OpenForum RSS: Во FreeBSD найдена локальная уязвимость, приводящая к повыше... https://mobile.opennet.me/openforum/vsluhforumID3/61512.html В версиях FreeBSD 7.1, 7.2, 8.0 подтверждено (http://permalink.gmane.org/gmane.os.freebsd.announce/478) наличие опасной уязвимости (http://www.securityfocus.com/bid/37154), позволяющей локальному непривилегированному злоумышленнику выполнить код с правами суперпользователя. <br><br><br>Уязвимость вызвана возможностью, при выполнении suid-программы через функцию execl(), запуска с повышенными привилегиями _init блока сторонней библиотеки, загруженной злоумышленником через подстановку переменной окружения LD_PRELOAD. По умолчанию при выполнении suid программ производится очистка опасных переменных окружения, но из-за ошибки в коде проверки успешности операции очистки переменных, имелась возможность передачи LD_PRELOAD вкупе с некорректно оформленным окружением.<br><br><br><br>По предварительной информации уязвимости подвержены ветки FreeBSD 7.x и 8.x, для версий FreeBSD 4.9 и 6.3 проблема не проявляется, но, судя по коду, версия FreeBSD 6.4 является уязвимой. Опасность уязвимости многократно возрастает...<br><br>URL: http://www.the Во FreeBSD найдена локальная уязвимость, приводящая к повыше... (Nas_tradamus) https://mobile.opennet.me/openforum/vsluhforumID3/61512.html#33 Mon, 07 Dec 2009 10:31:53 GMT Проверил - работает, млин! FreeBSD 7.0-RELEASE .<br><br>При попытке применить патч, выдавал что нет такого файла в src.<br><br>Как-нибудь можно исправить без обновления на 8.0 ?<br><br>Я не сильно паникую, так как у меня злоумышленники не имеют доступ в шелл. )<br><br>А хостерам, чую, весело.<br> Во FreeBSD найдена локальная уязвимость, приводящая к повыше... (_Nick_) https://mobile.opennet.me/openforum/vsluhforumID3/61512.html#32 Thu, 03 Dec 2009 12:42:31 GMT &gt;...Хотя бы из-за наличия на данном<br>&gt;компьютере некоторой конфеденциальной информации.<br><br>Ну, это понятно. Подобных причин можно найти не одну.<br><br><br>&gt;Если я кому-то даю ограниченные права, я не хочу чтобы у него<br>&gt;была возможность получить права суперпользователя...<br><br>Да, возможно и не хотите. Но Ваше [не]желание - лишь источник<br>Вашего управленческого воздействия на объект "Операционная система".<br>Т.е. Вы - субъект управления, а ОС (ну, и компьютер) - объект[ы].<br><br>И совсем уже неважно: то ли ваше качество управления этим объектом было недостаточным,<br>чтобы не допустить неприемлемого вам его поведения,<br>то ли Вы недостаточно понимаете и изучили поведение и устройство объекта управления,<br>а потому делаете неверные прогнозы его поведения под Вашим управлением.<br>В обоих случаях возможны срывы управления (т.е. катастрофическое и непредсказуемое _для_Вас_ его поведение).<br>Это всё достаточно общая теория управления.<br>Практически, в случае данной новости - самипрограммисты и администраторы недостаточно изучили объе Во FreeBSD найдена локальная уязвимость, приводящая к повыше... (_Nick_) https://mobile.opennet.me/openforum/vsluhforumID3/61512.html#31 Thu, 03 Dec 2009 12:26:40 GMT &gt;Вопрос же ведь не в том, кто как использует дыру, в том, <br>&gt;что ЗЛОУМЫШЛЕННИК __МОЖЕТ__ использовать это в своих злоумышленных интересах. <br><br>А при чём тут тогда фрибзд? :)<br>Раз проблема в том, что ЗЛОумышленник МОЖЕТ изпользовать различные средства чтобы творить зло?<br><br><br><br>&gt;Предлагаю Вам предложить исправить новость следующим образом: <br>&gt;"Уязвимость вызвана возможностью...."<br><br>Спасибо.<br><br>Но я бы лишь больше сконцентрировал текст новости на описании объективного поведения<br>ОС в тех или иных условиях, уйдя от разсуждений о том со злым, ли добрым умыслом _может_быть_ изпользована та или иная объективная способность системы (даже если эта способность не планировалась производителем). Примено так:<br>"...недостаточная проверка переменных окружения позволяет выполнить произвольный код от имени владельца SUID бинаря. Достаточно лишь иметь права запуска этого бинаря.".<br> Во FreeBSD найдена локальная уязвимость, приводящая к повыше... (_Nick_) https://mobile.opennet.me/openforum/vsluhforumID3/61512.html#30 Thu, 03 Dec 2009 12:15:32 GMT &gt;Это характерный детский взгляд на мир - думать, что в нём всё <br>&gt;исключительно чёрное или белое.<br><br>Напрашиваетесь на шутку... Вы только с детьми-дальтониками общались?<br>Ваше высказывание было неоднозначным: с одной стороны, якобы упрекнуть меня, что<br>я "упрощаю" мир, видя в нём лишь чёрно-белое (хотя на самом деле в нём наличиствуют<br>множество разных частот, и некоторые из них люди видят разными цветами);<br>с другой стороны, это якобы алегория о добре и зле. Но тут Вы неправы,<br>ибо любое действие или бездействие - объективно относится либо к доброму поступку<br>(и бездёйствие тоже), либо к злому, невизрая на то, что об этом кто думает (невзирая на субъективное понимание добра и зла).<br><br>Или Вы думаете, что есть ещё и некие "средние" поступки? не добрые и не злые?<br>Не "чёрное" и не "белое", а некое "рябое"?<br><br><br>&gt;На досуге советую спросить средних сто человек в инете что лучше - <br>&gt;линукс, или виндовс.<br><br>БольшАя часть средних людей ответит "а что это?" по обоим пунктам.<br>Вообще-то, ответ то Вы получите, но прид Во FreeBSD найдена локальная уязвимость, приводящая к повыше... (_Nick_) https://mobile.opennet.me/openforum/vsluhforumID3/61512.html#29 Thu, 03 Dec 2009 11:10:33 GMT &gt;Добро и зло - понятия относительные, ты это понимаешь?<br><br>Очень хорошо, что Вы сразу указали на расхождения в наших взглядах.<br>Я считаю, что есть объективные добро и зло (предопределены для всех Создателем),<br>ну и, ессьно, есть субъективные добро и зло - это то, что каждый _может_считать_для_себя_ хорошим или плохим. субъективные добро и зло _могут_ совпадать с объективными (ну, а могут и не совпадать... но не становясь при этом объективными).<br>Относительные добро и зло - могут быть лишь субъектинвыми (к примеру, приемлема логика типа "это хорошо, что вот этот чел дал тому по голове, а вот что этот дал тому - не хорошо"). Объективное добро и зло одинаково для _всех_.<br><br>Ну, а законы, принятые руководствами стран - чистый субъективизм, который в частях совпадения и несовпадения с объективными добром - и порождает 4 вида оценок, упомянутые мной выше (законно-незаконно x добро-зло).<br><br><br>&gt;Стало быть, при<br>&gt;принятии каких-то решений придётся неизменно вставать на чью-либо сторону в конфликте<br>&gt;только для того, чт Во FreeBSD найдена локальная уязвимость, приводящая к повыше... (Xaionaro) https://mobile.opennet.me/openforum/vsluhforumID3/61512.html#28 Thu, 03 Dec 2009 05:38:52 GMT Если я кому-то даю ограниченные права, я не хочу чтобы у него была возможность получить права суперпользователя... Хотя бы из-за наличия на данном компьютере некоторой конфеденциальной информации.<br> Во FreeBSD найдена локальная уязвимость, приводящая к повыше... (terr0rist) https://mobile.opennet.me/openforum/vsluhforumID3/61512.html#27 Wed, 02 Dec 2009 13:16:59 GMT Предлагаю Вам предложить исправить новость следующим образом:<br>"Уязвимость вызвана возможностью, при выполнении suid-программы через функцию execl(), запуска с повышенными привилегиями _init блока сторонней библиотеки, загруженной злоумышленником *** и не только злоумышленником *** через подстановку переменной окружения LD_PRELOAD. По умолчанию при выполнении suid программ производится очистка опасных переменных окружения, но из-за ошибки в коде проверки успешности операции очистки переменных, имелась возможность передачи LD_PRELOAD вкупе с некорректно оформленным окружением. "<br><br>*** отмечены исправления ***<br>Так лучше? =)<br>Вопрос же ведь не в том, кто как использует дыру, в том, что ЗЛОУМЫШЛЕННИК __МОЖЕТ__ использовать это в своих злоумышленных интересах.<br> Во FreeBSD найдена локальная уязвимость, приводящая к повыше... (Vertigo) https://mobile.opennet.me/openforum/vsluhforumID3/61512.html#26 Wed, 02 Dec 2009 09:01:52 GMT &gt;Вот даже опросить по любому вопросу средних сто человек с улицы - <br>&gt;точность решения (соответствие их субъективного мнения о добре-зле объективному добру-злу) будет <br>&gt;куда выше. <br><br>Это характерный детский взгляд на мир - думать, что в нём всё исключительно чёрное или белое.<br>На досуге советую спросить средних сто человек в инете что лучше - линукс, или виндовс. Ну, или интел и амд. Или г-форс и радеон. И проанализировать ответы. А так же прикинуть, что же в данном случае будет Объективным Добром.<br> Во FreeBSD найдена локальная уязвимость, приводящая к повыше... (Vertigo) https://mobile.opennet.me/openforum/vsluhforumID3/61512.html#25 Wed, 02 Dec 2009 08:52:54 GMT Добро и зло - понятия относительные, ты это понимаешь? Стало быть, при принятии каких-то решений придётся неизменно вставать на чью-либо сторону в конфликте только для того, чтобы решить что добро, а что - зло. Чтобы избежать этого, человечество придумало законы. Неидеальное решение, куча проблем и т.д. и т.п., но оно как-то работает и позволяет избегать анархии. И всё время находится кто-то, кто Лучше Знает Как Надо. И говорит - фигня вопрос, я ща всё решу с позиции Добра и Зла, а также вечной Истины. А потом ему ставят такой, например, вопрос: А как будет добрее - поднять пенсии сейчас на 100 рублей, или вложить эти деньги в развитие и через полгода поднять на 1000?; или: А можно вершить самосуд из мести, если Ты Точно Знаешь (или Сто Пудов Уверен), что обидчик виноват?; или: А можно я вон тому мужику в репу дам - он косо на меня смотрит? И пока этот наш герой думает над этими вопросами, ему приходит время заканчивать завтрак и идти в школу.<br>