Linuxissa vakava tietoturva-aukko

[Jakke77]

jokohan tähän on päivitykset tulleet

http://yle.fi/uutiset/linuxissa_vakava_tietoturva-aukko/8680005

Linux-käyttöjärjestelmistä löydetty vakava haavoittuvuus voi uhata Internetiin kytkettyjä palvelimia, työasemasovelluksia ja älylaitteita. Viestintävirasto kehottaa kaikkia Linux-käyttäjiä asentamaan suojaavan päivityksen. Yleisesti käytössä olevia Windows ja OS X -järjestelmiä uhka ei koske.

BBC kertoi tänään verkkosivuillaan uudesta superbugista, joka voisi pahimmillaan uhata satojatuhansia tietokoneita eri puolilla maailmaa. Haavoittuvuus koskee ns. glibc-kirjastoa eli koodistoa, jota Internet käyttää yhdistäessään laitteita toisiinsa.

Haavoittuvuus mahdollistaa väärän koodin syöttämisen laitteen muistiin. Käytännössä hakkeroitu laite voidaan silloin ottaa haltuun Internetin kautta. Haavoittuvuuden hyödyntäminen vaatii lisäksi muiden käyttöjärjestelmän suojausten ohittamista.

Glibc-kirjaston tekijät ovat jo julkaisseet päivityksen, joka korjaa haavoittuvuuden. Viestintäviraston tietoturva-asiantuntija Anne Oikarinen kehottaa kaikkia Linux ja Unix -järjestelmien ylläpitäjiä asentamaan korjaavan päivityksen laitteisiinsa.

Tavallista netin käyttäjää uhka koskee esimerkiksi sitä kautta, että monissa kotireitittimissä on Linux-pohjainen järjestelmä. Tässä tapauksessa palvelimen ylläpitäjä huolehtii päivityksestä. Osassa näitä laitteita on kuitenkin kevyempi koodisto, joka ei ole haavoittuva.

Myös kotona Linuxia käyttävän on syytä suojautua.

– Jos itse käyttää kotona Linuxia, päivitys kannattaa tietenkin asentaa, Oikarinen sanoo.

Tietoturva-uhka ei koske Windows tai OS X –järjestelmiä.

[raimo]

jokohan tähän on päivitykset tulleet

On http://www.ubuntu.com/usn/usn-2900-1/

[AimoE]

Millähän keinolla tavallinen käyttäjä tarkistaa koskeeko ongelma kotona olevaa reititintä? Omani tuorein firmware-versio on päivätty 2015/01/12.

[nm]

Millähän keinolla tavallinen käyttäjä tarkistaa koskeeko ongelma kotona olevaa reititintä? Omani tuorein firmware-versio on päivätty 2015/01/12.

Voi selvittää, onko reitittimessä glibc (jota nämä CVE-2015-7547 ja CVE-2015-5229 -haavoittuvuudet koskevat) vai joku muu libc. Uclibc taitaa olla yleisin reitittimissä.

Firmwaren päiväyksestä arvattuna sinulla on Asusin melko uusi reititin, jossa on Asuswrt-järjestelmä ja uclibc.

[AimoE]

Voi selvittää, onko reitittimessä glibc (jota nämä CVE-2015-7547 ja CVE-2015-5229 -haavoittuvuudet koskevat) vai joku muu libc. Uclibc taitaa olla yleisin reitittimissä.

Firmwaren päiväyksestä arvattuna sinulla on Asusin melko uusi reititin, jossa on Asuswrt-järjestelmä ja uclibc.

Kyllä, Asus on kyseessä, ASUS RT-N65U. Mutta mistä sinä sen sait selville mikä libc siinä on? Vähän voisi laittaa vinkkiä...

[nm]

Kyllä, Asus on kyseessä, ASUS RT-N65U. Mutta mistä sinä sen sait selville mikä libc siinä on? Vähän voisi laittaa vinkkiä...

Hakusanoilla asuswrt ja uclibc löytyy joitakin relevantteja hittejä. Mm:

http://irq5.io/2012/12/10/hacking-functionality-into-asuswrt-routers/
http://idrawone.blogspot.fi/2014/04/download-source-code-from-asus-for-rt.html

GPL:n alaisen osan lähdekoodista voi ladata sivulta http://www.asus.com/Networking/RTN65U/HelpDesk_Download/ (valitse OS: Others)
Sieltä voi tarkistaa itse.

[AimoE]

Hakusanoilla asuswrt ja uclibc löytyy joitakin relevantteja hittejä.

Jep, okei, mutta mistä taviskäyttäjä keksii käyttää hakusanaa uclibc? Tai päätellä pelkästä päivämäärästä että kyseessä on asuswrt?

[Storck]

Ns taviskäyttäjän ei tarvitse välittää muusta kuin siitä että päivittää kaikki päivitykset mitä systeemi tarjoaa. Taviskäyttäjä..

[Pendeli]

Ns taviskäyttäjän ei tarvitse välittää muusta kuin siitä että päivittää kaikki päivitykset mitä systeemi tarjoaa. Taviskäyttäjä..

Tarkoittaako tämä nyt sitä, että saan automaattisesti päivitykset myös reitittimelle,
olipa se sitten minkä merkkinen hyvänsä?

[Storck]

En kirjoittanut reitittimistä..

[JaniAlander]

Reitittimissä ja vastaavissa se isoin ongelma on. Harva päivittää niiden firmwarea ikinä. Ja valmistajatkaan eivät varsinkaan kuluttajalaitteita välttämättä kovin aktiivisesti tue. Mistä tuleekin mieleeni, että täytyypä kotiin päästyä katsoa josko reitittimelle olisi päivitystä tullut.

[nm]

Jep, okei, mutta mistä taviskäyttäjä keksii käyttää hakusanaa uclibc? Tai päätellä pelkästä päivämäärästä että kyseessä on asuswrt?

Taviskäyttäjän ei tässä vaiheessa tarvitse panikoida liikaa. Uutisen huomautus reitittimien ja muiden sulautettujen laitteiden tietoturvasta on kyllä yleisesti aiheellinen, mutta tämä glibc-aukko koskee lopulta aika harvoja tällaisia laitteita. Täysiveriset Linux-asennukset työpöydillä ja palvelimissa ovat tulilinjalla, mutta niissä taas päivitykset ovat heti tarjolla.

Yksittäisissä reititinmalleissa on muutenkin usein aukkoja, ja ne jäävät taviskäyttäjiltä huomaamatta, eikä valmistajakaan enää tarjoa päivityksiä kovin vanhoihin malleihin, kuten Jani totesi. Kannattaa toki nyt tarkistaa viikon parin sisällä, onko uutta firmispäivitystä tarjolla, jos epäilee, että laitteessa on glibc-pohjainen firmware.

[Mistofelees]

Heitin omille servereilleni käskyn "dpkg -l|grep glibc" enkä saanut mitään vastausta.
Miten tämä pitäisi tulkita ?

[matsukan]

Oikea vaihtoehto on ottaa viimeinen kirjain pois:

Koodia: [Valitse]

dpkg -l|grep glib
 

[kuutio]

Oikea vaihtoehto on ottaa viimeinen kirjain pois:

Koodia: [Valitse]

dpkg -l|grep glib
 

Oikea vaihtoehto on käyttää oikeaa binääripaketin nimeä:

Koodia: [Valitse]

dpkg -l | grep libc6

GNU C Library: Shared libraries

tuo on siis käännetty glibc lähdekoodipaketista.