» »

Nova resna ranljivost v Linux sistemih

Slo-Tech - Joanna Rutkowska je pred kratkim na svojem blogu izpostavila resno varnostno ranljivost v Linux sistemih, ki omogoča, da katerakoli grafična aplikacija preko strežnika X pridobi administratorske (tim. root) privilegije na celotnem sistemu. In to tudi v primeru uporabe SELinux zaščitnega mehanizma (tim. sandbox -X). Tako je npr. mogoče vdreti v Linux računalnik tako, da uporabnik naloži okužen PDF, ki nato preko prikazovalnika PDF dokumentov pridobi administratorske privilegije na sistemu. Gre za napako v Linux jedru 2.6, problem pa je v tem, da pravzaprav ne gre za izkoriščanje nikakršne konkretne napake.

Linux razvijalci so o ranljivosti že obveščeni, od začetka avgusta je na voljo tudi popravek, vendar je Brad Spencer mnenja, da popravek ni ustrezen in da bo na pravo rešitev težav treba še počakati. Podrobnosti ranljivosti so opisane v članku Exploiting large memory management vulnerabilities in Xorg server running on Linux. Mimogrede, več o separaciji si je mogoče prebrati v specifikacijah tim. varnega operacijskega sistema Qubes OS, ki ga razvija Rutkowska s sodelavci.

Naj še omenimo, da je v avgustu v ZDA v okviru konference LinuxCon potekal tudi Linux Security Summit 2010. Številni Linux razvijalci so se strinjali, da Linux ni (dovolj) varen sistem in da bo potrebno postoriti še marsikaj. Problem je tudi v tem, da je varnostnih mehanizmov v Linuxu veliko, hkrati pa so premalo enostavni za množično uporabo. Ali kot je rekel James Morris iz Red Hata - trenutno stanje je podobno kot če bi nekdo stopil v tovarno sladoledov, kjer bi mu ponudili množico sestavin iz katerih si lahko sestavi sladoled po svojem okusu; veliko enostavneje pa bi bilo, če bi uporabnik imel na voljo le nekaj vnaprej pripravljenih receptur ali pa da si v trgovini izbere enega izmed omejene množice sladoledov.

Na spletni strani Jamesa Morrisa je iz srečanja na voljo tudi nekaj nadvse zanimivih prezentacij.

10 komentarjev

hojnikb ::

Še dobro da ne laufam Xorg na mojem serverčku 8-)
Persona non grata -- Gorgeous looking person :)
BigBox: Asus P8Z77-V, 3570K, 8GB Ram, Intel 180GB & Sammy 750GB, HD7950, W7
MiniBox: Wintel W8, Z3735F@1.83Ghz, 2GB DDR3L, 32GB eMMC, Intel HD, W8.1

denial ::

Novica o tem bugu je bila že objavljena: KLIK. Kakorkoli, raje dvakrat kot nobenkrat. Sploh zato, ker sta obe novici kvalitetno napisani.
SELECT finger FROM hand WHERE id=3;

Jst ::

Distribucije linuxa (ne linux jedro samo) se mi vedno manj dopadejo. Pa ne zaradi varnostnih pomanjkljivosti - teh je v vseh operacijskih sistemih dovolj.

Najlepše je opisano tako:

Ali kot je rekel James Morris iz Red Hata - trenutno stanje je podobno kot če bi nekdo stopil v tovarno sladoledov, kjer bi mu ponudili množico sestavin iz katerih si lahko sestavi sladoled po svojem okusu; veliko enostavneje pa bi bilo, če bi uporabnik imel na voljo le nekaj vnaprej pripravljenih receptur ali pa da si v trgovini izbere enega izmed omejene množice sladoledov.


To velja za Packet Managerje; potem za razne Licence, kjer je stanje še hujše; nenazadnje pa tudi korporacije, ki stojijo za distribucijami, se ne morejo zmeniti prav nič - zadnji primer OpenOffice.
Proton decay is a tax on existence.

WhiteAngel ::

@Jst: Si lahko bolj konkreten?

Matthai ::

denial: aha, tisto sem pa spregledal... sem bil na morju, oz. pod morjem :)

Sicer pa tnx za infote, ki si jih objavil v oddelku Informacijska varnost.
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

pviran3 ::

Odkrivanje napak je znak, da linux uporablja čedalje več ljudi :)

Matrin ::

Ja pač linux tudi dovzeten za zlobno kodo. Sicer možna niša za viruse, ki pa bi se imeli verjetno precej težavo širiti preko tako majhne in dodatno še tako fragmentirane populacije. Ko pa bo linux postal preveč popularen se bom pa očitno zopet selil. Haiku je kar všečen.

System ::

Hmm...mogoče, zato ker Linux uporablja čedalje več ljudi + hmmm... Izvorne kode od Windowsov nemoremo videti.

PJani ::

huh vse serverje laufam headless. :D
C/C++

dr.J ::

Ni ravno neposredno povezano, pa vseeno: nekaj o varni konfiguraciji različnih sistemov,tudi linuxa:
http://www.nsa.gov/ia/guidance/security...


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Nova resna ranljivost v Linux sistemih

Oddelek: Novice / Varnost
102240 (1305) dr.J
»

Nova (stara) ranljivost v Linux in OpenBSD

Oddelek: Novice / Varnost
222663 (1195) LightBit
»

Še ena ranljivost v Linux jedru

Oddelek: Novice / Varnost
282498 (1439) fiction
»

Resna ranljivost v Linuxu: Cheddar Bay

Oddelek: Novice / Varnost
303354 (1982) riba1122

Več podobnih tem