Turvallisuuskysymys

[JaniAlander]

Törmäsinpä tälläiseen artikkeliin http://theinvisiblethings.blogspot.com/2011/04/linux-security-circus-on-gui-isolation.html
ja jäinpä ihmettelemään. Artikkelin pointti on että ilmeisesti linux ja unix järjestelmissä graafiset prosessit eivät ole erillään toisistaan ja kykenevät urkkimaan toisiltaan dataa, tyylin esim. pääkäyttösalasanan. Kysyisinkin ihan mielenkiinnosta, mitä mieltä tuosta jutusta foorumin vähän teknisesti tietävämmät olevat, ja onko asiassa laajemmin aihetta huoleen?

[matsukan]

tämä feature on varmaan tarkoitettu testaukseen ja ongelmien etsimiseen. Tietenkin tämä on paha ominaisuus, tämä on X11 ominaisuus ja en tiedä miten tämä on esim Waylandissa jonka pitäisi korvata X.org ilmeisesti viimeistään 12.04 eli seuraavassa LTS:ssä.

Varmaan kannattaisi fixata siten että kommentoisi kokonaan tuon test vaihtoehdon tuosta xinput:sta ja kääntäsi muokatun version jos tämä huolettaa.

[JaniAlander]

tämä feature on varmaan tarkoitettu testaukseen ja ongelmien etsimiseen. Tietenkin tämä on paha ominaisuus, tämä on X11 ominaisuus ja en tiedä miten tämä on esim Waylandissa jonka pitäisi korvata X.org ilmeisesti viimeistään 12.04 eli seuraavassa LTS:ssä.

Varmaan kannattaisi fixata siten että kommentoisi kokonaan tuon test vaihtoehdon tuosta xinput:sta ja kääntäsi muokatun version jos tämä huolettaa.

Sikäli kuin ymmärsin artikkelin kirjoittaja käytti tuota lähinnä esimerkkinä siitä miten prosesseilla on pääsy toistensa tietoihin X11 ympäristössä eli siis demonstroidakseen laajempaa ongelmaa. Tietty kirjoittajalla on oma lehmä ojassa koska on kilpailevassa käyttisprojektissa mukana.

[matsukan]

Huom: Linkin avaaminen aiheuttaa X-serverin kaatumisen: DO NOT CLICK ! ÄLÄ AVAA LINKKIÄ !

Goatse Security has had a lot of fun pointing out the devastating flaws in Apple’s shit-tastic software, but now it’s time to turn to the beloved mascot of the sweaty man-child open source community: Linux.

Linux weenies will often brag about how insecure Windows is compared to Linux. They’ll also argue that Linux is hard to take down with a DoS attack. Well, it turns out that’s not quite true. Here’s a simple, step-by-step guide to owning the most popular Linux distribution out there today:

    Open a long URL beginning with “apt://” in a browser that handles the apt:// protocol.
    Er…
    That’s it.

Hope you weren’t doing anything important with that X session.

This bug is delightfully trivial to deploy. Just write a normal HTML page containing an iframe that takes a 10000 character apt:// URL as its source. Trick a Debian dickhead into opening it and the bug will take out Compiz, crashing your X session with a cryptic “Unexpected X error: BadAlloc (insufficient resources for operation) serial 1779 error_code 11 request_code 53 minor_code 0)” error. And at no extra cost, we’re also throwing in GNOME theme rendering breakage, which forces you to logout and log back in to get your buttons back!

The following Linux distributions are affected by this vulnerability:

    Alinex
    BLAG Linux and GNU
    CentOS
    ClearOS
    Debian
    DeMuDi
    Feather Linux
    Fedora
    Foresight Linux
    gnuLinEx
    gNewSense
    Kaella
    Knoppix
    Linspire
    Linux Mint
    Musix GNU/Linux
    Parsix
    Red Hat Enterprise Linux
    Scientific Linux
    SUSE Linux Enterprise Desktop
    Ubuntu
    Ututo

This exploit could never have been uncovered without the help of many highly skilled greyhats. I’d like to give shoutouts to incog, Murdox, sloth, vxp, mith, lulzsec, arab, Leon Kaiser, afed, GNAA, jax, Bantown, Sam Hovercar, 37signals, afed_, The Greater Association of PHP Programmers, goudatr0n, Rufas the earthworm, hepkitten, Girlvinyl, D8, EFNet #politics, DJ FUCK DA PARENTZ, Tory Jarmain, djb, my cat, my other cat, mao & amat, jwz, esr (but not rms), #stress, Lee Vartron, kayla, trelane, krashed, bikcmp, David J. Moore, Justin D. May, bittwist, DolemitE, Craig G. Mueller, sam, Christian Schlore, mith, 808chan, xyz, LeeB, Alex Pilosov, lec, Randi Harper and her aborted baby, Shaniqua, acidburn, Lord Nikon, Mikey Mattice, The Cereal Killer, The Phantom Phreak, DiKKy Heartiez, Adrian Lamo, BLACK_MAN, lysol, wispurs, vap0r, LiteralKa, #arab, Matthew Gore (str8sucker704), Richard Johannes III, and the good people at paedophilewatch.org who work tirelessly to keep our children safe online. Many eyes make even the deepest bug shallow!

Linkki poistettu -Storck

[haspu]

On nimittäin selvinnyt, että palvelunestohyökkäyksen tekeminen linuxia vastaan onnistuu pitkän apt:// -protokollaa käyttävän osoitteen avulla. Mikä tahansa riittävän pitkä merkkijono kelpaa.

http://www.mikropc.net/kaikki_uutiset/kymmenissa+linuxjakeluissa+nolo+haavoittuvuus++testaa+taalta+oletko+turvassa/a627270

Yhdistin aiheen koska tuosta pääsee samaan linkkiin mitä jo yllä tarjottiin, suorat "tappolinkit" täällä ei hyvä juttu. -Storck

[Storck]

^ Yllä oleviin: ei aiheuta mitään reaktiota JOS-KUN ei ole Compiz päällä. Eli tuo merkkijono ilmeisesti vain ylikuormittaa Compizin ja X ei sitä kuormaa kestä. 

[Teho]

Waylandissa jonka pitäisi korvata X.org ilmeisesti viimeistään 12.04 eli seuraavassa LTS:ssä.

Vähän offtopic mutta, ei "korvaa" kuin aikaisintaan 12.10:ssä, jos silloinkaan.

[salai]

Tuohon apt://-kaatumiseen tuli korjaus jo (Ubuntu 10.04, 10.10 ja 11.04 ja niihin perustuvat).

EDIT: Ubuntu: 1132-1: apturl vulnerability - The Community's Center for Security

[Echramath]

Kysyisinkin ihan mielenkiinnosta, mitä mieltä tuosta jutusta foorumin vähän teknisesti tietävämmät olevat, ja onko asiassa laajemmin aihetta huoleen?

Kyllähän tuossa selvä järki on. Periaatteessahan, kuten keskustelussa tuolla sivulla taisi joku mainitakin, käyttäjän pitäisi kai joka tapauksessa käyttää vain "sellaisia ohjelmia, joihin voi luottaa", mutta oikeasti se ei ole mahdollista, koska mm. veppiselaimet ovat monimutkaisia, mahdollisesti virheellisiä ohjelmia, jotka jo määritelmän mukaan toimivat vihamielisessä ympäristössä. Jos haluaa olla varma, esim. kaikki salasanat pitäisi syöttää toiseen virtuaalkonsoliin. Gksudon salasanasyöte tosin ei myöskään näy tuossa xtestissä.