Systemy operacyjne

Niebezpieczny Linux? Luka w usłudze udev.

przeczytasz w 1 min.

Jak donosi serwis heise-online, coraz więcej dystrybutorów systemu spod znaku pingwina zgłasza zagrożenia związane z możliwością objęcia kontroli nad systeme Linux za pomocą usługi udev. Czyżby mit Linuxa, jako systemu wolnego od zagrożeń z sieci, miałby upaść?

Problem dotyczy usługiudev, która nie jest nawet składnikiem samego jądra systemu, lecz jest domyślnie włączona w większości wersji 2.6. Linux za pomocą udev tworzy dynamiczne pliki i foldery wejścia i wyjścia (/dev/).Za pomocą spreparowanych komunikatów sieci Netlink osoba z sieci ma możliwość utworzenia własnego pliku, a dalej uzyskania uprawnień roota, czyli administratora po odpowiedniej modyfikacji stworzonego pliku. 

W usludze udev został wykryty jeszcze jeden błąd - błąd przekroczenia zakresu liczb całkowitych w funkcji służącej do dekodowania ścieżek. W sprzyjających okolicznościach może to doprowadzić do błędu przepełnienia stery i haker zalogowany do systemu także może przypisać sobie prawa administratora. 

Na szczęście dystrybutorzy systemu błyskawicznie odpowiedzieli na wykryty błąd i już opublikowali odpowiednie łatki.

Źródło: heise-online.pl

Komentarze

11
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    Baleryon
    0
    Ekhem... "Błędu przepełnienia STERTY".
    • avatar
      deel77
      0
      Linux i tak będzie bezpieczny, bo nikt raczej nie napisze wirusa na system który na tylko 1 procent udziałów na rynku systemów operacyjnych. Dodatkowo użytkownicy Linuksa to w większości świadomi zagrożeń ludzie, którzy potrafią z tym niełatwym w obsłudze systemie pracować.
      • avatar
        flash44
        0
        Przydało by się więcej kontroli ze strony redakcji nad tak podłej jakości aktualnościami :/

        Takie nagromadzenie literówek, błędów odmiany nazwy własnej (w mianowniku zawsze jest to Linux, vide http://rjp.pan.pl/index.php?option=com_content&task=view&id=273&Itemid=68) i nie tylko, brak rozróżnienia pomiędzy jądrem systemu a samym systemem operacyjnym - jest dla mnie przerażające :|
        • avatar
          katoda
          0
          "Czyżby mit Linuksa jako systemu wolnego od zagrożeń z sieci miałby upaść?" - z tego zdania uśmiałem się jak norka :)
          Jaki mit, jaki system wolny od zagrożeń?
          Jak będziesz pisał w takim tonie o każdym zgłoszeniu związanym z błędami odkrytym w wolnym oprogramowaniu to spodziewaj się więcej takich komentarzy jak flasha44.
          Zajrzyj np. na Secunia.com, dzisiaj zgłoszono lekko licząc 20 problemów związanych z bezpieczeństwem, a dotyczących oprogramowania działającego pod Linuksem. Proszę bardzo, masz gotowy materiał na 20 newsów, nie musisz umieszczać mojego copyright.
          Zresztą, sam piszesz że udev nie jest składnikiem jądra, więc można mówić o problemie oprogramowania działającego pod kontrolą Linuksa a nie problemie systemu operacyjnego. Czy po wykryciu dziury w sterownikach nVidii pojawi się notka o problemach z bezpieczeństwem Windows czy o problemach sterownika właśnie?
          Mniej lania wody i szukania na siłę sensacji w stylu Faktu lub Chipa każdemu wyjdzie na zdrowie :)
          • avatar
            katoda
            0
            I jeszcze jedno, sama Secunia określiła ten problem jako "less critical" i nie pozwalający zwiększyć uprawnień bez fizycznego dostępu do systemu, więc ten news to naprawdę takie typowe bicie piany. Jak już chcesz pisać o bezpieczeństwie, to lepiej walnąć newsa o np. problemie w KPDF http://secunia.com/advisories/34754/ - jest wszystko czego dusza zapragnie, "highly critical", "from remote", "system access" "DoS", brać, wybierać i pisać :)
            • avatar
              Kenjiro
              0
              Nie każdy, tylko użytkownik systemu. Czyli najpierw musi mieć konto, później dostęp do katalogu /dev/, a następnie możliwość uruchomienia programu z odpowiednimi prawami. A w tym wszystkim przeszkadza przyzwoita konfiguracja swojego komputera, a dodatkowo np. selinux czy grsec (domyślnie włączony w wielu dystrybucjach).
              • avatar
                Konto usunięte
                0
                literówka z stertą nadal nie poprawiona