Kirjoittaja Aihe: Vakava aukkoko?  (Luettu 3192 kertaa)

whiski

  • Käyttäjä
  • Viestejä: 292
    • Profiili
    • Fotopiironki
Ei ole häpeä olla pelle, kunhan vain itse tietää olevansa sitä.

http://www.fotopiironki.fi/palsta/index.php
http://www.malmilandia.fi/kuvagalleria/main.php
Kuvagalleria Fotopiirongin jäsenille valmis

Tha-Fox

  • Käyttäjä
  • Viestejä: 3315
  • Arch Linux && CentOS
    • Profiili
    • http://kettu.dy.fi
Vs: Vakava aukkoko?
« Vastaus #1 : 20.09.10 - klo:14.39 »
Onhan tuo varmasti yliopiston ja vastaavien suurempien ympäristöjen kannalta iso ongelma, mutta kotikäytössä auttaa mukavasti se, että tuo vaatii käyttäjätilin, jolta oikeuksia aletaan korotella.

SuperOscar

  • Käyttäjä
  • Viestejä: 4063
  • Ocatarinetabellatsumtsum!
    • Profiili
    • Legisign.org
Vs: Vakava aukkoko?
« Vastaus #2 : 20.09.10 - klo:14.42 »
Tha-Fox ehti ensin, mutta lainataan vielä relevantti kohta uutisesta:

Lainaus
Cert-fin mukaan Linuxin 64-bittisestä ytimestä löydetyn haavoittuvuuden avulla käyttäjän on mahdollista nostaa käyttöoikeustasonsa root-käyttäjän tasolle. Hyväksikäyttö vaatii tunnuksen järjestelmään.
pöytäkone 1, NUC: openSUSE Leap 15.6, kannettavat 1–3: Debian GNU/Linux 12; pöytäkone 2: openSUSE Tumbleweed; RPi 1: FreeBSD 14-RELEASE; RPi 2: LibreELEC 11

noname

  • Käyttäjä
  • Viestejä: 828
  • Linuxilla maaliskuusta 2009
    • Profiili
Vs: Vakava aukkoko?
« Vastaus #3 : 20.09.10 - klo:14.54 »
Jos yliopistoilla ei ajeta järjestelmiä roottina, ei ole suurta vaaraa. ;)
« Viimeksi muokattu: 20.09.10 - klo:16.01 kirjoittanut milan »

odysseus

  • Vieras
Vs: Vakava aukkoko?
« Vastaus #4 : 20.09.10 - klo:14.58 »
Ja moniko ajelee 64b:llä 32b sovelluksia? Paketinhallinnastahan kilahtaa 64:een 64:ää!

...no ehkä sitä kirottua Skypeä kun ei opita välttämään kaupallisia sotkuja ja firmoja, jotka elävät menneisyydessä!

SuperOscar

  • Käyttäjä
  • Viestejä: 4063
  • Ocatarinetabellatsumtsum!
    • Profiili
    • Legisign.org
Vs: Vakava aukkoko?
« Vastaus #5 : 20.09.10 - klo:15.18 »
Ja moniko ajelee 64b:llä 32b sovelluksia? Paketinhallinnastahan kilahtaa 64:een 64:ää!

...no ehkä sitä kirottua Skypeä kun ei opita välttämään kaupallisia sotkuja ja firmoja, jotka elävät menneisyydessä!

Skypen lisäksi Flash oli (ja varmaan on vieläkin) monella 32-bittinen ihan sen takia, ettei Adobe hetkeen tarjonnut 64-bittistä versiota. Muistaakseni ainakin openSUSEn paketinhallinnasta ”kilahti” 32-bittinen Flash 64-bittiseenkin käyttikseen – mikä sikäli oli mukavaa, että se myös konffattiin saman tien toimivaksi. Debianissa tämä olisi pitänyt tehdä itse, ja ohje oli hitusen vajaan kilometrin mittainen.
pöytäkone 1, NUC: openSUSE Leap 15.6, kannettavat 1–3: Debian GNU/Linux 12; pöytäkone 2: openSUSE Tumbleweed; RPi 1: FreeBSD 14-RELEASE; RPi 2: LibreELEC 11

Tha-Fox

  • Käyttäjä
  • Viestejä: 3315
  • Arch Linux && CentOS
    • Profiili
    • http://kettu.dy.fi
Vs: Vakava aukkoko?
« Vastaus #6 : 20.09.10 - klo:15.31 »
Jos yliopistoilla ei ajeta järjestelmiä roottina, ei ole suurta vaaraa. ;)

Ei kai sillä ole mitään merkitystä, jos taviskäyttäjä voi nostaa oikeutensa rootin tasolle tuota hyväksikäyttömenetelmää hyödyntämällä?

Jallu59

  • Käyttäjä
  • Viestejä: 3430
    • Profiili
Vs: Vakava aukkoko?
« Vastaus #7 : 20.09.10 - klo:16.50 »
Onpa HY ylireagoinut. Tuskinpa HY:n kirjoilla on ketään, joka pystyisi&haluaisi hyödyntää kyseistä turva-aukkoa. Muutenkin nuo Cert-fi:n tiedotteet ovat vaillinaisia, niissä ei ollenkaan arvioida minkälaisen todellisen uhan nuo löydetyt aukot aiheuttavat.

T:Jallu59
Jari J. Lehtinen, Wanhempi (iki?)tietoteekkari & tietotekniikkakonsultti Turust, P4-HT / 3,0 GHz, Intel945 IGP 226MB & 4GBram & UbuntuStudio 14.04. Toshiba Satellie 50-C, i5 dual-core 2,3GHz, ubuntu-mate 16.04 LTS

SuperOscar

  • Käyttäjä
  • Viestejä: 4063
  • Ocatarinetabellatsumtsum!
    • Profiili
    • Legisign.org
Vs: Vakava aukkoko?
« Vastaus #8 : 20.09.10 - klo:17.41 »
Tuskinpa HY:n kirjoilla on ketään, joka pystyisi&haluaisi hyödyntää kyseistä turva-aukkoa.

Yliopistossa joskus ATK-hommissa olleena olen kyllä eri mieltä vähintään kohdasta ”haluaisi”. Yleensä kaikki kokeillaan, mikä suinkin tiedetään tai havaitaan mahdolliseksi, ja vähän enemmän.
pöytäkone 1, NUC: openSUSE Leap 15.6, kannettavat 1–3: Debian GNU/Linux 12; pöytäkone 2: openSUSE Tumbleweed; RPi 1: FreeBSD 14-RELEASE; RPi 2: LibreELEC 11

Tomin

  • Palvelimen ylläpitäjä
  • Käyttäjä / moderaattori+
  • Viestejä: 11481
    • Profiili
    • Tomin kotisivut
Vs: Vakava aukkoko?
« Vastaus #9 : 20.09.10 - klo:17.49 »
Joko tuo korjaus tuli eilisissä kernelpäivityksissä?

Tuskinpa HY:n kirjoilla on ketään, joka pystyisi&haluaisi hyödyntää kyseistä turva-aukkoa.

Yliopistossa joskus ATK-hommissa olleena olen kyllä eri mieltä vähintään kohdasta ”haluaisi”. Yleensä kaikki kokeillaan, mikä suinkin tiedetään tai havaitaan mahdolliseksi, ja vähän enemmän.

No tuota en ihmettele.

PS. Pystyykö tuota hyödyntämään silleen, että tekee oman 32-bittisen binäärin, jota ajaa ohjelmana?
Automaattinen allekirjoitus:
Lisäisitkö [RATKAISTU] ketjun ensimmäisen viestin aiheeseen ongelman ratkettua, kiitos.

odysseus

  • Vieras
Vs: Vakava aukkoko?
« Vastaus #10 : 20.09.10 - klo:18.05 »
PS. Pystyykö tuota hyödyntämään silleen, että tekee oman 32-bittisen binäärin, jota ajaa ohjelmana?

Tuo on muuten hyvä pointti!

Mielenkiintoista. Onko tuo aukko joku erikoinen ominaisuus 32 bittisessä ympäristössä. Siis mitähän kaikkea pitääkään tehdä (eli mitä sen pitää käyttää dependenceistä .so:na tai jotain) vai onistuuko tuo homma nyt jotain 32bittistä "hello world" sovellusta ajamalla?

Siis jos teen jotakuinkin näin ja käännän gcc:llä ja ajan ./a.out niin mitä sitten tapahtuu. Miten otan nyt haltuun tuon roottina ja teen jotain pahaa? (retorinen kysymys).

Koodia: [Valitse]
#include <stdio.h>
#include <stdlib.h>
int main(int argc, char *argv[]) {
  printf("Hello world.\n");
  return EXIT_SUCCESS;
}

Entäs näin:

Koodia: [Valitse]
void main(void) {
  putc('a');
}

Tai näin:

Koodia: [Valitse]
void main(void) {
  ;
}

Haittaako nuo?

Jallu59

  • Käyttäjä
  • Viestejä: 3430
    • Profiili
Vs: Vakava aukkoko?
« Vastaus #11 : 20.09.10 - klo:18.38 »
Tuskinpa HY:n kirjoilla on ketään, joka pystyisi&haluaisi hyödyntää kyseistä turva-aukkoa.

Yliopistossa joskus ATK-hommissa olleena olen kyllä eri mieltä vähintään kohdasta ”haluaisi”. Yleensä kaikki kokeillaan, mikä suinkin tiedetään tai havaitaan mahdolliseksi, ja vähän enemmän.
No myönnettäköön, että aikanaan tuli kaadettua TTKK:n(nyk.TTY) kone 80 luvun alkupuolella, mutta siellä se olikin meriitti, johon oikein kannustettiin, jolla pääsi systeemiryhmään töihin viilaamaan käyttistä  ;D Kun PDP-11:sta ja  IAS:stä luovuttiin TTKK:lla niin 90% sen moduleista oli viilattu systeemiryhmän toimesta. Ja VAX/VMS:llä sama politiikka jatkui. Periatteessa samantapaisesta itsekehittyvästä systeemistä on kyse Linuxinkin kohdalla ainoastaa mittakaava on globaali.

Tietotekniikan olleessa nykyään paljon suuremmassa roolissa, luulisi perusopiskelijankin ymmärtävän, että sotkemalla systeemin voi menettää paljon muutakin kuin käyttäjätunnuksensa esimerkiksi opiskelupaikkansa ja läjäpäin rahaa vahingonkorvauksiin.

Sitäpaitsi tuo on paikattu jo ainakin omissa Ubuntu kerneleissäni(2.6.25:43). Tästä lienee kysymys:
http://www.ubuntu.com/usn/usn-988-1
Jari J. Lehtinen, Wanhempi (iki?)tietoteekkari & tietotekniikkakonsultti Turust, P4-HT / 3,0 GHz, Intel945 IGP 226MB & 4GBram & UbuntuStudio 14.04. Toshiba Satellie 50-C, i5 dual-core 2,3GHz, ubuntu-mate 16.04 LTS