Suomessa löydettiin erittäin vakava turva-aukkojen suma

[jp1]

http://www.tietokone.fi/pda/uutinen.asp?news_id=33186

[Jallu59]

Ei kai nuo pakkauksen purkuohjelmat linuksissa omaa  mitään root-oikeuksia, joten on taas tyypillistä Cert-fi:n itsensä tärkeäksi tekemistä, väittää sen koskevan ****x-järjestelmiä. Winkkarin käyttäjät ovat sitten asia erikseen, niissä kun oletuksena ollaan 90%:sti järjestelmänvalvojan oikeuksin liikkeellä.

T:Jallu59

[tmp]

Ei kai nuo pakkauksen purkuohjelmat linuksissa omaa  mitään root-oikeuksia, joten on taas tyypillistä Cert-fi:n itsensä tärkeäksi tekemistä, väittää sen koskevan ****x-järjestelmiä. Winkkarin käyttäjät ovat sitten asia erikseen, niissä kun oletuksena ollaan 90%:sti järjestelmänvalvojan oikeuksin liikkeellä.

? ... Linux-ohjelmista löytyi vakavia tietoturva-aukkoja, eikä sillä ole mitään merkitystä onko root-oikeudet vai ei.

[jori52]

Ei kai nuo pakkauksen purkuohjelmat linuksissa omaa  mitään root-oikeuksia, joten on taas tyypillistä Cert-fi:n itsensä tärkeäksi tekemistä, väittää sen koskevan ****x-järjestelmiä. Winkkarin käyttäjät ovat sitten asia erikseen, niissä kun oletuksena ollaan 90%:sti järjestelmänvalvojan oikeuksin liikkeellä.

? ... Linux-ohjelmista löytyi vakavia tietoturva-aukkoja, eikä sillä ole mitään merkitystä onko root-oikeudet vai ei.

Sillä jos millä on merkitystä millä oikeuksilla ajat käyttöjärjestelmää.

Terveisin jori52

[tmp]

Sillä jos millä on merkitystä millä oikeuksilla ajat käyttöjärjestelmää.

Toki, mutta ohjelmista löytyi vakavia tietoturva-aukkoja oli root-oikeudet käytössä tai ei.

[jori52]

Sillä jos millä on merkitystä millä oikeuksilla ajat käyttöjärjestelmää.

Toki, mutta ohjelmista löytyi vakavia tietoturva-aukkoja oli root-oikeudet käytössä tai ei.

Eipähän linuxsikaan ole aukoton ja varmaan hyökkäyksiä tulee yleistymisen myötä.
Miten muuten teit tuon lainauksen, nimi ja tekstin lisäys, minulle ei tuo homma ole auennut.

Terveisin jori52

[Jallu59]

Vaan mikä on sen tietoturva-aukon merkitys eri järjestelmissä, on SE juttu, sen lisäksi millä oikeuksin pöpö voi päästä riehumaan. Suurin tietoturva-aukko tässäkin tapauksessa on kuluttajille myytävien koneiden oletuksena järjestelmänvalvojan oikeuksin toimivat omistajat, jotka eivät ymmärrä käyttäjätileistä ja -oikeuksista hölkäsen pöläystä, kunhan käyttävät.

Samoin näppäimistön yläpuolinen osa on ratkaisevassa asemassa mitä paketteja ladataan ja puretaan.

Paljon melua tyhjästä sanoisin, joskin hyvähän nuo on paikata, ettei niin montaa winkkarikonetta kaapattaisi. (tänään taas yksi troijalaisen saastuttama XP ei tainnut olla kyse paketin purusta 

T:Jallu59

[tmp]

Eipähän linuxsikaan ole aukoton ja varmaan hyökkäyksiä tulee yleistymisen myötä.

No onneksi Linux-yhteisössä kaikki eivät ajattele "tietoturvaongelmat ovat vain Windowssin riesa", vaan tietoturvaominaisuuksia kehitetään jatkuvasti; SMACK, SELinux, AppArmor ...

Red Hatin sivuilta löytyy paljon hyvää ja mielenkiintoista asiaa tietoturvasta:
http://developer.redhatmagazine.com/category/security/
http://www.redhat.com/promo/summit/presentations/sec.htm
http://forum.ubuntu-fi.org/index.php?topic=15224.msg111965#msg111965

Miten muuten teit tuon lainauksen, nimi ja tekstin lisäys, minulle ei tuo homma ole auennut.

Eli miten pystyn lainata vain osan viestistä, eikä niin, että näkyy kaikkien vastaukset?
Jos noin, niin ei muuta kuin napsit turhat pois ja jätät ne mihin haluat vastata.

Koodia: [Valitse]

[quote author=jori52 link=topic=16831.msg124401#msg124401 date=1205867705]
Miten muuten teit tuon lainauksen, nimi ja tekstin lisäys, minulle ei tuo homma ole auennut.
[/quote]

<vastaus>


[Asmo Koskinen]

http://www.tietokone.fi/pda/uutinen.asp?news_id=33186

"The old stable distribution (sarge), does not contain this package.

For the stable distribution (etch), these problems have been fixed in version 1.2.53-2etch1.

For the unstable distribution (sid), these problems have been fixed in version 2.2.4-1.

We recommend that you upgrade your libarchive package."

http://www.debian.org/security/2008/dsa-1455

http://changelogs.ubuntu.com/changelogs/pool/universe/liba/libarchive/libarchive_2.2.4-1/changelog

Milloin M$ korjaa omansa?

Ystävällisin terveisin Asmo Koskinen.

[UbunTux]

http://www.tietokone.fi/pda/uutinen.asp?news_id=33186

For the unstable distribution (sid), these problems have been fixed in version 2.2.4-1.

We recommend that you upgrade your libarchive package."

http://www.debian.org/security/2008/dsa-1455


Ystävällisin terveisin Asmo Koskinen.

Koodia: [Valitse]

# apt-get install libarchive1
Luetaan pakettiluetteloita... Valmis
Muodostetaan riippuvuussuhteiden puu
Reading state information... Valmis
Seuraavat UUDET paketit asennetaan:
  libarchive1
0 päivitetty, 1 uutta asennusta, 0 poistettavaa ja 252 päivittämätöntä.
Noudettavaa arkistoa 106kt.
After this operation, 283kB of additional disk space will be used.
Nouda:1 http://ftp.fi.debian.org sid/main libarchive1 2.4.11-1 [106kB]
Noudettiin 106kt ajassa 0s (172kt/s)
Selecting previously deselected package libarchive1.
(Reading database ... 372960 files and directories currently installed.)
Unpacking libarchive1 (from .../libarchive1_2.4.11-1_amd64.deb) ...
Setting up libarchive1 (2.4.11-1) ...Jaahas mokomaa ei ollutkaan edes asennettuna  Kyllpä helpotti 

[Ville Pöntinen]

Minusta on turhaa liioitella sudon käytön etuja verrattuna Windoosan "kaikki ovat pääkäyttäjiä" asetelmaan.

Totta tietenkin on, että kukaan ei voi sotkea toistensä tiedostoja tai koko järjestelmää (ellei sudoeri jakele salasanaansa joka kysymykseen miettimättä mitään). Mutta jos linuxille olisi nyt toimivia ja leviäviä viruksia, jotka tekisivät haittaa, ei kukaan kehtaisi hehkuttaa tyyliin "Eipä saanut sotkettua koko konetta!".

Omaa konettani ajatellen: Surkeimpia asioita joka minua voisivat kohdata olisivat esim. digikuvien katoaminen. Ja niihin omalla tunnuksellani on täydet oikeudet. Toisekseen Vaimon kirjanpitotietojen katoaminen tekisi suunnatonta työtä tai jopa mahdollisia veroriitoja tms. Nekin ovat minun tunnuksellani täysin poistettavissa.

Koko Ubuntun uudelleenasennus on pientä verrattuna em. katastrofeihin... Tietenkin ko. jutut ovat varmuuskopioina muualla.

Tottakai on hyvä, että systeemi estää minua/pöpöjä asentamasta spammi- tai "vielä jotain pahempaa" -palvelinta koneelle. (Ajatustavuranskalaisviivat ovat varmaan väärin. Sori vaan...)

Ja tottakai Opensource-ohjelmat ovat paremmin turvassa kuin suljetut seulakäyttikset. MS:n tekemiä tietoturvatutkimuksia on silti hauska lukea ja yhtä hauskoja ovat tuohtuneet kritisoijat. MS osaa markkinoinnin (näissäkin) asioissa.


PS. Herneitä myydään pusseissa ja niistä kuuluu tehdä siankyljen kanssa keittoa. Jotenkin tää on aihe joka nostaa tunteita. Musta aika turhaan... Onhan todellisuus (virustilastot) jokaisen luettavissa ja jokainen myös tietää, ettei mikään koodi ole aukotonta,

[mgronber]

Vaan mikä on sen tietoturva-aukon merkitys eri järjestelmissä, on SE juttu, sen lisäksi millä oikeuksin pöpö voi päästä riehumaan.
[...]

Paljon melua tyhjästä sanoisin, joskin hyvähän nuo on paikata, ettei niin montaa winkkarikonetta kaapattaisi.

Ilmeisesti olet huolehtinut käyttäjäkohtaisten tiedostojen päivittäisestä varmuuskopioinnista kun suhtaudut asiaan noin luottavaisesti. Kuten pontvil jo sanoikin niin tärkeimmät tiedot koneella ovat käyttäjäkohtaisia. Ne ovat korvaamattomia, käyttöjärjestelmä ei ole.

[Jallu59]

Onhan todellisuus (virustilastot) jokaisen luettavissa ja jokainen myös tietää, ettei mikään koodi ole aukotonta,

On paljonkin koodia, joka on koodattu vikasietoisuus mielessä ja virheetöntä. Tuo väite on vain kelvottomien ohjelmointikäytäntöjen puolustamista. Oliko se nyt linuxin libc-kirjasto, josta ei löytynyt yhtään aukkoa Ja on miljoonia mikroprosessoripohjaisia laiteitta, joiden koodi on virheetöntä mutta myös valitettavan useita, joiden ei ole , tuoreimpana esimerkkinä raakileina markkinoille tuodut kaapelidigiboksit.
Kyse on halusta ja tavasta tehdä koodia.

T:Jallu59
n.300 000 koodirivin kokemuksella

[Jallu59]

Ilmeisesti olet huolehtinut käyttäjäkohtaisten tiedostojen päivittäisestä varmuuskopioinnista kun suhtaudut asiaan noin luottavaisesti. Kuten pontvil jo sanoikin niin tärkeimmät tiedot koneella ovat käyttäjäkohtaisia. Ne ovat korvaamattomia, käyttöjärjestelmä ei ole.

Kuten totesin tuokin riippuu siitä näppäimistön yläpuolisesta osasta. Neuvonut ja varoittanut olen, mutta toteutus valitettavan usein ontuu. En silti aio lähteä jokaisen luo ottamaan niitä varmuuskopioita Ylessnsä ensimmäisen katastrofin jäkeen ovat ottaneet opikseen

T:Jallu59