Linuxissa vakava haavoittuvuus... (Tivin uutiset)

[tpetrelius]

Tälläiseen uutiseen törmäsin Tivissä

Linuxissa vakava haavoittuvuus - paikkaus tehtiin kuusi vuotta sitten, ei otettu käyttöön!

Linux-käyttöjärjestelmän ytimestä on löytynyt ainakin kuusi vuotta vanha, erittäin vaarallinen haavoittuvuus, joka on paikattu kaikessa hiljaisuudessa. Asiasta kertoi ensimmäisenä verkkojulkaisu Softpedia.

Hyökkääjä pystyi aukkoa hyödyntämällä suorittamaan koodia graafisen käyttöliittymän kautta mistä tahansa sovelluksesta käsin. Haavoittuvuus ei kuitenkaan liittynyt suoraan itse graafista ympäristöä pyörittävään x-palvelimeen vaan linuxin ytimeen.

Käytännössä esimerkiksi tarkoitusta varten räätälöidyllä haitallisella pdf-tiedostolla on voinut ohittaa käyttöjärjestelmän kaikki suojaukset, vaikka pdf-lukijaa olisikin ajettu muusta käyttöympäristöstä eristetyssä niin sanottussa hiekkalaatikkotilassa (Wikipedia).

Ytimen haavoittuvuus on siis vakava, sillä hiekkalaatikkotilan tarkoituksena on nimenomaan estää sovelluksen pääseminen käsiksi varsinaiseen käyttöjärjestelmään ja laitteistoon. Haavoittuvuuden avulla hiekkalaatikossakin ajettu sovellus pystyi saamaan koko tietokoneen pääkäyttäjän (root) käyttöoikeudet eli tekemään käytännössä mitä tahansa.
Paikkaus jo kuusi vuotta sitten – korjausta ei otettu käyttöön

Mielenkiintoiseksi nyt havaitun turva-aukon tekee se, että haavoittuvuus havaittiin ensimmäisen kerran jo kuusi vuotta sitten. Suse-jakeluversion tietoturva-asiantuntija Marcus Meissner kertoo tietoturvasivusto H-Onlinelle, että korjaus aukkoon oli saatavilla jo syyskuussa 2004 – mutta paikkaus ei päätynyt koskaan linux-ytimeen. Paikkaus otettiin käyttöön ainoastaan Suse-jakeluversiossa.

Käytännössä kaikki muut paitsi Suse-pohjaiset linuxit ovat haavoittuvia. Useimmille jakeluversioille kuten Red Hatille ei ole saatavilla paikattua ydintä, mutta ylläpito voi tarvittaessa asentaa manuaalisesti haavoittuvuuden korjaavan päivityksen (patch).

Haavoittuvuuden löysi puolalaisen tutkimusyhtiö Invisible Things Labin tutkija Rafal Wojtczuk. Vika koskee sekä 32- että 64-bittisiä alustoja.

Linus Torvalds toteutti alustavan korjauksen ongelmaan viime viikolla. Tämän jälkeen on paikattu linuxin ytimen versiot 2.6.27.52, 2.6.32.19, 2.6.34.4 ja 2.6.35.2.

Linux-jakelija Red Hat on luokitellut haavoittuvuuden vakavuustason korkeaksi.

Lähde: Tivi.fi (http://www.tietoviikko.fi/kaikki_uutiset/article489713.ece)
 

Itseäni mietityttää vain tuo korjauksen kesto, eikö kukaan kehittäjistä ole ottanut ilmoitusta vakavasti (paitsi Susen kehittäjät).

[Fri13]

Jopas vilisi asiavirheitä koko uutinen.

Linux-käyttöjärjestelmän ytimestä

kummallista kun Linux on käyttöjärjestelmä ydin (käyttöjärjestelmä siis)

linuxin ytimeen.

Ihan kuin Linux olisi jotakin muuta kuin käyttöjärjestelmä. Tottahan se on että Linuxissa itsessään valtaosa on laiteajureita ja vain murto-osa on itse ytimen toimintoja ja suuri osa muita käyttöjärjestelmän toimintoja mutta silloin pitäisi sanoa Linuxin ydintoimintoihin.

Ytimen haavoittuvuus on siis vakava, sillä hiekkalaatikkotilan tarkoituksena on nimenomaan estää sovelluksen pääseminen käsiksi varsinaiseen käyttöjärjestelmään ja laitteistoon

Koko Linux ydin on se käyttöjärjestelmä joka toimii yksin koko kernel space tilassa. Kaikki sen ulkopuolella eli user space tilassa ei kuulu käyttöjärjestelmään. Joten koko käännös on ihan uppo outo kun ei alkuperäisessä puhuta mistään tuollaisesta toimimattomasta tavasta.

linuxin ytimen versiot

Vieläkin ihan kuin Linux olisi jotain muuta kuin se monoliittinen ydin. Voisi vain yksinkertasesti sanoa Linuxin versiot.

Ei kyllä tietoviikko osaa uutisoida ainakaan kunnolla kun eivät näytä tietävän mikä Linux oikein on kun vaihtelee sen tarkoitus nimeämistavassa. H-online sivuston jutussa ainakin Linux käsiteltiin ihan oikein käyttöjärjestelmänä mutta suomessa ei sitäkää sitte osata vaikka suomessa syntynyt koko käyttöjärjestelmä.
Myös alkuperänen artikkeli (PDF) käsittelee asiaa oikein. Mutta mikä on kun suomessa ei näytä osattavan käsitellä Linuxia oikein? Onko se niin mystinen ja hankala?

Eli lyhyesti sanottuna, pitänyt ensin käynnistää Xorg paikallisesti hyödyntäen haavoittuvuutta ja sitten hyökkääjä on voinut saada minkä tahansa X11 ympäristössä ajettavan sovelluksen haavoittuuvuutta hyödyntäen root oikeudet.

[Jallu59]

Ja montako haittaohjelmaa kykenee hyödyntämään tuota ja niiden levinneisyys ennen tätä "mainostusta" ?

Tuo kuvaus suomeksi ei kyllä ainakaan vakuuttanut toimintalogiikaltaan. Ensivaikutelma on täyttä potaskaa. Täytynee lukea lontoon murteella kirjoitettu versio, josko siitä saisi paremman tolkun. Vai onko tämä juttu joku SuSe:n markkinointiosaston maksettu mainos??? Vai mäsän FUD:ia ?

T:Jallu59

[petteriIII]

Sama on tunne minullakin; näitä 'vakava haavoittuvuus'-uutisia tulee vakioon tahtiin, ihankuin kyse olisi Winkkarin käyttäjien itsetunnon kohotuksesta. Mutta ei näitä silti voi täysin huomiottakaan jättää, vaikka ne olisivatkin väärinkäsitettyjä laboratorio-teorioita. Onko kukaan kuullut käytännössä tapahtuneista ?

[salai]

Olipa harmillinen yhteensattuma: Vasta pari päivää sitten tulivat ulos päivitetyt Ubuntu 10.04.1 LTS -levykuvat ja viime yönä uudet kernelit. Toivottavasti korjaavat äkkiä nuo 10.04.1 -versiotkin, koska 10.04.2 tulee ulos kai ensi vuoden alkupuolella.

[jmp]

Ja montako haittaohjelmaa kykenee hyödyntämään tuota ja niiden levinneisyys ennen tätä "mainostusta" ?

Jaa'a, kuka tietää.
Oletko siis sitä mieltä että tämän aukon korjaaminen olisi pitäyt tapahtua ilman mitään turhia ilmoituksia?

Täytynee lukea lontoon murteella kirjoitettu versio, josko siitä saisi paremman tolkun.

Se yleensä kannattaa.

Vai onko tämä juttu joku SuSe:n markkinointiosaston maksettu mainos??? Vai mäsän FUD:ia ?

Kun jutun H-onlinestä ensimmäisen kerran luin SUSE:n osuutta jutussa ei silloin vielä ollut.

Red Hat pitää bugia vakavana https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2010-2240
Tapahtuisiko niin, jos se ei sitä olisi?

SUSE osuus jutussa:

"Update - As Marcus Meissner from the SUSE security team explained to heise Security, SUSE maintainer Andrea Arcangeli provided a fix for the problem in September 2004, but for unknown reasons this fix was not included in the Linux kernel. SUSE itself has the fix and SUSE Linux Enterprise 9, 10 and 11 as well as openSUSE 11.1 through 11.3 do not exhibit this vulnerability."

Jos korjaus olisi ollut ubnutussa niin olisiko se ollut uutinen vai mainostus?

[Matzi]

Ei voi muuta sanoa kuin: Lämpenee se sauna naapurillakin. 

http://www.tietokone.fi/uutiset/windowsissa_paha_turvaongelma_sadat_ohjelmat_rikki

t.matti

[jake]

Ymmärrän kyllä Ubuntu-porukan reagoinnin tässä asiassa. Ja senkin, että yritetään johdatella juttu esim virheellisten sanontojen suuntaan ja vaikkas kerneliin kuulumisesta, tms, jotta itse korjaamattomuus esim Ubuntussa, saataisiin painettua taka-alalle.
Mutta olisko tollasen sijasta sittenkin parempi keskittyä oleellisempaan eli bugin korjaamattomuuteen.

Ei luulis olevan niin kauhia asia, että joku muu distro on huomioinut tuon bugikorjauksen, niinkuin Suse.
Epäileminen sussun mainostempuksi osoittaa kyllä melkoista kateutta ja besserwissimäistä ajattelua muiden distrojen käyttäjiltä. Etten sanoisi naurettavaa suhtautumista.

Minä ainakin olen ylpeä Susen puolesta, kun se on hoitanut tämänkin turva-asian omalta osaltaan kuntoon.

[Kullervo]

Kiinnitin huomiotani cert.fi juttuun aiheesta.

Linux-ytimessä on havaittu haavoittuvuus, jossa sovelluksen pinomuisti voi kasvaa toisen sovelluksen kanssa jaetulle muistialueelle. Tämä johtaa tilanteeseen, jossa toinen sovellus voi muokata ensimmäisen sovelluksen pinomuistia. Haavoittuvuutta hyväksikäyttämällä voi sisäänkirjautunut käyttäjä suorittaa omaa ohjelmakoodiaan toisen sovelluksen oikeuksin, mikä voi mahdollistaa pääkäyttäjäoikeuksien hankkimisen.

Pitääkö siis tuo ymmärtää niin että täytyy olla sisääkirjautunut koneelle jotta voisi hyödyntää haavoittuvuutta?

[Jakke77]

Kiinnitin huomiotani cert.fi juttuun aiheesta.

Linux-ytimessä on havaittu haavoittuvuus, jossa sovelluksen pinomuisti voi kasvaa toisen sovelluksen kanssa jaetulle muistialueelle. Tämä johtaa tilanteeseen, jossa toinen sovellus voi muokata ensimmäisen sovelluksen pinomuistia. Haavoittuvuutta hyväksikäyttämällä voi sisäänkirjautunut käyttäjä suorittaa omaa ohjelmakoodiaan toisen sovelluksen oikeuksin, mikä voi mahdollistaa pääkäyttäjäoikeuksien hankkimisen.

Pitääkö siis tuo ymmärtää niin että täytyy olla sisääkirjautunut koneelle jotta voisi hyödyntää haavoittuvuutta?

mitenpä muuten tuon voi ymmärtää

[Kunnollinen tullimies]

Kiinnitin huomiotani cert.fi juttuun aiheesta.

Linux-ytimessä on havaittu haavoittuvuus, jossa sovelluksen pinomuisti voi kasvaa toisen sovelluksen kanssa jaetulle muistialueelle. Tämä johtaa tilanteeseen, jossa toinen sovellus voi muokata ensimmäisen sovelluksen pinomuistia. Haavoittuvuutta hyväksikäyttämällä voi sisäänkirjautunut käyttäjä suorittaa omaa ohjelmakoodiaan toisen sovelluksen oikeuksin, mikä voi mahdollistaa pääkäyttäjäoikeuksien hankkimisen.

Pitääkö siis tuo ymmärtää niin että täytyy olla sisääkirjautunut koneelle jotta voisi hyödyntää haavoittuvuutta?

Näinhän sen itsekin ymmärsin. Jos konetta käytetään rootina joka tapauksessa, ei tällä liene suurta merkitystä.

Jos joku ilkiö pääsee etäkäyttäjänä koneelle (kuten ainakin isommissa firmoissa yleensä), on asialla jo suurikin merkitys.

[aku506]

Ei voi olla totta! Aika kaoottista... Toki se on ongelma, muttei niin suuri kuin esim: tietokone –lehti. antaa olettaa.

Linux-käyttäjät voivat pitää sen verran taukoa Windowsin tietoturvan haukkumisessa, että ehtivät päivittää käyttöjärjestelmänsä turvallisemmaksi. Linuxin ytimestä on löydetty haavoittuvuus, joka siten koskee useita jakelupaketteja.

[Jallu59]

Siis on täysin sattumanvaraista, että tuo ylitäysi pino kasvaisi toisen, sudona ajettavan, prosessin muistialueelle, vieläpä sillä tavalla hallitusti, että se ei sotkisi prosesseja. Hämmästytävintä tässä on, että pdf-tiedosto voisi olla sellainen, että se käyttäytyy mainitulla tavalla, riippumatta siitä, millä sovelluksella sitä käytetään. Vaatisi mielestäni lisäksi käynnissä olevien prosessien tarkkaa käytöksen ja jopa käynnistysjärjestyksen tuntemista, että moinen tapahtuma edes teoriassa olisi hyödynnetävissä.

T:Jallu59

[noname]

Kuinkahan moni on tuollaisia pdäffiä nähnyt.

[xmikke]

http://www.tietokone.fi/uutiset/turvaongelmia_linux_ytimessa

[Kunnollinen tullimies]

http://forum.ubuntu-fi.org/index.php?topic=34994.0

[aku506]

http://www.tietokone.fi/uutiset/turvaongelmia_linux_ytimessa

Sama uutinen, ja  esitelty jo.

http://forum.ubuntu-fi.org/index.php?topic=34994.0

Perustelisitko, miksi haluat linkittää sivun yläosaan =) _{Taitaa olla vaan moka}

[Lasse.]

http://www.tietokone.fi/uutiset/turvaongelmia_linux_ytimessa

Sama uutinen, ja  esitelty jo.

http://forum.ubuntu-fi.org/index.php?topic=34994.0

Perustelisitko, miksi haluat linkittää sivun yläosaan =) _{Taitaa olla vaan moka}

Nuo ovat toisesta ketjusta, moderaattori yhdisti ketjut.

[valtsu68]

versioiksi Ubuntu 6.06 LTS, 8.04 LTS, 9.04, 9.10 sekä 10.04 LTS

Mihis oli toimittajalta unohtunut 6.10, 7.04, 8.10 ja 7.10?   Ei taaskaan tiedot tainneet olla ajan tasalla edes versioista...

[Tomin]

versioiksi Ubuntu 6.06 LTS, 8.04 LTS, 9.04, 9.10 sekä 10.04 LTS

Mihis oli toimittajalta unohtunut 6.10, 7.04, 8.10 ja 7.10?   Ei taaskaan tiedot tainneet olla ajan tasalla edes versioista...

Niiden tuki on kokonaan loppunut. Ehkä siksi?