Sårbarhet avdekket i Linux-kjernen

[cmyrland]

 

Alltid like moro å observere alle anti-linux-folka begynne å trolle som besatte så snart de har noe å gripe fatt i. Samme om det er verdens tynneste halmstrå.

 

Feilen ble fikset allerede før saken her ble trykket, så dette er egentlig et ikke-tema.

[Bolson]

Morro å se alle Linux-nerdene vri seg for å bortforklare dette.

 

Vi har faktisk ikke behov for å bortforklare oss. Uansett OS, program etc finnes det sannsynnligvis feil av sikkerhetsmessig betydning som ikke er oppdaget. Enkelte av de kan faktisk ha vært der i årevis. Var faktisk selv med under ny vurdering av kode med på å finne et sikkerhetshull i en applikasjon hvor kodelinjene med feil var skrevet i 1999. Ingen kan heller garantere at f.eks. Windows Various Components ATL Vulnerabilities ikke har vært der siden 2000.

 

Men tar du deg faktisk tid til å lese "security-info" knyttet til de ulike OS vil du få et klart annet bilde enn du prøver å gi.

 

Ellers er ikke et sikkerhetshull et sikkerhetshull. Man må både vurdere på hvilken måte det kan utnyttes, f.eks om det kan utnyttes utenfra (remote), alvorlighetgrad og hvor fort hullene blir patchet. F.eks dette Linux-hullet er i realiteten bare mulig å utnytte i helt gitte sammenhenger, hvor verken normale desktopoppsett samt mange serveroppsett ikke er utsatt i det hele tatt. Og i tillegg i realiteten fikset før det var kjent.

 

Dette i motsetning til noen av de sist publiserte Windows-sårbarhetene, som uten tvil har hatt et langt større utnyttelsespotensiale, og faktisk blitt utnyttet. Sårbarheter som Microsoft har vært kjent med i mer enn et år, og som trolig har vært der i en 8 - 9 år.

 

Edit:

Et lite apropos, svært mange av oss som betegnes som Linux-nerder er faktisk brukere av både Linux og Windows og har faktisk av den grunn bedre grunnlag enn den fleste til å vurdere sikkerhet.

Endret 17. august 2009 av Bolson

[Anders Jensen]

Vel vel.. ikke så veldig oppsiktsvekkende dette akkurat. All kode har som kjent feil. Snittet ligger vel på en bug per 5000 linjer kode om jeg ikke tar helt feil. Og Linux har vel noen millioner linjer kode.

 

Må si jeg selv har begynt å få mer sansen for BSD gjengen. De har mer orden i utviklingen, tenker mer helhetlig og har mye større fokus på ryddig og vedlikeholdbar kode. Ulempen er selvfølgelig at mange features kommer litt senere til BSD, særlig på desktop siden. På serversiden er det litt hipp som happ om det er BSD eller Linux som ligger lengst fremme så det lønner seg å mikse. Ta f.eks PFsense (FreeBSD basert) brannmur pluss Untangle (Debian basert) til høynivå pakkefiltrering. Bedre kombinasjon er vanskelig å finne.

[Deadringer]

Jeg håper folk klarer å spare seg for å gjøre dette til en windows vs linux tråd, men jeg må tilstå at det er ganske komisk å se linux-folkene anklage windows-folkene for å trolle når windows-folkene kun poster tilsvarende innlegg som linux-folkene alltid poster i 99% av trådene som omhandler windows.

[Bolson]

For Windows-brukere er jo denne svært interessant.

 

Microsoft kjente til sikkerhetshull i to år.

 

Dette er faktisk noe av det som gjør meg mest skeptisk til sikkerheten i Microsoft sine programmer, nemlig at "hull" som er oppdaget for år siden ikke er fikset og ikke er kjent. Klart slikt er teoretisk mulig i Linux/Open Source også, men måten miljøet er organisert på gjør det særdeles vanskelig å skjule kjente hull fra omgivelsene ut over den aksepterte tida for feilfiksing.

 

Ellers så har Anders et meget godt poeng, noe som beskriver sannheten uansett program. Og hw.no hadde ikke hatt noe problem med å skrive en artikkel i uka om en sårbarhet i Linux-kernel. Vi som overvåker våre Linux-installasjoner, ser stadig vekk at noe blir patchet.

Endret 17. august 2009 av Bolson

[DarkSlayer]

Open source er ikke en garanti for at bugs går uoppdaget forbi. Denne saken er jo et bevis på det. 8år er litt lang tid. FF er open source, men i 2009 har de patchet ørten feil oppdaget av eksperter (som ikke har problem med å finne feil i lukket source ala IE).

Verden er ikke svart hvit, kpolberg mente nok neppe at alle feil ble oppdaget, men at flere blir oppdaget før de blir utnyttet. Dagens feil er et godt eksempel, det ble såvidt jeg kan se aldri utnyttet. Det handler ikke om at noe er absolutt sikkert, det handler om at den åpne modellen bidrar til sikrere kode. Det åpner en litt mer interessant diskusjon enn å kverulere over spissformuleringer.

Jeg har ikke sett at open source i seg selv fører til mindre bugs, eller mer sikkerhet. Dette er en illusjon som har oppstått fordi windows + ie en periode var full i hull, samtidig som linux + ff fremsto som problemfrie. Derfor mente man at open source var det beste siden noen oppfant brød med smør på.

 

Open source gir tilgang til å lese kode, og tilgang til å endre den, for hvem som helst helt lovlig. Noen mener at "flere øyner" finner og løser flere feil. Jeg tror ikke MS har problemer med antall øyner.

 

Bugs har en tendens til å bli oppdaget ved at noen tilfeldigvis oppdager at noe ikke funker som det skal. Det er lite aktiv bug-hunting ute å går. Innen sikkerhet så er dette enda tydligere. For her handler det om å finne en bug, så utnytte den til å bryte sikkerhet. Man må være aktiv med å finne feil, og aktiv med å forsøke å utnytte feilen.

Dette krever mye tid + meget høy kunnskap. Tid har man ikke, og folk med meget høy kunnskap forsvinner til godt betalte jobber i ymse firmaer.

 

Utviklere er i 97% av tilfellene hjernedøde. Derfor så forsøker man å konstruere løsninger som beskytter utviklere mot seg selv. Linux har gjort dette lenger. MS begynte egentlig ikke seriøst før WinXP sp2 - for da måtte de innse at utviklere var dumme og MS måtte begynne å lage ting som beskyttet idioter mot dem selv.

 

Altså: Linux og Nyere windows har en utviklingsmodell med fokus på sikkerhet, og de utvikler løsninger som tillater at brukere og utviklere kan være idioter. Open VS Closed source har lite med saken å gjøre. Windows ville ikke vært bedre med open source lisens.

 

Linux har sin fordel i totalt anarki der de har liten utbredelse, og at distroene er såpass forskjellige at å utnytte en feil kan i realiteten ikke omhandle så mange maskiner. Mens i windows så har man altid millioner med samme config og hull. Derfor blir ikke linux utnyttet i samme grad.

 

Ærlig talt: ingen laster ned koden til et program, henter seg en kopp kaffe og begynner "hmm la oss se hvilke feil vi kan finne mens jeg venter på nyhetene, kjerringa og maten". Etter 8t på jobb vel å merke. Med mindre du mener at sosialklienter er en betydelig ressurs...

Majoriteten av kjerneutviklingen gjøres av betalte programmerere, du må revurdere din oppfatning kraftig, verden har endret seg siden nittitallet.

Og de blir betalt for å finne bugs og sikkerhetshull? Neppe noe stort mer en MS. Argumentet var jo at med open source så ville folk fra fjern og nær finne feil og løse dem. Det skjer jo ikke...

 

Det open source gir fordeler på er at man ikke er avhengig av et firma for å fikse problemet, men at det kan løses av eksterne. Om det alltid er positivt vet jeg nå ikke, for verden er ikke så svart/hvit som man skulle ønske altid.

Hvem som helst kan oppdage feil, og hvem som helst kan rette de. Det er mange som ser det som en klar fordel. Hva mener du med at verden ikke er svart/hvit? Beklager men det er tidvis vanskelig for meg å få tak i hva du egentlig mener.

I open source verdenen kan man drite i brukere. Derfor kan man fikse et problem selv om det betyr at andre sine komponenter plutselig må fikses i tillegg. Når MS bruker lang tid på å få ut en patch, så vil man ofte finne ut at de prøver å løse problemet UTEN at 3dje part må fikse hos seg - fordi ikke alle kan eller vil fikse sine komponenter. Det er en kjent sak at bedrifter ofte ligger langt bak oppdatering av programvare FORDI de har inkompatibel programvare. Ergo så er ikke en fiks altid en god fiks.

[Beritaron]

Jeg håper folk klarer å spare seg for å gjøre dette til en windows vs linux tråd, men jeg må tilstå at det er ganske komisk å se linux-folkene anklage windows-folkene for å trolle når windows-folkene kun poster tilsvarende innlegg som linux-folkene alltid poster i 99% av trådene som omhandler windows.

På samme måte som mange Windows-brukere poster i artikler som omhandler Linux?

 

Snakker for meg selv nå, men de gangene jeg mener det er riktig å kritisere MS kritiserer jeg dem, når jeg synes MS gjør noe bra skriver jeg det. Prøver iallefall og holde meg på et seriøst nivå og går ikke inn for å trolle.

 

Synes du at om noe Linux-brukere kritiserer MS for alt og ingenting skal holde som en god unskyldning for at Windows-brukere skal gjøre det samme?

Endret 17. august 2009 av tamarin

[FenrisC0de]

Jeg synes ihvertfall (for å komme lit tilbake til topic) det er imponerende at sårbarheten ble fikset opp såpass rakst noe jeg mener viser en av styrkene til OpenSource. Det er naturligvis ulemper også som nevnt ovenfor men jeg mener fortsatt at dette er noe man feks ikke ville sett i Windows eller OSX.

[Smif]

Open VS Closed source har lite med saken å gjøre. Windows ville ikke vært bedre med open source lisens.

 

Linux har sin fordel i totalt anarki der de har liten utbredelse, og at distroene er såpass forskjellige at å utnytte en feil kan i realiteten ikke omhandle så mange maskiner. Mens i windows så har man altid millioner med samme config og hull. Derfor blir ikke linux utnyttet i samme grad.

På bærtur!

 

Og litt generelt om posten din, mye bastante påstander som tilsynelatende tas fra eget hode og oppfatning.

 

 

Og til off topic debatten om win/nix (nerders) krangling:

myte1: Hvis man bruker en linux distro er man linux-nerd.

myte2: Disse "linux-nerdene" hater alltid windows, og spesielt win-brukerne personlig.

myte3: Disse "linux-nerdene" mener at GNU/linux distroer alltid er overlegene på alle punkter.

myte4: Disse "linux-nerdene" har kun negative/hat diskusjoner om win, uten noe kunnskap.

myte5: Win-brukere er åpne for andres meninger og kommenterer aldri noe de ikke har peiling på.

 

Jeg kan holde på i all evighet.. (med mer eller mindre seriøse myter)

 

Men la oss si vi luker ut alle fanboys som er binde for andres meninger og løsninger, og alle som kun følger strømmen og egentlig ikke har satt seg inn i det tekniske mer enn det itavisen skriver. Da sitter vi igjen med en god diskusjon.

 

 

Til saken:

Saken er jo egentlig ikke at det er funnet et hull i kernel, men at den er fikset på rekordtid. Imponerende!

Vi har blitt så "bortskjemte" med windows-hull at det ikke blir nyheter lenger. Samtidig som denne lite kritiske linux-bugen ble kjent ble en enorm windows-bug kjent. Ingen som snakker om.

[TheMaister]

Det som er viktig er at hullene blir tettet så fort de blir oppdaget. Et hull som står ufikset over flere år er verre enn mange hull som blir tettet med en gang. Uansett så må utenforstående få muligheten til å kjøre kode på systemet før det kan infiseres på denne måten som det nevnes. F.eks via SSH eller liknende.

[raWrz]

En fiks som kan lastes ned her ble publisert få timer etter informasjonen om sikkerhetshullet.

Imponerende respons. Uansett veldig bra at feilen er fjernet nå.

 

Litt info om de to som avdekte hullet:

Tavis Ormandy er britisk, men jobber for tiden i Sveits for Google.

Julien Tinnes jobbet tidligere for Orange Labs, French Telecom, men jobber nå hos Google.

 

de er sikkert med og utvikler det google OSet (er en linux ting det og etter hva jeg har lest )

 

(PS: og ja... jeg er nesten helt blank når det gjelder linux )

[Deadringer]

På samme måte som mange Windows-brukere poster i artikler som omhandler Linux?

Det er en stor forskjell på å poste i en tråd og å begynne å poste linker til artikler om noe helt annet enn hva tråden handler om.

 

Snakker for meg selv nå, men de gangene jeg mener det er riktig å kritisere MS kritiserer jeg dem, når jeg synes MS gjør noe bra skriver jeg det. Prøver iallefall og holde meg på et seriøst nivå og går ikke inn for å trolle.

Det er bra, flere burde tenke slik. Det er okey å kritisere når kritt trengs, men alt for mange kritiserer MS kun fordi de ikke liker firmaet. Og det blir helt feil og skaper kun krangler og off topic.

 

Synes du at selv om noe Linux-brukere kritiserer MS for alt og ingenting skal holde som en god unskyldning for at Windows-brukere skal gjøre det samme?

Langt ifra. Linux brukere burde la være å komme med idiot kritikk og det burde Windowsbrukere også. Men det er ikke å skyve under en stol at det er langt flere Linuxbrukere som hopper inn i tråder som omhandler MS og kommer med tomme ord kun for å kritisere enn det er Windowsbrukere som gjør det samme. Og da synes jeg det er artig når dette skjer og Linuxbrukerne setter seg helt på bakbeina og oppfører seg som om Windowsbrukerne er totalt idioter selv om de samme Linuxfolkene nettopp har kommet med like idiotiske innslag i MStråder.

Det beste ville være om Linuxfolk holdt seg unna Windowsrelaterte artikler og tråder om de ikke har noe konstruktivt og si og det samme med Windowsfolk. Selv bruker jeg både Windows og Linux, selv om jeg foretrekker førstnevnte. Men at jeg foretrekker Windows er ingen akseptabel grunn for meg å hoppe inn i tråder som omhandler Linux og slenge dritt. Dette er noe flere på dette forumet burde innse snart. La folk like det de liker uten å prøve å få dem til å føle seg som idioter. Det er fryktelig barnslig.

 

myte5: Win-brukere er åpne for andres meninger og kommenterer aldri noe de ikke har peiling på.

Det er slike som deg som skaper krangel og kvalmende barnslig oppførsel. Så du liker Linux? Fint for deg! Linux OS er fine til det de brukes til og jeg håper du er fornøyd med distribusjonen du har. Men for all del, drit i å slenge dritt etter folk som bruker Windows kun fordi de bruker Windows. Det er barnehageoppførsel. At du så i etterkant begynner å snakke om fanboys er utrolig hyklerisk.

[Bolson]

@Submit:

Nei, de arbeider i Google Security Team. Husk at det meste av Google sine servere etc kjører på Linux, Android bygger på Linux

 

@yodayoda:

Dette er jo et godt eksempel på de bra sider av Linux og Linuxcommunitien. Sårbarheten er fikset før noen egentlig klarer å skrive om den.

Endret 17. august 2009 av Bolson

[Theo343]

Samme vissvass gnålet som altid i disse trådene. Stygt hull, eksistert alt for lenge og ferdig med det.

[TheMaister]

Kan ikke akkurat si at et sikkerhetshull som nå tilhører fortiden avgjør om Linux er dårlig eller ikke. Dette gjelder heller ikke Windows eller Mac OSX for den saks skyld. Å tro at noen som helst programvare omtrent ikke inneholder (store) bugs er veldig feil. Hvertfall når et prosjekt begynner å få flere millioner linjer med kode.

[Spetsnaz]

Det later til at mange glemmer at andre ting enn skrivebordsmaskiner har OS. Linux kjører til opplysning på mange embedded-plattformer, der åpenheten bidrar til at brukerne kan oppdatere selv.

 

Eksempelvis Asus trådløsroutere, Asus har lagt ut GPL kildekode, som de er pålagt å gjøre, og det har blitt bedre til etterhvert. Firmwaren som andre lager er faktisk mye bedre, (tomato, openWRT, Oleg) og mer oppdatert, derav også sikrere enn asus sine builds. Nå skal ikke dette bli en debatt om akkurat dette, med mindre noen er uenige i at poenget forblir det samme, men Asus har hverken evner eller ressurser/beviselig vilje til å støtte så bra opp produktene deres som andre har.

 

Etter egen forståelse foregår dette for det meste utenfor komersielle rammer. Dette bidrar til at asus sine versjoner blir bedre, og at linux som helhet blir bedre.

 

Så til saken:

 

Man kan diskutere Linux VS MS til man blir a lighter shade of pale, men i all hovedsak er det modellen som er annerledes, og organiseringen rundt denne. Når teori blir praksis er det alltids lett å finne eksempler på at feil oppstår. Man er for eksempel ikke imun mot sikkerhetshull hvis man kjører linux, all den tid man tror det vil jeg si man er naïv og uinformert om hvordan ting fungerer.

 

Å diskutere teori er enkelt, men når man knytter det opp mot rammene for hva som viser seg å tre i effekt blir det for simpelt å ha et dogmatisk forhold til den. Fokus på etablerte sannheter, som på mytisk vis har etablert seg i skyggen av det som stemmer er bra, men la det ikke bli ensidig.

 

Oppdatering:

 

internetnews.com/torvalds-bashes-vendorsec

Endret 17. august 2009 av Spetsnaz

[efikkan]

Dette er da et eksempel på at åpen kildekode fungerer. Det er nesten ingen andre som er like raske til å fikse feil. At en feil er uoppdaget i årevis er absolutt ikke nytt, og alle som programmerer vet at slikt skjer, men det er ikke et stort problem så lenge det ikke er oppdaget.

 

Det som har vist seg gang på gang er at godt organiserte prosjekter med åpen kildekode er de mest effektive til å oppdage feil i tillegg til å fikse feilene på rekordtid. Åpen kildekode er ingen garanti for at feil blir oppdaget, men det er langt større sannsynlighet for det. Og det har vi sett i praksis gang på gang, prosjekter som linux-kjernen får luket ut langt flere feil under testing. Men straks det er én feil i prosjekt som Linux, så blir det storoppslag i pressen, mens stadige feil i Windows (som ofte er mer alvorlige) blir så vidt nevnt. Det er på tide at folk innser at det er forskjell på alvorlige feil, vanlige feil og bagateller, samme hvilket produkt det er snakk om. Og det er bare å innse det faktum at Windows har til nå hatt vesentlig flere feil samt flere alvorlige feil enn GNU/Linux. Alle som kaller dette en bortforklaring eller kommer med andre useriøse kommentarer burde blitt utestengt på dagen, dette gjelder blant annet LoveAmiga, som ikke gjør annet enn å sabotere stort sett alle diskusjoner som omhandler GNU/Linux.

 

 

Jeg håper folk klarer å spare seg for å gjøre dette til en windows vs linux tråd, men jeg må tilstå at det er ganske komisk å se linux-folkene anklage windows-folkene for å trolle når windows-folkene kun poster tilsvarende innlegg som linux-folkene alltid poster i 99% av trådene som omhandler windows.

Hvorfor må så mange absolutt være fanatisk for Windows eller GNU/Linux?

 

I mange slike diskusjoner er det nødvendig å ta med sammenligning med konkurrerende produkter i tilsvarende sak og sammenligne, som er naturlig i en reflekterende diskusjon.

 

Kan ikke folk snart akseptere at begge alternativene har sine fordeler og ulemper, og at disse må kunne diskuteres uten at en gjeng med folk skal enten anklage meg og andre eller selv komme med fanatiske utsagn? (sikter ikke til deg Nyhus nå)

 

Jeg for min del bruker både Windows og GNU/Linux, begge deler stort sett daglig, og har de innlagt på flere PCer. Det meste jeg gjør fungerer bedre på GNU/Linux så derfor foretrekker jeg det, men det gjør ikke meg til en Linux-fanatiker. Jeg har aldri påstått at Linux er det ultimate valget, eller at det er perfekt.

[Deadringer]

Hvorfor må så mange absolutt være fanatisk for Windows eller GNU/Linux?

Aner ikke, det er tullete. Alle må innse at de forskjellige OSene er bedre enn hverandre på forskjellige punkter.

[Theo343]

Så får vi se hvor mange Linux servere og pcer som blir oppdatert i tide før man begynner å utnytte dette hullet. Er det ellers noen garanti for at disse som har publisert oppdagelsen er de første som vet om hullet og at man fikk vite om det at day zero?

Endret 17. august 2009 av Theo343

[Del]

Men det er ikke å skyve under en stol at det er langt flere Linuxbrukere som hopper inn i tråder som omhandler MS og kommer med tomme ord kun for å kritisere enn det er Windowsbrukere som gjør det samme.

Hm, leser vi de samme trådene? Bare i denne tråden er det et raskt økende antall trolle-poster fra ms-fanboys. Du har sikkert ikke noe imot å frembringe eksempler på din påstand fra de siste ukene på forumet?

Selv bruker jeg både Windows og Linux, selv om jeg foretrekker førstnevnte.

Jeg trodde du avsluttet sommerens linux-eksperiment for lengst, så det er meget hyggelig å høre at du ombestemte deg og fortsatt bruker linux.