Alvorlig sikkerhetshull rammer Linux

[Langbein]

Sånn jeg forstår det, kan hullet ikke utnyttes over internett? Hvis jeg stenger ssh tilgang i iptables tetter ikke det hullet?

Vet ikke om det har så mye hensikt å sperre sshd i iptables akkurat, hvis du uansett ikke skal bruke ssh kan du jo like gjerne fjerne det. Eller hvis du ønsker å bruke det selv men ikke gi andre brukere shell-tilgang kan du bare gi dem et ugyldig shell i /etc/passwd. Man kan også spesifisere i sshd_config hvilke brukere som for lov til å logge på (vha AllowUsers/DenyUsers). Jeg har selv brukt dette mye siden jeg ofte har brukt unix-kontoer til ftp og slikt, men ikke ønsker at alle disse folka nødvendigvis skal ha shell på min maskin.

[RolfOve]

Kanon da jeg er den eneste som trenger ssh aksess, men skjønner ikke helt hvordan dette hullet faktisk kan utnyttes.

[rvenes]

Kneggert... HAHA     

 

Så linux er ikkje så sikkert så dei vil ha det til?

 

Også oppdaga i september? Hallo? det er jo 2 månder sida.

Tulling. Hullet er fikset for 2 måneder siden

Mulig det, men det er ikkje så mange hardcore 1337 geeks dere ute som fixer linux updates heller. Mange bedrifter som KJØPER ferdiginstallerte linux servere... og trur du dei blir passa på? neppe...

[Langbein]

Kneggert... HAHA     

 

Så linux er ikkje så sikkert så dei vil ha det til?

 

Også oppdaga i september? Hallo? det er jo 2 månder sida.

Tulling. Hullet er fikset for 2 måneder siden

Mulig det, men det er ikkje så mange hardcore 1337 geeks dere ute som fixer linux updates heller. Mange bedrifter som KJØPER ferdiginstallerte linux servere... og trur du dei blir passa på? neppe...

Mange og mange. Tror nok andelen windows-brukere som kjøper sånne shrink-wrap løsninger er betydelig høyere.

 

Kompetansen hos den jevne linux-bruker er langt høyere, og sett at man da ikke er så veldig inn i å kompilere programmer selv direkte fra CVS eller følger med på bugtraq, så trenger man faktisk ikke det heller.

 

Ta et eksempel:

 

I Redhat og Fedora Core har man attpåtil et lite ikon nede i høyre side av skjermen som varsler deg når det har kommet updates til distroen. Man klikker ganske enkelt på dette og kommer inn i up2date hvor patcher lastes ned og installeres i en enkelt operasjon. (yum er egentlig en bedre løsning i fedora enn up2date, men dette var jo bare ment som et eksempel)

 

Er dette vanskeligere enn f.eks Windows Update? Nei! Og attpåtil slipper man å måtte restarte maskinen etterå (med mindre man har lagt inn en ny kernel eller noe slikt da)

[hobgoblin]

en annen ting å huske på er at her snakker vi om maskin er som står og går 24/7 for å ta imot patcher og oppdateringer til debian. du kan ikke bare røske dem ned for oppdatering i hytt og pine med mindre det er krise (noe dette ble).

 

først klarte den som tok seg inn å skaffe seg passord og brukernavn til å konto på servern, så logget han seg inn og fant ut hva kjerne som var i bruk, så ble hullet utnyttet. om personen ikke hadde fått tak i passordet hadde dette vært en ikke hendelse. så bruk ssh og lignende folkens. gleder meg til når kryptert epost blir standard måte å sende post på heller den noe for geeks (altså må det komme ferdig installert når brukern starter epostklieten og public key må legges ved alle eposter du sender ut slik at folk får den)...