Alvorlig sikkerhetshull rammer Linux

[int20h]

Alvorlig sikkerhetshull rammer Linux

Et sikkerhetshull som oppfattes som meget seriøst har blitt funnet i de fleste versjoner av Linux-kjernen. Hullet kan tillate en angriper å heve sine privilegier til root.

 

Les artikkelen her

[ftpman]

Om dere bruker en uke før dere får med dere nye kernel hull som blir publisert så er det ikke så rart at noen hacket boksene deres for en stund siden.

 

Følte bare for å nevne det siden stort sett alt av slike ting dere poster noe om er rundt en uke gammelt.

 

--

rf

[tyldum]

Dersom HW.no skal ha en faglig vinkling og ikke 'tanloid'-vinkling bør vesentlige detaljer om hullene (være seg i Linux, Windows eller annet) er remote eller ikke nevnes. For den gemene hop betyr ikke lokale hull noe særlig.

Det er snakk om å eskalere sine egne privilegier, og de fleste har allerede administratorrettigheter på egen maskin. Hullet kan ikke utnyttes via nett, man må ha tilgang fra før.

[Black Star]

Hullet kan ikke utnyttes via nett, man må ha tilgang fra før.

Det står det vel heller ikke noe om? Og man kan vel skaffe seg tilgang via andre sikkerhetshull, for så å benytte dette. Hackere klarer det mest utrolige.

[BennyXNO]

Ikke la Linux bli en religion. Det er bare et godt operativ-system som ikke er mer sikkert enn slutt-brukeren tillater det å være. Ikke alle bruker hele dagen på å finne sikkerhetspatcher.

 

Jeg synes artikkelen er helt grei den. Og bedre sent enn aldri burde gjelde her oxo.

 

Og den som tror at interne sikkerhetshull er ufarlige siden angriper må sitte på maskinen, tar skammelig feil.

 

B)

[knatten]

Om dere bruker en uke før dere får med dere nye kernel hull som blir publisert så er det ikke så rart at noen hacket boksene deres for en stund siden.

Readksjonen og driftsavdelingen er to separate enheter. Vi i drift leser bugtraq osv., og får med oss slike ting så fort de kommer for dagen. Vi ser det ikke som vår oppgave å informere redaksjonen om alt vi leser der. Som du sikkert skjønner har redaksjonen og drift forskjellige prioriteringer og fokusområder.

[tyldum]

@Afseth:

Det står ikke, men jeg *vet* at det ikke kan utnyttes remote og det er derfor jeg påpeker det. Om hullene er remote eller ikke er alfa omega når man snakker om sikkerhetshull. Dette åpner for å skaffe seg rettigheter når man først er inne, men det åpner ikke for ormer og lignende.

Selvfølgelig er ikke dette helt uten problemer da det kan være den siste lille brikken som gir noen root-tilgang, men det er ikke på langt nær så dramatisk som det fremstilles.

 

Du kan prøve å holde en lokal bruker unna administratorkontoen på en Windows-maskin. Det er langt enklere, selv uten 'sikkerhetshull'.

Endret 9. mars 2004 av tyldum

[iDude]

@Afseth:

Det står ikke, men jeg *vet* at det ikke kan utnyttes remote og det er derfor jeg påpeker det. Om hullene er remote eller ikke er alfa omega når man snakker om sikkerhetshull. Dette åpner for å skaffe seg rettigheter når man først er inne, men det åpner ikke for ormer og lignende.

Det står vel for så vidt i artikkelen; "local privilege escalation". Hullet er ikke av de mest alvorlige da, som sagt, det krever at man har en konto på maskinen som har hullet. Om noen greier å bruke andre svakheter til å skaffe seg en konto på maskinen er det selvsagt mer alvorlig...

[DesertGlow]

Det er like moro hver gang en Linux-artikkel blir lagt ut, enten det er på HW.no eller andre steder. Én eller flere av følgende ting skjer:

 

1. Folk syter og hyler om at artikkelforfatter er inkompetent fordi Linux omtales som et OS. Alle som kan noe om data omtaler selfølgelig dette OS-et konsekvent som Linux/GNU

2. Ting er ikke SÅÅÅÅ ille som artikkelen fremstiller det, og Window er mye mindre sikkert!

3. "Er man så dum at man ikke patcher systemet sitt daglig så kan man ha det så godt!"

4. Klager over at det er gammelt nytt og påpeker at dette har vært kjent i LANG tid, i alle fall 3-4 dager før. Det betyr selvsagt at alle som har Linux har fått med seg dette, for det er jo et velkjent faktum at alle som bruker Linux er inne på bugtraq og slashdot minst et par ganger om dagen.

 

Minner meg om Intel vs AMD-diskusjoner mellom fjortisser. Noen tåler rett og slett ikke at faktiske svakheter ved noe de forguder blir påpekt.

[veggiss]

Det er like moro hver gang en Linux-artikkel blir lagt ut, enten det er på HW.no eller andre steder. Én eller flere av følgende ting skjer:

 

1. Folk syter og hyler om at artikkelforfatter er inkompetent fordi Linux omtales som et OS. Alle som kan noe om data omtaler selfølgelig dette OS-et konsekvent som Linux/GNU

2. Ting er ikke SÅÅÅÅ ille som artikkelen fremstiller det, og Window er mye mindre sikkert!

3. "Er man så dum at man ikke patcher systemet sitt daglig så kan man ha det så godt!"

4. Klager over at det er gammelt nytt og påpeker at dette har vært kjent i LANG tid, i alle fall 3-4 dager før. Det betyr selvsagt at alle som har Linux har fått med seg dette, for det er jo et velkjent faktum at alle som bruker Linux er inne på bugtrack og slashdot minst et par ganger om dagen.

 

Minner meg om Intel vs AMD-diskusjoner mellom fjortisser. Noen tåler rett og slett ikke at faktiske svakheter ved noe de forguder blir påpekt.

[Loomy]

Det er like moro hver gang en Linux-artikkel blir lagt ut, enten det er på HW.no eller andre steder. Én eller flere av følgende ting skjer:

 

1. Folk syter og hyler om at artikkelforfatter er inkompetent fordi Linux omtales som et OS. Alle som kan noe om data omtaler selfølgelig dette OS-et konsekvent som Linux/GNU

2. Ting er ikke SÅÅÅÅ ille som artikkelen fremstiller det, og Window er mye mindre sikkert!

3. "Er man så dum at man ikke patcher systemet sitt daglig så kan man ha det så godt!"

4. Klager over at det er gammelt nytt og påpeker at dette har vært kjent i LANG tid, i alle fall 3-4 dager før. Det betyr selvsagt at alle som har Linux har fått med seg dette, for det er jo et velkjent faktum at alle som bruker Linux er inne på bugtrack og slashdot minst et par ganger om dagen.

 

Minner meg om Intel vs AMD-diskusjoner mellom fjortisser. Noen tåler rett og slett ikke at faktiske svakheter ved noe de forguder blir påpekt.

Takk! My thoughts exactly

[iDude]

Det er like moro hver gang en Linux-artikkel blir lagt ut, enten det er på HW.no eller andre steder. Én eller flere av følgende ting skjer:

 

1. Folk syter og hyler om at artikkelforfatter er inkompetent fordi Linux omtales som et OS. Alle som kan noe om data omtaler selfølgelig dette OS-et konsekvent som Linux/GNU 

2. Ting er ikke SÅÅÅÅ ille som artikkelen fremstiller det, og Window er mye mindre sikkert!

3. "Er man så dum at man ikke patcher systemet sitt daglig så kan man ha det så godt!"

4. Klager over at det er gammelt nytt og påpeker at dette har vært kjent i LANG tid, i alle fall 3-4 dager før. Det betyr selvsagt at alle som har Linux har fått med seg dette, for det er jo et velkjent faktum at alle som bruker Linux er inne på bugtrack og slashdot minst et par ganger om dagen.

 

Minner meg om Intel vs AMD-diskusjoner mellom fjortisser. Noen tåler rett og slett ikke at faktiske svakheter ved noe de forguder blir påpekt.

Vel, innlegget ditt er jo ikke akkurat egnet til å heve debatten her da... Jeg synes reaksjonene stort sett har vært saklige her, og folk har påpekt visse ting som ikke kom klart frem i debatten. Noen sleivspark blir det alltid, men det skjer jo i alle tråder rundt alle emner. Innlegget ditt og stereotypene i det er stort sett bare egnet til å lokke flere troll ut av skapet.

 

Ang punktene dine så blir selvsagt lignende argument brukt når det gjelder å forsvare svakheter i Windows. Spesielt punkt 3.

[DesertGlow]

Vel, innlegget ditt er jo ikke akkurat egnet til å heve debatten her da... Jeg synes reaksjonene stort sett har vært saklige her, og folk har påpekt visse ting som ikke kom klart frem i debatten. Noen sleivspark blir det alltid, men det skjer jo i alle tråder rundt alle emner. Innlegget ditt og stereotypene i det er stort sett bare egnet til å lokke flere troll  ut av skapet.

 

Ang punktene dine så blir selvsagt lignende argument brukt når det gjelder å forsvare svakheter i Windows. Spesielt punkt 3.

Er i grunn ikke ute etter å heve diskusjonen, men å kaste inn en observasjon som jeg tror mange er enig i. Denne diskusjonen er ikke det mest graverende tilfellet av mitt poeng, men har definitivt en del av de kjente trekkene.

 

Ellers så kan jeg ikke huske å ha sett noen som har forsvart Windows-svakheter på samme måte som man gang på gang ser folk forsvare Linux når svakheter kommer fram.

[iDude]

Ellers så kan jeg ikke huske å ha sett noen som har forsvart Windows-svakheter på samme måte som man gang på gang ser folk forsvare Linux når svakheter kommer fram.

Om du går inn på kommentarsidene til ITavisen vil du se mye rart, både fra linux, windows og Mac-"entusiaster".

[DesertGlow]

Ellers så kan jeg ikke huske å ha sett noen som har forsvart Windows-svakheter på samme måte som man gang på gang ser folk forsvare Linux når svakheter kommer fram.

Om du går inn på kommentarsidene til ITavisen vil du se mye rart, både fra linux, windows og Mac-"entusiaster".

Mulig, leser ikke forumet på IT-avisen.

 

Gjør forøvrig ikke saken noe bedre å forsvare Windows med sitt liv heller. Folk bør prøve å holde seg litt objektive

[iDude]

Mulig, leser ikke forumet på IT-avisen.

Du går ikke glipp av noe (vel, det er litt humor)

Gjør forøvrig ikke saken noe bedre å forsvare Windows med sitt liv heller. Folk bør prøve å holde seg litt objektive 

Helt enig... Endret 9. mars 2004 av ibrotha

[Langbein]

Ellers så kan jeg ikke huske å ha sett noen som har forsvart Windows-svakheter på samme måte som man gang på gang ser folk forsvare Linux når svakheter kommer fram.

Søk litt på forumet også. En typisk respons fra Windows-folket er at hvis man er så dum å ikke gå inn på Windows Update i ett sett, fortjener man å bli angrepet.

 

En annen misforståelse som mange Windows-brukere har i forhold til Linux, er at man må sitte å lese Bugtraq hver dag og rekompilere software med sikkerhetsfeil. Dette er selvsagt noe man KAN gjøre, men hvis du ser bort ifra de mest ivrige Linuxbrukerne kjører folk stort sett distroer som har pakkesystemer og tildels supre oppdaterings-rutiner.

 

I Fedora som jeg bruker på hovedmaskinen min for tiden, er det bare å kjøre "yum update" for å oppdatere ALLE pakkene på systemet. I tillegg kan man slenge dette inn i crontab slik at det gjøres automatisk ved et gitt intervall. Da skal man være rimelig sikker

 

Forøvrig er det viktig å skille mellom local og remote exploits. I den siste tiden har det vært mange local exploits i linux kernelen, og Windows-folket har storkost seg. Det er jo greit at slikt poengteres, men ikke glem alle de alvorlige REMOTE exploits som har vært til Windows i senere tid (MSBlast?). Slik hull er selvfølgelig langt mer alvorlig, siden de kan utnyttes direkte fra internett, mens local exploits krever at en bruker allerede har konto på maskinen, eller evt. kan skaffe tilgang via remote exploits i andre programmer.

 

Det er derfor viktig at man nyanserer bildet litt. Når det står på forsiden av Hardware.no at et "meget alvorlig sikkerhetshull" er oppdatet i Linux, vil jo mange utenforstående tro at man nesten kan spasere rett inn i Linux-systemer. I praksis er dette først og fremst en trussel hvis man har gitt shell-tilgang (ssh/telnet) til de gale folkene. Og da sørger man for å ikke gjøre sånne dumheter For å si det sånn, serveren min står fortsatt og durer - jeg beiner ikke akkurat hjem for å trekke ut nettverkskabelen når jeg hører slikt. Serverne jeg kjører på den (bla. PureFTPd) er såpass sikre at slike kernel-exploits ikke gir grunn til bekymring.

 

Når det derimot oppdages Windows-hull i DCOM, Messenger eller andre tjenester som av en totalt uforståelig grunn er skrudd på som default med remote tilgang, er dette hundre-tusener-millioner ganger mer alvorlig.

Endret 9. mars 2004 av Langbein

[kjetil7]

Skal ikke kaste meg inne i denne diskusjonen, men har bare lyst til å påpeke en liten faktafeil i Langbeins innlegg:

 

Påstandene om tjenester som er skrudd på som standardinnstilling i Windows er ikke helt korrekte. Det er et viktig skille mellom desktop og serversystemer. Windows Server 2003 har f.eks. ikke de tjenestene du nevner skrudd på som standard.

[Gjest Slettet+98123897187934]

Påstandene om tjenester som er skrudd på som standardinnstilling i Windows er ikke helt korrekte. Det er et viktig skille mellom desktop og serversystemer. Windows Server 2003 har f.eks. ikke de tjenestene du nevner skrudd på som standard.

Et poeng i nettverksikkerhet er å plassere enheter med svak sikkerhet på lave sikkerhetsmessige nivåer i nettverket. Problemet er at slike policyer ikke altid blir brukt, og at Windowsmaskiner som utgjør en sikkerhetsrisiko tilgjengeliggjør mer sikre maskiner. Datasikkerhet er summen av alle variable, og dette inkluderer også brukere, men åpne upatcha tjenester er definitivt en dårlig ting...

Så samme hvor beskyttet en win 2003-server er, så kan klientmaskinenes svakheter knekke den.

Samme poeng gjelder forresten alle andre OS...

[Langbein]

Skal ikke kaste meg inne i denne diskusjonen, men har bare lyst til å påpeke en liten faktafeil i Langbeins innlegg:

 

Påstandene om tjenester som er skrudd på som standardinnstilling i Windows er ikke helt korrekte. Det er et viktig skille mellom desktop og serversystemer. Windows Server 2003 har f.eks. ikke de tjenestene du nevner skrudd på som standard.

Du har rett i at akkurat Windows Server 2003 har enkelte utsatte tjenester skrudd av som default. Jeg burde kanskje nevnt det i en parentes Men denne versjonen er fortsatt ganske fersk, og feilene jeg nevnte er fra i fjor, så majoriteten av systemene kjører gamle OS som upatchet har disse svakhetene.

 

Feilene gjaldt alle andre NT-baserte Windows-versjoner, inkl server-versjoner, så jeg så derfor ikke noe poeng i å skille mellom desktop og server-versjoner.