suinkin tiedetään tai havaitaan mahdolliseksi, ja vähän enemmän.
No myönnettäköön, että aikanaan tuli kaadettua TTKK:n(nyk.TTY) kone 80 luvun alkupuolella, mutta siellä se olikin meriitti, johon oikein kannustettiin, jolla pääsi systeemiryhmään töihin viilaamaan käyttistä ;D Kun PDP-11:sta ja IAS:stä luovuttiin TTKK:lla niin 90% sen moduleista oli viilattu systeemiryhmän toimesta. Ja VAX/VMS:llä sama politiikka jatkui. Periatteessa samantapaisesta itsekehittyvästä systeemistä on kyse Linuxinkin kohdalla ainoastaa mittakaava on globaali.

Tietotekniikan olleessa nykyään paljon suuremmassa roolissa, luulisi perusopiskelijankin ymmärtävän, että sotkemalla systeemin voi menettää paljon muutakin kuin käyttäjätunnuksensa esimerkiksi opiskelupaikkansa ja läjäpäin rahaa vahingonkorvauksiin.

Sitäpaitsi tuo on paikattu jo ainakin omissa Ubuntu kerneleissäni(2.6.25:43). Tästä lienee kysymys:
http://www.ubuntu.com/usn/usn-988-1 (http://www.ubuntu.com/usn/usn-988-1)