Slo-Tech - Kako prijeten začetek novega leta. Najprej luknje v Mozilli, sedaj pa še v jedru Linuxa.
Torej fantje, ki cele dneve in noči gledajo le v neskončne traktate C kode so spet prišli na svoj račun in svojih pet minut slave.
Paul Starzetz, eden najbolj aktivnih iskalcev varnostnih hroščev v jedru, je namreč našel bug, ki lahko lokalnim uporabnikom omogoči eskalacijo privilegijev tako v jedru 2.4 kot v 2.6.
Hkrati pa so odkrili še kako lahko navaden lokalni uporabnik zdosa mašinco.
Novice » Ostala programska oprema » Local root exploit v Linux 2.4 in 2.6
Apple ::
Ha, ha...
Verjetno to niso edine luknje...
Verjetno to niso edine luknje...
LP, Apple
Zgodovina sprememb…
- spremenil: Predator ()
SasoS ::
Je pa zanimivo da je bil exploit objavljen skupaj z bugom. Ponavadi počakajo kak teden da ima folk cajt popatchat...tako lahko pa vsak scripkiddy prevede tist program...
moj_nick ::
Pomoje v open source svetu isti človek, ki najde luknjo, naredi tudi patch zanjo (nič ni hudega, če dela popravek 1 teden, ker ve samo on zanj).
Pri closed source pa človek, ki najde luknjo, najprej širnemu svetu pove, da obstaja in potem rabi npr. software-ska firma 1 teden časa, da jo popravi. Razlika je tu, da vsi vedo za luknjo.
imho
Pri closed source pa človek, ki najde luknjo, najprej širnemu svetu pove, da obstaja in potem rabi npr. software-ska firma 1 teden časa, da jo popravi. Razlika je tu, da vsi vedo za luknjo.
imho
110111001001010001010000
Microsoft ::
Pri closed source pa človek, ki najde luknjo, najprej širnemu svetu pove, da obstaja in potem rabi npr. software-ska firma 1 teden časa, da jo popravi. Razlika je tu, da vsi vedo za luknjo.
Iz cesar po moje sledi, da njegov namen ni izboljsevanje produkta (bug bi sporocil samo proizvajalcu software), ampak iskanje napak skozi katere bo prizadel cimvec uporabnikov.
by Miha
Iz cesar po moje sledi, da njegov namen ni izboljsevanje produkta (bug bi sporocil samo proizvajalcu software), ampak iskanje napak skozi katere bo prizadel cimvec uporabnikov.
by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr
moj_nick ::
bug bi sporocil samo proizvajalcu software
Če bi sporočil bug proizvajalcu, ga ne bi nihče opazil (razen proizvajalca). Mogoče bi dobil kakšno simbolično nagrado. Če jo objavi širnemu svetu, ga vsi opazijo.
V primeru open source programerja, le-ta luknjo najde in zakrpa ter ga vsi opazijo&opevajo.
opažen biti = več možnosti za službo
tricky ;)
110111001001010001010000
borchi ::
Če bi sporočil bug proizvajalcu, ga ne bi nihče opazil (razen proizvajalca).
poleg tega bi se v tem primeru proizvajalec delal kot da bug-a sploh ni! al pa bi blo patchanje tega buga zelo nizko na priority listi.
poleg tega bi se v tem primeru proizvajalec delal kot da bug-a sploh ni! al pa bi blo patchanje tega buga zelo nizko na priority listi.
l'jga
Vlady ::
Namest da bi se ukvarjal z hitrim razvojem kvalitetnega software-a pa se ukvarjamo z luknjami v OS-ih. Človeštvo se lahko sramuje samega sebe, saj si lastno delo uničujemo.
"Lotereya - naibolee točnyj sposob učeta količestva optimistov"
Microsoft ::
Hm, nevem, kaj vam je vsem do te slave?
Pa tudi, ce se bo podjetje samo sebe oznacilo, kot da je naslo bug, znanje ti se vseeno ostane. In poznas prakticno vse o tem bugu, kako si ga odkril, kako si testiral,... To znanje ti nihce ne uzame.
bi povedu za bug proizvajalcu, pa bi se delu kot da so oni našl lunkjo in jo popravl
Ce je to nacin, da izboljsamo varnost vseh nas, zakaj pa ne. Konec koncev, boljsa varnost drugih pomeni tudi posredno boljso varnost mene.
by Miha
Pa tudi, ce se bo podjetje samo sebe oznacilo, kot da je naslo bug, znanje ti se vseeno ostane. In poznas prakticno vse o tem bugu, kako si ga odkril, kako si testiral,... To znanje ti nihce ne uzame.
bi povedu za bug proizvajalcu, pa bi se delu kot da so oni našl lunkjo in jo popravl
Ce je to nacin, da izboljsamo varnost vseh nas, zakaj pa ne. Konec koncev, boljsa varnost drugih pomeni tudi posredno boljso varnost mene.
by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr
Zgodovina sprememb…
- spremenil: Microsoft ()
BigWhale ::
Jimi, temu se rece security through obscurity. Nekako tako, kot ce bi od letalskih potnikov zahteval, da se vkrcajo goli brez prtljage. Pa z enim dildotom v riti.... Pac nikoli ne ves kaj kdo skriva in kje...
PS: Moja novica je vsebovala linka tudi na popravke ;>
PS: Moja novica je vsebovala linka tudi na popravke ;>
Vlady ::
Ja bi mu povedu, zakaj pa ne? Samo nebi šel pa "dr*at" v software do te mere da bi iskal bug-e. Če dela dela in nimaš kej. Če pa neki ne dela se pa zadevo javi avtorjem in se izda popravek.
Ni pa potrebe delati škode na obstoječih programih in s tem zavirat razvoj.
Ni pa potrebe delati škode na obstoječih programih in s tem zavirat razvoj.
"Lotereya - naibolee točnyj sposob učeta količestva optimistov"
64202 ::
Vlady: Mafija, ki vdira v sisteme firm za precejsnje $$$, a mislis da njih kej briga? Bi raje, da oni prej najdejo vse luknje? Ja se strinjam, ce bi clovestvo delalo v eni "skupni" smeri, bi bilo vse lepse in bi pil pepsikolo na luni od saturna. Heh :).
Zgodovina sprememb…
- spremenilo: 64202 ()
Imagination ::
Pomoje v open source svetu isti človek, ki najde luknjo, naredi tudi patch zanjo (nič ni hudega, če dela popravek 1 teden, ker ve samo on zanj).
Si že predstavljam nekoga, ki v zatemnjeni sobi išče buge, ko jih odkrije, ne pove nikomur, niti prijateljem. Potem naredi popravek in ga distriburira. To je nekako tako, kot če bi bila velika luknja na cesti in bi nekdo nabasal na to luknjo z avtom. Potem bi izstopil iz svojega razbitega avtobomila, vzel lopato v roke in zapolnil luknjo.
Problem 1: Zakaj bi krpal luknjo, če sam že veš da je tam!
Problem 2: Kaj če nimaš lopate?
---
Če nekaj stvari, ki bi lahko šle narobe, ni šlo narobe, potem bi bilo zanje veliko bolje, če bi šle narobe!
moj_nick ::
-Če iščeš luknjo, obvladaš kakšen programski jezik
-Če iščeš luknjo, želiš prispevati k varnosti programa
-Če iščeš luknjo, želiš prispevati k varnosti programa
110111001001010001010000
Imagination ::
- bull ...
- get a job pa doniraj za ruando, darfur pa indonezijo
- get a job pa doniraj za ruando, darfur pa indonezijo
---
Če nekaj stvari, ki bi lahko šle narobe, ni šlo narobe, potem bi bilo zanje veliko bolje, če bi šle narobe!
moj_nick ::
-Obstaja še kak drug način?
-Hja, tukaj pač nisem omenil tistih, ki želijo izkoristiti luknjo.
-Hja, tukaj pač nisem omenil tistih, ki želijo izkoristiti luknjo.
110111001001010001010000
Exilian ::
-Če iščeš luknjo, obvladaš kakšen programski jezik
-Če iščeš luknjo, želiš prispevati k varnosti programa
- Ni nujno
- omeni še take ki mislijo luknjo izkoristit...
-Če iščeš luknjo, želiš prispevati k varnosti programa
- Ni nujno
- omeni še take ki mislijo luknjo izkoristit...
It's not the opensource i hate.
It's the fanclub I cannot stand.
It's the fanclub I cannot stand.
Zgodovina sprememb…
- spremenilo: Exilian ()
AndrejS ::
Locally exploitable flaws have been found in the Linux binary format
loaders' uselib() functions that allow local users to gain root
privileges.
To pa ni kr neki mali bug ... ampak resen problem.
Pa so me na slo-tech prepričevali oh in sploh linux in varnost, kaj šele o FF
loaders' uselib() functions that allow local users to gain root
privileges.
To pa ni kr neki mali bug ... ampak resen problem.
Pa so me na slo-tech prepričevali oh in sploh linux in varnost, kaj šele o FF
Exilian ::
admin geslo v win. se določ pri inštalaciji.. tako kot pri vseh ostalih OS-jih... lol
http://news.netcraft.com/
najbolj stabilen server 2/2 2004 je laufal na Win. Server 2003. W00t!!
http://news.netcraft.com/
najbolj stabilen server 2/2 2004 je laufal na Win. Server 2003. W00t!!
It's not the opensource i hate.
It's the fanclub I cannot stand.
It's the fanclub I cannot stand.
Zgodovina sprememb…
- spremenilo: Exilian ()
hruske ::
Exilian, definiraj stabilnost.
Mater minmax.
Eskaliranje privilegijev.
Mater minmax.
Eskaliranje privilegijev.
Kalkulator nove omrežnine 2024 - https://omreznina.karlas.si/Kalkulator
lukaz ::
kaj pa je zate stabiln? meritve so na 15 min. v 15ih minutah pa men lohk crashne kišta in jo reštartam. tole je tut zelo odvisn od linije (ddos je lohk zafilu linijo, da se ni mogu konektat). zame je stabilnost kolk cajta lahko kišta zdrži brez restarta. uptima teh kišt pa tuk na žalosti ni (btw: kerkol od teh strani lahko lavfa na clusterju, tako kot google...). torej je ta meritev bl bullshit kt ne.
MrStein ::
Drug pogled na iste podatke pa pravi : Med 12 najbolj stabilnih sajtov so :
- 4 linuxi
- 3 FreeBSD
- 3 Win 2003
- 1 Win 2000
- 1 unknown
Kot pravijo : laži, velike laži in statistike
- 4 linuxi
- 3 FreeBSD
- 3 Win 2003
- 1 Win 2000
- 1 unknown
Kot pravijo : laži, velike laži in statistike
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
darkolord ::
Tisti ki serjete glede teh statistik, poglejte NASLOV tabelce...
Zgodovina sprememb…
- spremenilo: darkolord ()
R|pper ::
jao ....sploh ni fora ce je bug za linux ali windows...finta je samo kdo ga odkrije in kaj nato stori....ce mu je namen vdirat v sisteme...nebo sporocil nobenmu in lahko mirne duse vdira v katerikol sistem dokler skupnost ne opazi buga in izda patch.....zdaj pa malo premislite kake bedarije pisete. Slava slava, kaj pa imas od taksne slave?:)
64202 ::
darkolord: Ranking by Failed Requests and Connection Time, sortirano po manjse je boljse za failed-req. Kaj te moti?
Sicer pa OS tukaj nima nobene veze po moje, vazna je pipa na net.
Sicer pa OS tukaj nima nobene veze po moje, vazna je pipa na net.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Še ena ranljivost v Linux jedruOddelek: Novice / Varnost | 4410 (3351) | fiction |
» | Nova zloraba v Linux jedru 2.6.31 omogoča dvig privilegijev uporabnikaOddelek: Novice / Varnost | 4507 (2963) | denial |
» | Omrežje in "vdor"Oddelek: Omrežja in internet | 1244 (1108) | Veron |
» | Linux jedro z resno varnostno luknjoOddelek: Novice / Varnost | 5897 (2723) | 'FireSTORM' |
» | Program za delo na daljavo - malce drugačen ?Oddelek: Omrežja in internet | 1470 (1237) | Cokolesnik |