Linuх устранял уязвимость 6 лет!

Как сообщило издание Network World, неделю назад разработчики операционной системы Linux устранили уязвимость, которая позволяла хакерам выполнять практически любой нужный им код с привилегиями суперпользователя в любом приложении, связанном с графическим интерфейсом.

​

В своей публикации журналистка этого солидного издания Джули Борт, сообщает о том, что первые сведения о данной уязвимости появились еще в 2004 году и даже в одном из дистрибутивов SUSE были исправлены.

Однако, по неизвестной причине, исправление так и не получило распространения в других ветвях этого свободно распространяемого программного обеспечения с открытым исходным кодом, и было забыто до тех пор, пока не было обнаружено повторно уже в этом году Рафалем Войтчуком (Rafal Wojtczuk), который занимается исследованиями в области информационной безопасности.

Стоит отметить, что даже повторное обнаружение уязвимости, потребовало от разработчиков более одного месяца работ, хотя обычно все обнаруженные уязвимости ядра Linux устранялись максимум в течении 30 дней.

Официальная публикация информации об исправлении уязвимости должна была произойти 1 августа, однако разработчикам ядра пришлось перенести сроки публикации лишь на 13-ое августа. Стоит заметить, по сообщению Джули Борт, что первоначально заявленное Линусом Товалдсом (Linux Torvalds) исправление оказалось неэффективным и разработчикам потребовалось еще несколько дней на его доводку.

Вместе с тем некоторые издания, в частностиLWN.net в лице его главного редактора Джонатона Корбет (Jonathon Corbet),заявили что не считают данную уязвимость столь критической: “Мне бы хотелось отметить, что подобного рода уязвимость предполагает, что злоумышленник уже скомпрометировал систему в степени, достаточной для локального запуска программного кода; сама по себе эта уязвимость не может дать злоумышленнику доступ к уязвимой системе”, – отмечает Джонатон Корбет.

23.08.2010
http://www.newsland.ru/News/Detail/id/549479/cat/69/​

 

От прям зеродейксплоит..

Вообще то во всех начиная с 9 версии...
решаемо обновлением до ядер 2.6.32.19, 2.6.34.4, 2.6.35.2, или добавлением в /etc/X11/xorg.conf
-------------режем тут---------
Section "Extensions"
Option "MIT-SHM" "disable"
EndSection
-------------Енд-------------

Описание самой атаки http://www.invisiblethingslab.com/resources/misc-2010/xorg-large-memory-attacks.pdf

 

Зачем так трагично? На серверах иксов нет, так что эта уязвимость для пользователей.

Section "Extensions"
Option "MIT-SHM" "disable"
EndSection
чревато отказом проигрывателя vlc - фильм будет без видео. Лучше обновить ядро.

 

Тут речь скорее идет про тех, кому стоит опасаться атаки... Но.. нет возможности проапдейтится прямо сейчас (дистры с куплетной поддержкой без предоставления девелов, как у того же сусе до 11) .
+ Знаешь сколько народуй впинывают иксы на серваки

 

радостная новость для виндузятников

 

Ну... иксы на сервере чаще всего означают продвинутого подоконника-админа Такой вряд ли вообще что-либо будет читать и патчить... хотя...
Насчет поддержки - кто мешает собрать ту же ваниль? Или качнуть уже исправленное ядро? Разве что лень... хотя, я может быть чего то не понимаю...
P.S. А тролли в восторге - это да!

 

Ну, не то чтоб не понимаешь, просто не сталкивался видно: Sles 10/11, RHES 5 -- по дефолту ставят мини иксовое окружение, хрен выкосишь.. просто с загрузки убиваю и все.
По поводу ядер, тоже рама, на страшные серваки надо подсовывать кучу вкусняшек для пропиретарных рейдов, карт, и т.д. и т.п. ентерпрайсе такие експеременты череваты. Да и поддержки можно лишиться.

Имхо, есть специализация или ты который делает дергает цыски, никсы, скули.... или немец в сусе который эти ядра собирает 10 лет и больше вообще ни чем не занимается -- думаю разница очевидна.


А тролей бы покормить.. чтоль, а то как то слабо веселятся.