Slashdot - Linux je resda brezplačen operacijski sistem, ki se je začel ljubiteljsko, a je postal resni igralec na trgu. In brezplačnost programske opreme ne pomeni, da so njegovi pisci revni kot cerkvene miši, ugotavlja Jonathan Corbet, ustanovitelj LWN.net in eden izmed sodelujočih pri dopolnjevanju jedra, na konferenci v novozelandskem Wellingtonu. Analiza kode, ki je bila v Linuxovo jedro dodana med decembrom 2008 in januarjem 2010, kaže, da so tri četrtine kode prispevali programerji, ki so bili za to početje plačani. V tem...

SecurityFocus Online - Očitno se težave z ničelnimi kazalci v Linux jedru kar vlečejo, saj se je po tim. Cheddar bay ranljivosti in podobni ranljivosti v 2.4 in 2.6 jedrih, ki temelji na neustrezni obravnavi ničelnih kazalcev (tim. NULL pointer dereference) v jedru tokrat našla še ena ranljivost

Tudi tokrat gre za problem obravnave ničelnih kazalcev (NULL pointer dereference) in sicer v jedrih različic do 2.6.31 (ranljivo ni le jedro različice 2.6.31.2). Ranljivost - gre za lokalno ranljivost - se tokrat pojavlja v eCryptfs, deluje pa tudi na Ubuntu 9.04 če je mmap_min_addr večji od 0 (to je mogoče preveriti z ukazom "cat /proc/sys/vm/mmap_min_addr"). Prejšnja podobna ranljivost, ki sta jo odkrila Julien Tinnes in Tavis Ormandy je sicer zahtevala, da je na sistemu nameščen SELinux ali pa PulseAudio in da je mmap_min_addr nastavljen na 0.

S pomočjo ranljivosti napadalci lahko okvarijo vsebino pomnilnika RAM (tim. memory corrupt) in s tem onemogočijo delovanje sistema, po nepotrjenih podatkih pa naj bi...

Slo-Tech - Pred kratkim je Brad Spengler iz GRsecurity objavil ranljivost Cheddar Bay.

Gre za lokalno ranljivost v operacijskem sistemu Linux, na katerem teče SELinux. SELinux (Security Enhanced Linux) je zbirka varnostnih ojačitev Linux sistemov, ki naj bi onemogočala oziroma vsaj otežila napade. Ranljivost je bila potrjena na Linux jedru 2.6.30 in 2.6.30.1 (trenutno to jedro uporablja le RHEL 5 v testnih okoljih) na katerem tečeta SELinux ali PulseAudio. Ranljivost omogoča eskalacijo privilegijev.

Očitno pada še en mit - mit o varnosti Linuxa - precej nenavadno pa je, da Linus Tornvalds zatrjuje, da pri vsem skupaj ne gre za problem Linux jedra (kar je tehnično gledano sicer res) in problem skuša zminimalizirati.

Očitno so nekateri v fazi zanikanja. Faza streznitve pa še pride...

Debian - V zadnjih dneh se je izkazalo, da so Linux jedra od verzije 2.6.17 do verzije 2.6.24.1 (ta verzija je že popravljena) lokalno ranljiva. Tako napaka lokalnim uporabnikom omogoča, da pridobijo administratorske pravice.



Popravki vas že čakajo pri vašem naljubšem dobavitelju paketkov.

Slashdot - Sun-ov podatkovni sistem je doživel modularno predelavo ter je sedaj s pomočjo modula FUSE na voljo tudi za Linux. Zaradi nekompatibilnosti licenc še ni bil dodan v samo jedro. Projekt pod imenom ZFS on FUSE naj bi omogočil uporabnikom Linuxa, da uporabijo podatkovni sistem ZFS, brez da je ta integriran v samo jedro. Kot delujoča možnost je bil potrjen tudi zagon sistema z ZFS particije. Trenutna hitrost dosega le polovično zmožnost originalnega, vendar razvijalci upajo, da se jim bo posrečilo, kot pri NTFS projektu za Linux.

Izvorna novica!

Slo-Tech - Po štirih mesecih je izšla nova verzija zelo popularne distribucije Ubuntu.

Verzija, ki sliši na ime Edgy Eft, prinaša kar nekaj sprememb. Med njimi se znajdejo privzeti program za urejanje baz slik F-spot, ki omogoča tudi preprost prenos slik na npr. Flickr. Nova je tudi različica popularnega spletnega brskalnika. Vključen je najnovejši Firefox 2.0. Spremembe pa niso le v uporabniški opremi. Uvedli so tudi modularno verzijo Xorg 7.1.

Pod obleko x strežnika pa se skrivajo GCC 4.1, Glibc 2.4, Linux 2.6.17.

Novo verzijo si lahko prinesete iz uradnih strežnikov, ob začetnem navalu pa predlagam uporabo torrent datotek.

Slashdot - Glede na tole poročilo se v operacijskem sistemu Ubuntu 5.10 (Breezy) nahaja zelo kritična varnostna napaka, saj se lahko navaden uporabnik s preprostim grep -r rootpassword /var ukazom dokoplje do administratorskega gesla za računalnik, ki ga namestitev "pozabi" v tekstovni datoteki, ki je berljiva vsem uporabnikom sistema (world readable).

Verjetno ni potrebno posebej poudarjati, da je root dostop v Linuxu pomeni popolen dostop do CELOTNEGA sistema, zato vsi uporabniki hitro namestite posodbitev, ki napako odpravi. Zahvaljujoč izjemno hitremu odzivu skrbnikov za varnost Ubuntuja je bil namreč popravek na voljo v nekaj urah, poleg namestitve popravka pa seveda priporočam tudi takojšnjo spremembo skrbniškega gesla. Še povezava na prvo objavo napake.

Slo-Tech - Na domači strani Linux jedra je na voljo najnovejša različica le-tega in sicer verzija 2.6.7, ki prinaša kar precej posodobitev, med drugimi tudi popravek za pred nedavnim odkrito luknjo, ki zamrzne sistem že ob izvedbi preprostega C programa. Ranljivi so vsi sistemi z nepatchanimi 2.6.x ter tudi 2.4.x jedri. Pravtako so ranljive tudi 64-bitna inačice zgoraj omenjenih jeder. Na srečo sta na voljo že popravka za 2.4.x ter 2.6.x jedro.

Vsem Linuxašem, ki ste na 2.6.x jedru, priporočamo posodobitev. Ne pozabite uporabiti slovenskega zrcalnega strežnika.

Omenimo še veselo novico, da se bo razvoj varnostnih dodatkov za jedro grsecurity nadaljeval. Avtorju je namreč uspelo dobiti sponzorje, ki bodo poskrbeli za njegov vsakdanji kruh in mleko.

Slo-Tech - Kot ste, zavzeti forumaši pač, že opazili, je zadnje dni v našem Forumu dosti stvari bolj slabo delujočih. Da ne boste živeli v nevednosti, vam bom razložil kapitalni razlog. Primož je dobil kronični napad pridnosti in se lotil pisanja Foruma popolnoma na novo. Ker pa ne more vsega narediti naenkrat, ste včeraj opazili, da se ni dalo popravljati ter brisati tem inu sporočil. Vse to je danes že popravljeno, avtomatska prijava pa še sledi. Bodite potrpežljivi . Če slučajno opazite še kakšno anomalijo v delovanju Foruma, to napišite v oddelek "Slo-Tech" in stvar bo popravljena tekom dneva. Hvala lepa.