В ядре Linux обнаружена (http://www.openwall.com/lists/oss-security/2014/05/12/3) критическая уязвимость (CVE-2014-0196 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0196)), позволяющая локальному пользователю получить привилегии пользователя root. Проблему усугубляет публикация прототипа эксплоита (http://bugfuzz.com/stuff/cve-2014-0196-md.c) в открытом доступе.Проблема вызвана ошибкой в функции n_tty_write (drivers/tty/n_tty.c), в которой некорректно обрабатывалась ситуация доступа к виртуальному терминалу при использовании флагов "LECHO & !OPOST", что позволяло локальному пользователю инициировать повреждение областей памяти ядра. Используя условия гонки уязвимость позволяет выполнить подстановку привилегированных команд во время выполнения операций чтения и записи длинных строк. Успешность эксплуатации является делом случая, при применении эксплоита в 3 из 4 случаев наблюдается крах ядра.
Уязвимость присутствует во всех выпусках ядра, начиная с 2.6.31-rc3, включая 3.14.3 и 3.15-rc5. Исправление пока доступно в виде патча (https://git.kernel.org/cgit/linux/kernel/git/gregkh/tty.git/...). Обновление пакетов с устранением уязвимости уже доступно для Ubuntu (http://people.canonical.com/~ubuntu-security/cve/2014/CVE-20...) и Fedora (https://admin.fedoraproject.org/updates/). Для Debian (https://security-tracker.debian.org/tracker/CVE-2014-0196), Gentoo (http://www.gentoo.org/security/en/index.xml), Red Hat Entreprise Linux (https://rhn.redhat.com/errata/rhel-server-6-errata.html), CentOS (http://lists.centos.org/pipermail/centos-announce/), openSUSE (http://lists.opensuse.org/opensuse-security-announce/2014-05/) и SUSE обновление ядра пока недоступно и находится на стадии подготовки.
URL: http://www.openwall.com/lists/oss-security/2014/05/12/3
Новость: https://www.opennet.ru/opennews/art.shtml?num=39756
В windows 2000 что-то подобное уже было
в windows нет терминала
командная строка, разве не то же самое?
Ой, в виндах навалом иных багов, вплоть до убер-критикалов с выполнением ремотного кода от юзерей по сети. Нашли чем удивить.
> Ой, в виндах навалом иных багов, вплоть до убер-критикалов с выполнением ремотного
> кода от юзерей по сети. Нашли чем удивить.Было, пофиксили. сейчас уже нет. Ну или давайте пруф что-ли..
> Ну или давайте пруф что-ли..Нахаляву ?
Пруф на что? На баги? Вас что во всех списках CVE наглухо забанили? А то там пруфлинков хоть отбавляй.
Лiл ))
https://technet.microsoft.com/library/security/ms14-027
> Лiл ))
> https://technet.microsoft.com/library/security/ms14-027А XP не подвержено, ме-ме-ме.
Вывод: Все, что вышло позже XP - решето :)
нет это не тоже самое
Очень емкий ответ. А подробнее: чем отличается терминал linux от коммандной строки windows?
> Очень емкий ответ. А подробнее: чем отличается терминал linux от коммандной строки
> windows?В linux консоль - родной режим.
GUI идет, как добавление.
В консоли можно сделать все, а в GUI "тоже что-то можно".В винде GUI - родной режим.
Консоль идет, как добавление.
Соответственно, наоборот, в консоли "тоже что-то можно".
Весьма условная классификация. На каком-нибудь N900 - консоль отнюдь не основное средство для взаимодействия с системой. Да и у роутеров обычно основное средство настройки - вебморда.
> На каком-нибудь N900 - консоль отнюдь не основное средство
> для взаимодействия с системой.как раз на N900 консоль — основное и часто единственное средство взаимодействия с системой. гуйня там обеспечивает кое-как звонилку, очень корявый говноменеджер пакетов, унылый плеер и ещё по мелочи. всё остальное тонкое управление можно сделать только из консоли.
p.s. наверное, именно потому, что «не основное», xterm не только сразу в коробке, но для него ещё и сразу из коробки шорткат ctrl+shift+x вделали.
В правильном гуе тоже ничего плохого нет, мягко говоря. Только слишком редко его можно увидеть. На классических Blackberry тоже всё было на шорткатах, например.
> В правильном гуе тоже ничего плохого нет, мягко говоря.так разве ж я где с этим спорил?
правда, есть нюанс: правильный гуй — он для разных людей разный. и что характерно: чем больше туда запихивается всяких фич и опций, тем страшнее он становится. в итоге «навороченым» гуем нормально пользоваться не может никто, а «простой» не устраивает тех, у кого запросы не совпали с предоставляемым набором фич.
кстати, компонентные системы это могли бы изящно решить: там можно было бы строить себе любые гуя из «кубиков», наподобие цепочек команд в консоли.
> строить себе любые гуя из «кубиков», наподобие цепочек команд в консоли.ИЧСХ некоторые, когда им лень делать полноценный гуй под какие-то разовые/временные вещи - делают "GUI" на основе тех же шеллскриптов, путем пинков Zenity какого-нибудь.
> как раз на N900 консоль — основное и часто единственное средство взаимодействия с системой.Ну тут я на самом должен был дописать "для простого смертного". То что на толпу хомяков найдется 1 мегамозг, который будет в терминале печатать - факт. Хрен оспоришь. И как по мне - так хорошо что такая вещица там оставлена. Если в системе нет нормальной терминалки, я ощущаю себя как птица которой оторвали крылья. За это я например не люблю symbian - удивительно дубовая система, в которой даже простые вещи типа настройки сети за пределы того что продумал производитель - убермегаграбли.
Но стоит понимать что это важно в основном гикам и разработчикам. А вон в мусорном ведроиде вообще терминала по дефолту кажется нет никакого, а то что есть - какое-то кривое гомно, в половине случаев еще с троянами и/или за бабло. А 80% рынка смартов оно таки сожрало. Стало быть консоль далеко не главный элемент управления в телефоне. А то что я или ты не будем считать систему без терминального доступа за полноценную машинку которую можно взять под свой чуткий контроль и порулить - отдельный вопрос. Знаешь, пассажиров самолетов как-то больше чем пилотов. То что нас не устраивает роль пассажиров - второй вопрос :P.
> всё остальное тонкое управление можно сделать только из консоли.
Да я могу понять тебя, Капитан. Попадешь вот из N900 в какой-нибудь симбиан - и такое ощущение что тебе руки оторвали и надо управлять телефоном при помощи тыкания носом. Но стоит понимать что с технической точки зрения Linux только ядро и ему положить как именно, кто и что там будет конфигурить и какой степени дубовости это будет.
> p.s. наверное, именно потому, что «не основное», xterm не только сразу в
> коробке, но для него ещё и сразу из коробки шорткат ctrl+shift+x вделали.См. выше :). Понимаешь, то что ты сев в самолет делаешь магический жест и вот у тебя уже штурвал появился и ты закладываешь фигуру высшего пилотажа - это круто, но дано не всем. Поэтому большинство сидит в пассажирском кресле. И попытки всучить им штурвал - ни о чем. Убьются почем зря только.
> я например не люблю symbianой, только не надо о грустном. мне в моей пёстрой жизни приходилось и софт под это писать.
> Стало быть консоль далеко не главный элемент управления в телефоне.
N900 — не телефон. он просто вдобавок ко всему ещё и звонить умеет.
и да: я знаю, что для гиков, у которых N900, консоль важна. просто ты так написал, что я не мог не ответить. ;-)
> и софт под это писать.Могу себе представить. Я как-то смотрел на это дело, а там еще и какой-то компилер проприетарный сватали. Win-only, платный и все такое (в те поры я юзал винды, но уже задумывался о том что не хочу зависеть от 1 вендора и готовился к переползанию на открытые системы и софт). Я решил что ну его наф - пусть нокия сама программит под своего уродца. Как видим не прогадал - сэкономил кучу места в мозге под бесполезные знания о какой-то неведомой проприетари.
> N900 — не телефон. он просто вдобавок ко всему ещё и звонить умеет.
Капитан, капитан... черт, ты такой капитан что я даже не знаю что добавить. Да, для меня он таки тоже карманный компьютер :).
> и да: я знаю, что для гиков, у которых N900, консоль важна.
> просто ты так написал, что я не мог не ответить. ;-)Ну ок, с уточнением что "для гиков" - логично, "какой же гик без консоли?" :P
> Весьма условная классификация.Очень хорошая классификация, если её применять только к десктопам.
А на разных девайсах конечно все будет по своему.
Просто потому, что они даже внешней формой затачиваются под какое-то определенное управление.P.S.
Под GUI я понимаю графический интерфейс, реализуемый видеокартой.
Поэтому веб ентерфейс роутеров, строго говоря, GUI не является.
> Под GUI я понимаю графический интерфейс, реализуемый видеокартой.жжошь напалмом.
>> Под GUI я понимаю графический интерфейс, реализуемый видеокартой.
> жжошь напалмом.GPU User Interface, видимо. Это дырочки такие на задней планке.
> Под GUI я понимаю графический интерфейс, реализуемый видеокартой.А если интерфейс отрисовывается дубовым видеоконтроллером который гонит картинку из RAM-буфера на экран, а GPU как такового нет, только CRTC - это что, уже не GUI?
>> Под GUI я понимаю графический интерфейс, реализуемый видеокартой.
> А если интерфейс отрисовывается дубовым видеоконтроллером который гонит картинку из RAM-буфера
> на экран, а GPU как такового нет, только CRTC - это
> что, уже не GUI?Ты понял, про что я :)
> начиная с 2.6.31-rc3, включая 3.14.3 и 3.15-rc5Офигеть, 4 года. Впрочем, нашли же. И хочется верить, что за 4 года никто плохой не обнаружил.
>> начиная с 2.6.31-rc3, включая 3.14.3 и 3.15-rc5
> Офигеть, 4 года. Впрочем, нашли же. И хочется верить, что за 4
> года никто плохой не обнаружил.Если у вас ядро не падало самопроизвольно - вероятно, беспокоится не о чем =)
Это справедливо только для тех, кто уверен, что попадает в 75%, а не в 25%.
> Это справедливо только для тех, кто уверен, что попадает в 75%, а не в 25%.Теория вероятности - очень интересная штука. Теоретически, все молекулы воздуха могут перейти в соседнюю комнату, а вы окажетесь в вакууме. С точки зрения теории вероятности это вполне возможное событие, правда, крайне маловероятное. Поэтому вы очень врядли доживете до того чтобы это событие увидеть. Но теоретически ничему не противоречит.
>> Это справедливо только для тех, кто уверен, что попадает в 75%, а не в 25%.
> Теория вероятности - очень интересная штука. Теоретически, все молекулы воздуха могут перейти
> в соседнюю комнату, а вы окажетесь в вакууме.Для того, кто физику в школе прогуливает - могут.
> Для того, кто физику в школе прогуливает - могут.Вообще-то, физика в нормальном уровне, с использованием теории вероятности - это таки институтский уровень, школьников такому не учат. Но я понимаю, незнание - сила :).
> ... Для того, кто физику в школе прогуливает - могут.Светодиод в очередной раз пронзил темноту мракобесия своим ярким скудоумием.
Поздравляем, высылаем заслуженный плюс в карму, продолжай грузить апельсины бочками !
>> Теория вероятности - очень интересная штука. Теоретически, все молекулы воздуха могут перейти
>> в соседнюю комнату, а вы окажетесь в вакууме.
> Для того, кто физику в школе прогуливает - могут.и даже для тех, кто не прогуливал ни в школе, ни в институте — всё равно могут. ибо вероятность данного события ненулевая, и ничему фундаментальному оно не противоречит.
>>> Теория вероятности - очень интересная штука. Теоретически, все молекулы воздуха могут перейти
>>> в соседнюю комнату, а вы окажетесь в вакууме.
>> Для того, кто физику в школе прогуливает - могут.
> и даже для тех, кто не прогуливал ни в школе, ни в
> институте — всё равно могут. ибо вероятность данного события ненулевая, и
> ничему фундаментальному оно не противоречит.Даже законам термодинамики и теории газов?
> Даже законам термодинамики и теории газов?насколько я помню — таки нет.
> Даже законам термодинамики и теории газов?Абсолютно. Газ - куча отдельных атомов (или молекул). Это как с зернами - после какого количества начинается куча? Если 2 молекулы носились по сосуду и долбанули по стенкам, "создав давление" в одной половине, и "не создав" в другой - тезис о том что "весь газ скопился в одной половине сосуда и давление неравномерное" - возражений не вызывает вроде. А если молекул будет 10? А 100? А миллион? А весь воздух в комнате?! Вероятность, конечно, понижается. Но - не до ноля. Но в школе это не объясняют. Потому что показать как давление получается из усредненного долбежа молекул в стенки сосуда - сложновато для шкoлoлo.
> Это как с зернами - после какого количества начинается куча?После трёх. Потому что из четырёх зёрен в трёхмерном пространстве можно создать объект в метастабильном состоянии, в просторечии "кучу" -- положив три в основании, одно сверху.
Как у вас все просто. Ну тогда и для газа давайте! После какого количества молекул можно уже забить на дискретную природу явления "молекулы стучат по стенкам" и считать это по усредненным законам на которые Led кивал? :)
> После какого количества молекул можно уже забитьПосле любого, разница в последствиях. :)
Если у себя не наблюдал непонятный крах ядра, то у тебя, наверное, всё хорошо. Но не факт. :)
Я у себя вообще их не наблюдал. )
> Я у себя вообще их не наблюдал. )Вообще сабж весьма вероятностный процесс ибо гонки. Да еще крайне разборчив где это работает. На свежих убунтах и редхатах юзеру kallsyms не показывают в нормальном виде и такие эксплойты обламываются.
> Я у себя вообще их не наблюдал. )Вот именно это и должно озаботить тебя больше всего.
В твоём случае теперь поможет только "format c:" и свежая установка... ;-)
> В твоём случае теперь поможет только "format c:" и свежая установка... ;-)Это у вас - формат цэ, граждане "крЮтые профессионалы" от эникейства.
А что, действительно можется верить, да?Впрочем, это так, уже из области психологии.. А то сам я пофлудил-пофлудил в интернетиках, а потом переключаюсь обратно на линуксовую ОС, без grsecurity и без selinux, даже без разграничения unix-прав для популярных прог, и уж точно, увы, без микроядер и подобного.(
Не собирается:
$ gcc -O2 cve-2014-0196-md.c
/tmp/ccMgv8sE.o: In function `main':
cve-2014-0196-md.c:(.text.startup+0xd5): undefined reference to `openpty'
cve-2014-0196-md.c:(.text.startup+0x135): undefined reference to `openpty'
cve-2014-0196-md.c:(.text.startup+0x172): undefined reference to `openpty'
cve-2014-0196-md.c:(.text.startup+0x1f2): undefined reference to `pthread_create'
cve-2014-0196-md.c:(.text.startup+0x223): undefined reference to `pthread_join'
collect2: error: ld returned 1 exit status
а комментарий в начале файла прочитать слабо?
> а комментарий в начале файла прочитать слабо?Ну вот у виндузоидов запускают file.doc .exe, а у нас - сплойты, не читая. Позор вам, господа растяпы. Запускать эксплойт не читая его - еще глупее и опаснее чем открывать "file.doc .exe" из вашей почты.
Забыл добавить -lutil -lpthread
Ну и ладно, уязвимостью/багом меньше
В Debian только что пришло исправление:
wheezy (security) 3.2.57-3+deb7u1 fixed
https://security-tracker.debian.org/tracker/CVE-2014-0196
> В Debian только что пришло исправление:В альте на той неделе ещё: http://git.altlinux.org/tasks/archive/done/_116/119334/
Это как так, для Убунты обновление уже доступно, а для Дебияна ещё нет?
Да ладно с дебианом. Плохо, что для OpenSuSE нет....
> Плохо, что для OpenSuSE нет....Зачем же врать?
> Это как так, для Убунты обновление уже доступно, а для Дебияна ещё нет?Надо же на ком-то протестировать обновление, а то вдруг оно что-то ломает :)
>> Это как так, для Убунты обновление уже доступно, а для Дебияна ещё нет?
> Надо же на ком-то протестировать обновление, а то вдруг оно что-то ломает
> :)Всегда бы так тестировали. Когда надо, исправленных приложений не дождёшься. Понапихают глючных версий из Debian Testing (или откуда там они берут) и кладут болт. Как-то положили поломанный vsftpd, так и пришлось самому собирать, несмотря на то что багрепорт о поломке был ещё до релиза дистра.
>исправленных приложений не дождёшься. Понапихают
> глючных версий из Debian Testing (или откуда там они берут)Зато у _них есть The Ubuntu Kernel Team. Это важно.
> Зато у _них есть The Ubuntu Kernel Team. Это важно.Не знаю, заслуга ли это их кернел тима или нет, но юзерям в убунтах /proc/kallsyms всегда возвращает нулевые адреса, а правильные - только руту. Что несколько нагибает работу таких эксплойтов.
Если бы они пихали из Testing - всё было бы ещё туда-сюда. Но к сожалению, убунтовцы формируют свои сборки на базе Sid. =/
Кстати, новость врёт, в 14.04 обновлений ядра нет ещё. Только что обновлялся. http://i.imgur.com/HZl6hMC.png
Что за пакетный менеджер такой вывод генерирует?
> Что за пакетный менеджер такой вывод генерирует?/var/log/aptitude
> Кстати, новость врёт, в 14.04 обновлений ядра нет ещё. Только что обновлялся.
> http://i.imgur.com/HZl6hMC.pngомг, мои глаза!
> омг, мои глаза!Интересно, как он это из кубунты сделал? Уж0с! HaX0rZ$кий.
Удобно: вдруг пароль забыл?
Да, от чужого сервака :) Удобно.
Это ведь повышение прав. Значит нужно знать пароль от обычного юзера этого сервака.
В Rhel6 для обычного пользователя в /proc/kallsyms отображаются нули, так что такой эксплойт не сработает:)
> эксплойт не сработает:)И в убунте 14.04 LTSной - такая же хрень.
да и в 12.04 тоже.
Спасибо что эксплоит не опубликовали "в диком виде" :-) (шутка)
> Спасибо что эксплоит не опубликовали "в диком виде" :-) (шутка)Опубликовали. Только он не работает, т.к. дистростроители популярных дистров подкрутили гайки на предмет /proc/kallsyms и поэтому эксплойт обламывается.
>> Спасибо что эксплоит не опубликовали "в диком виде" :-) (шутка)
> Опубликовали. Только он не работает, т.к. дистростроители популярных дистров подкрутили
> гайки на предмет /proc/kallsyms и поэтому эксплойт обламывается.Особенно если учесть, что "покручивание гаек" - это
echo 1 > /proc/sys/kernel/kptr_restrictНо "продвинутые школьники" считают, что это всё "харденед гента":)
>> Спасибо что эксплоит не опубликовали "в диком виде" :-) (шутка)
> Опубликовали. Только он не работает, т.к. дистростроители популярных дистров подкрутили
> гайки на предмет /proc/kallsyms и поэтому эксплойт обламывается.Это шутка была про перевод. Тут в новостях переводчик часто использовал вырожение "дикий вид" для перевода "exploit has been seen in the wild".
> вырожение "дикий вид"Это как? Ходил со свирепой мордой? :)
Блин, похоже ping на SGS3 через эту уязвимость не вернуть :-(
На убунте уже пофиксили :(
(((((((((
> На убунте уже пофиксили :(А оно там и не работало, для начала. В 14.04 /proc/kallsyms юзеру все-время нули подсовывает на все и вся.
> А оно там и не работало, для начала. В 14.04 /proc/kallsyms юзеру
> все-время нули подсовывает на все и вся.не ясно, зачем вообще символами наружу светить. это достаточно редко надо разработчику ядра, никогда — прикладному программисту, и уж точно совершенно никогда — обычному пользователю.
inb4: да, самосборное, kallsyms просто не существует. никаких проблем за кучу лет.
> не ясно, зачем вообще символами наружу светить. это достаточно редко надо разработчику
> ядра, никогда — прикладному программисту, и уж точно совершенно никогда —
> обычному пользователю.
> inb4: да, самосборное, kallsyms просто не существует. никаких проблем за кучу лет.Не зря проект grsecurity существует.
> Не зря проект grsecurity существует.У него ж grslackwarity.
> Не зря проект grsecurity существует.не знаю, не интересуюсь.
> не ясно, зачем вообще символами наружу светить. это достаточно редко надо разработчику
> ядра, никогда — прикладному программисту, и уж точно совершенно никогда —
> обычному пользователю.Для багрепортов и возможности собрать инфо о проблеме без пересборки ядра?
> inb4: да, самосборное, kallsyms просто не существует. никаких проблем за кучу лет.
Да я не сомневаюсь что ты сам с багами справишься, так или иначе. Но вот правда ты чего-то не поймал сабжевый баг. А у тебя он тоже наверное есть. А то что эксплойт не сработает - второй вопрос. Невозможность целенаправленно долбануть - это хорошо, но положить систему можно и вслепую ведь...
> Для багрепортов и возможности собрать инфо о проблеме без пересборки ядра?прикладные программисты и обычные пользователи каждый день этим занимаются. особенно пользователи. сидят, болезные, ядра пересобирают и баги пишут.
> Но вот правда ты чего-то не поймал сабжевый баг.
я тебе намекну: может, это потому, что я не разработчик ядра и не занимаюсь ловлей багов в нём? я всё больше в прикладных библиотеках, которые использую, баги чиню.
а уж такое экзотическое сочетание флагов, которое триггерит сабжевый баг, и вовсе ни разу в жизни не использовал.
Собирается и вешает систему намертво (что является Denial Of Service в чистом виде - т.е. ничуть не приятней, чем local root exploit).Рута не даёт.
Ядро 3.14.0, vanilla, i686 (GCC 4.7.3)
такая же ботва
3.14.2-1-ARCH
>Проблему усугубляет публикация прототипа эксплоита в открытом доступе.пажжите
>* CVE-2014-0196: Linux kernel <= v3.15-rc4
>* For kernels >= v3.14-rc1
>* Caveat: The vulnerability should be exploitable all the way from
>* v2.6.31-rc3, however relevant changes to the TTY subsystem were made in
>* commit acc0f67f307f52f7aec1cffdc40a786c15dd21d9 ("tty: Halve flip buffer
>* GFP_ATOMIC memory consumption") that make exploitation simpler, which this
>* exploit relies on.т.е. доступный по ссылке эксплоит работает только для 3.14.x
На 3.13 не сработало.
> На 3.13 не сработало.Написано же что для 3.14 и новее...
>> На 3.13 не сработало.
> Написано же что для 3.14 и новее...На 3.14 сработало. Но только не из LXC, а напрямую на хост-системе.
так парень же ясно написал - для новых:I've written a "slightly-less-than-POC" privilege escalation exploit for
this vulnerability that works on newer kernels:
http://bugfuzz.com/stuff/cve-2014-0196-md.c (SHA1:
6b1c5c651231b33a5e11b5c8c6ed07cd15f658f5)
на 3.7 openSuse 12.1 ничего не делает ... плюЁт точечки )))))
> плюЁт точечки )))))Race condition - весьма вероятностный процесс что тред выиграет гонку. Подождите. Судя по коду сплойта он работает. Может, вероятность выигрыша в лотерею на вашей системе низкая, мало ли.
Стоп, оно работает для 3.14 и новее. А вы пишете что у вас 3.7...
Оригинальный патч - от 29.04, в openSUSE он добавлен 5.05, в stable-queue - c 6.05.Кому надо - давно проапгрейдились. Нафиг здесь слоупочить?
rhel7 уязвим. Нужно проверять на машине с 2 и более ядрами
По просьбе спецслужб в релиз-кандидат RHEL6 добавили.
gentoo-hardened, /proc/kallsyms не прочитать от юзера.фух.
> gentoo-hardened, /proc/kallsyms не прочитать от юзера.В обычной хомячковой убунте - аналогично. Экая досада для гентушников.
Это ваши комплексы - он порадовался что в Gentoo Hardened всё хорошо, не сказав при этом ни слова про Ubuntu.
Ох моя Деби...3.2.57 а плюется только точками))) Энтропия падает, мы теряем дырку))) Не,что то не получается, хотя система не виснет.
Но зависла винда на другом компе) Не что то тут не чисто.
Как ограничить доступ пользователей к procfs?
mount -o remount,umask=007 /proc
3.14.2-1-ARCH x86_64 собирается и работает.
3.14.1-1, 3.14.3-1 -ARCH x86_64 работает.
Ядро с PAX & GRSEC спасет ваши жопы.
>требуется многоядерная системаФух, пронесло.
OpenSUSE 12.3
Linux linux-j48n.site 3.7.10-1.28-desktop #1 SMP PREEMPT Mon Feb 3 14:11:15 UTC 2014 (c9a2c6c) x86_64 x86_64 x86_64 GNU/Linux
не работает
И не должен, из последнего предложения новости понятно почему.
Есть в природе нормальная ОС - не проблемная в плане безопасности хотя бы в течении года?
Выключенный комп в сейфе не предлагать! :)
Любая из Неуловимых ДжОС
Это утопия!
> Есть в природе нормальная ОС - не проблемная в плане безопасности хотя
> бы в течении года?Да вот есть тут одна загвоздка: чтобы система была юзабельной - в ней должно быть довольно много кода. А в коде как известно баги случаются. Вот и получается - или бесполезный концепт который ничего не умеет, или баги в коде попадаются...
hardened gentoo например, только подойдет ли...
По моим наблюдениям патчи grsecurity защищают от большинства эксплоитов, по крайней мере за последние 5 лет так ни один и не заработал, не смотря на то что ванильные версии тех же ядер спокойно рутовались.
Народ, а кто-нибудь понимает что-то в kernel development?Ибо, внезапно, выясняется, https://access.redhat.com/security/cve/CVE-2014-0196
- в ведре 2.6.32-358.6.2.el6 (2.6.32 не должно бы быть уязвимо, но редхатовское таки уязвимо потому что код n_tty сбэкпорчен из 36-го) проблема по тихому устранена (судя по коду - таки да, устранена, стоят спинлоки, которых нет, к примеру, в 3.0.101 [в 3.1 и более новых блокировки вообще сделаны по другому]). Это значит, что кто-то знал о проблеме как минимум с May 16 2013 (дата архива на их ftp. Ровно год. Нет, это не фейк - это действительно очень старый апдейт, совсем не последний.) Необязательно, конечно, это был редхат, в анонсе того апдейта (легко найдется гуглем если нет акаунта в RHN) нет упоминания такой проблемы. Аккурат ГОД прошел, прежде чем она стала публично известна.При этом: That update added a backport of the upstream commit c56a00a165, which avoided this issue.
А что это за коммит? Это ведь не gitовский id. Что это тогда за "апстрим" такой?
> - в ведре 2.6.32-358.6.2.el6 (2.6.32 не должно бы быть уязвимо, нопоправка, должно, баг еще с 31.
> При этом: That update added a backport of the upstream commit c56a00a165,
> which avoided this issue.
> А что это за коммит? Это ведь не gitовский id. Что этоа, вот он:
http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.g...совсем непохоже на код в rhel. Точнее, похоже одно место, возможно там тоже был race, но, кажется, это не тот, что в CVE-2014-0196 - у RH есть еще одно исправление, тут его нет (или код так сильно поменялся, что я его не узнаю).
redhat нечаянно при бэкпорте исправил еще и соседнюю ошибку и даже не заметил? Так бывает?