The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS


Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы [ Отслеживать ]

Оглавление

Уязвимость в ядре Linux, позволяющая запустить код при подкл..., opennews (ok), 22-Фев-16, (0) [смотреть все]

Сообщения [Сортировка по времени | RSS]


9. "Уязвимость в ядре Linux, позволяющая запустить код при подкл..."  –21 +/
Сообщение от Orduemail (ok), 22-Фев-16, 12:58 
Мне всегда линукс очень нравился тем, как он справляется с флешками: можно совершенно не парится на тему всевозможных троянов на флешке, воткнуть её и скопировать оттуда всё, что нужно. Но теперь выходит, что в этом плане линь не лучше венды.

На мой взгляд, в данной ситуации непродуктивно искать оправдания линуксу, придумывая для этого "законы Вселенной" типа "физический доступ равноценен смерти". Типа это не линукс виноват, в том что он дырявый, а Вселенная так устроена. Гораздо продуктивнее иной путь. Надо признать, что безопасность линукса -- не фонтан, и исправлять её. Не любое изменение является улучшением, но любое улучшение -- это изменение. Для того, чтобы улучшить, надо изменить; а для того, чтобы изменить надо сначала признать необходимость изменений, ну а для этого необходимо признать несовершенство.

Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в ядре Linux, позволяющая запустить код при подкл..."  +9 +/
Сообщение от kai3341 (ok), 22-Фев-16, 13:18 
Вы так говорите, как будто это первая уязвимость в ядре.
Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в ядре Linux, позволяющая запустить код при подкл..."  +8 +/
Сообщение от Аноним (-), 22-Фев-16, 13:29 
1. Для атаки необходимо подключить к компьютеру специально настроенное USB-устройство.
2. Проблема уже исправлена в ядре 4.5-rc4.

Внимание вопрос: Где в тексте новости говорится о флешках? В венде уже признали авторан уязвимостью и закрыли?

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

29. "Уязвимость в ядре Linux, позволяющая запустить код при подкл..."  +1 +/
Сообщение от soarin (ok), 22-Фев-16, 15:19 
> В венде уже признали авторан уязвимостью и закрыли?

Да, давно.

Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимость в ядре Linux, позволяющая запустить код при подкл..."  +/
Сообщение от Аноним (-), 22-Фев-16, 16:18 
> В венде уже признали авторан уязвимостью и закрыли?

Да, давно.

>> В венде уже признали авторан уязвимостью и закрыли?
>
>Да, давно.

Действительно, не знал.
Особенно интересно это: "Представители Microsoft сообщают, что могли бы выпустить патч и раньше, но встретили сопротивление со стороны некоторых своих партнёров, для которых эта фича была очень важна."

Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимость в ядре Linux, позволяющая запустить код при подкл..."  +/
Сообщение от Нимано (?), 22-Фев-16, 18:41 
> Действительно, не знал.

Рвем шаблоны:
https://wiki.ubuntu.com/autorun
> The main use of this blueprint is to autorun windows programs CDs but there is nothing that prevents linux programs to be launched the same way.
> Wine has made a lot of progress and implementing this autorun capability can now be done to ease the installation of windows programs on Ubuntu.

Ну и, вроде бы, даже преуспели в этом
https://translate.google.ru/translate?hl=ru&ie=UTF8&prev=_t&.../
(первая "более-менее" серьезно выглядящая ссылка, т.к. искать на аглицком влом)

И даже успели наступить на те же грабли:
https://lwn.net/Articles/427135/
> At SchmooCon, Jon Larimer demonstrated a way to circumvent the
> screensaver lock on an Ubuntu 10.10 system just by inserting a USB storage device.

Хотя да, тут "всего лишь" исользовали автомонтирование и черезмерную "шибко-вумность" наутилуса. Хотя принцип схож – лишняя автомагия.

Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимость в ядре Linux, позволяющая запустить код при подкл..."  +/
Сообщение от Аноним (-), 23-Фев-16, 08:28 
Попсовизация операционных систем в ущерб безопасности - это зло.
Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимость в ядре Linux, позволяющая запустить код при подкл..."  +/
Сообщение от Аноним (-), 22-Фев-16, 19:29 
А в линуксе еще недавно пытались запилить свои автораны в убунтах.
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

34. "Уязвимость в ядре Linux, позволяющая запустить код при подкл..."  –4 +/
Сообщение от Orduemail (ok), 22-Фев-16, 16:53 
Да-да. Давайте, чтобы не признавать существование проблемы в линуксе, будем переводить стрелки на венду. Проблема описанная в новости существует в линуксе. Венда здесь совершенно ни при чём.
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

38. "Уязвимость в ядре Linux, позволяющая запустить код при подкл..."  +4 +/
Сообщение от cmp (??), 22-Фев-16, 17:22 
Да, давайте, в линуксе проблем нет. в винде есть.
а у вас проблемы с мат.частью, не понимаешь чем биос устройства отличается от содержимого флешки, иди тогда дальше автораны пускай.
Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость в ядре Linux, позволяющая запустить код при подкл..."  +/
Сообщение от phrippyemail (?), 22-Фев-16, 17:27 
>Проблема описанная в новости существует в линуксе.

Новость не читай @ Комментарий отправляй

>Проблема уже исправлена в ядре 4.5-rc4

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

46. "Уязвимость в ядре Linux, позволяющая запустить код при подкл..."  +/
Сообщение от Michael Shigorinemail (ok), 22-Фев-16, 19:18 
>>Проблема описанная в новости существует в линуксе.
>Проблема уже исправлена в ядре 4.5-rc4

Исправление в коде на kernel.org автоматически не оказывается вдруг у всех пользователей (равно как и новодырчатый код).

При обсуждении вопросов безопасности не следует смешивать такие различные варианты понимания слов "проблема исправлена".

Ответить | Правка | Наверх | Cообщить модератору

64. "Уязвимость в ядре Linux, позволяющая запустить код при подкл..."  +/
Сообщение от Аноним (-), 23-Фев-16, 13:12 
>Исправление в коде на kernel.org автоматически не оказывается вдруг у всех пользователей

Объяснять это мамкиным хакирам и одминам локалхоста бесполезно.

Ответить | Правка | Наверх | Cообщить модератору

65. "Уязвимость в ядре Linux, позволяющая запустить код при подкл..."  +/
Сообщение от Michael Shigorinemail (ok), 23-Фев-16, 13:51 
>>Исправление в коде на kernel.org автоматически не оказывается вдруг у всех пользователей
> Объяснять это мамкиным хакирам и одминам локалхоста бесполезно.

Только не говорите, что Вашим первым словом было :wq :)

Ответить | Правка | Наверх | Cообщить модератору

58. "Уязвимость в ядре Linux, позволяющая запустить код при подкл..."  +/
Сообщение от Аноним (-), 23-Фев-16, 08:26 
> Да-да. Давайте, чтобы не признавать существование проблемы в линуксе, будем переводить стрелки на венду.

Ordu, научитесь мотировать флешки с noexec, да и все прочие разделы, где не нужно исполнение (кроме системного) тоже. А на системном разделе в любом приличном дистрибутиве установлены вполне адекватные дефолтные права доступа.

> Проблема описанная в новости существует в линуксе. Венда здесь совершенно ни при чём.

В нормально настроенном Линуксе этой проблемы нет, как и в нормально настроенной винде.
Не можешь настроить систему сам - обратись к специалисту.

> Без наличия возможности выполнения кода на локальной системе уязвимость позволяет только инициировать отказ в обслуживании (крах ядра).

Здесь в новости неверная подача сути проблемы. Суть не в "возможности выполнения кода на локальной системе" а в возможности исполнять любой код откуда попало.

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

23. "Уязвимость в ядре Linux, позволяющая запустить код при подкл..."  –2 +/
Сообщение от Аноним (-), 22-Фев-16, 14:18 
Полностью согласен. Люди всегда и во всё ищут отговорки, вместо того, чтобы признать проблему и быстро решить её.
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

28. "Уязвимость в ядре Linux, позволяющая запустить код при подкл..."  +/
Сообщение от soarin (ok), 22-Фев-16, 15:18 
> Мне всегда линукс очень нравился тем, как он справляется с флешками: можно совершенно не парится на тему всевозможных троянов на флешке, воткнуть её и скопировать оттуда всё, что нужно. Но теперь выходит, что в этом плане линь не лучше венды

Ну так и раньше были у линуксов уязвимости на тему авторанов и прочего. Например недавняя уязвимость ffmpeg, которую замечательно использовать через thumbnailer.
Другое дело, что принцип Неуловимого Джо работает. Так что при наличии обновлений на ОС я бы не стал чего-то бояться.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

31. "Уязвимость в ядре Linux, позволяющая запустить код при подкл..."  +1 +/
Сообщение от soarin (ok), 22-Фев-16, 15:29 
>  можно совершенно не парится на тему всевозможных троянов на флешке, воткнуть её

Тем более в статье речь про умное кастомное usb устройство, что не получится с обычной флешкой
А тут уж как про хакера в столовой. Можно вообще легко собрать кастомную флешку, которая будет палить usb порты на материнке :D И плевать какое защищенное (или нет) у тебя ПО.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

35. "Уязвимость в ядре Linux, позволяющая запустить код при подкл..."  –4 +/
Сообщение от Orduemail (ok), 22-Фев-16, 17:02 
>>  можно совершенно не парится на тему всевозможных троянов на флешке, воткнуть её
> Тем более в статье речь про умное кастомное usb устройство, что не
> получится с обычной флешкой
> А тут уж как про хакера в столовой. Можно вообще легко собрать
> кастомную флешку, которая будет палить usb порты на материнке :D И
> плевать какое защищенное (или нет) у тебя ПО.

Вы уверены, что завтра не появится какая-нибудь малварь, которая начнёт перепрограммировать флешки? А если смартфон используется как флешка?

Не, я не спорю, принцип Неуловимого Джо работает. Он сейчас работает. Но меня раздражает не это, меня раздражает позорная манера линупсоидов отрицать существующие проблемы. Находить тысячи оправданий этой проблеме, доказывать что чёрное это белое и проблема не является проблемой. Или доказывать, что проблема в линуксе -- это проблема не в линуксе, а в юзерспейсе. Или что проблема не в линуксе, а в возможности воткнуть флешку в usb-порт. Или, что в венде ещё более серьёзная проблема есть.

Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимость в ядре Linux, позволяющая запустить код при подкл..."  +1 +/
Сообщение от Вася (??), 22-Фев-16, 17:07 
На фоне проблем Винды Линукс это агнец божий.
В нём хотя бы нет предустановленных троянов от разрабов ОС и third-party трои так легко не пролезут.
Уже одно это - много.
Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимость в ядре Linux, позволяющая запустить код при подкл..."  +/
Сообщение от Orduemail (ok), 22-Фев-16, 22:33 
Хватит переводить стрелки.
Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимость в ядре Linux, позволяющая запустить код при подкл..."  +/
Сообщение от Буратино (?), 23-Фев-16, 00:17 
Страус с зондом от Наделлы.
Ответить | Правка | Наверх | Cообщить модератору

75. "Уязвимость в ядре Linux, позволяющая запустить код при подкл..."  +/
Сообщение от Аноним (-), 24-Фев-16, 19:25 
Страус с зондом от Амазона и Шаттловрота.
Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимость в ядре Linux, позволяющая запустить код при подкл..."  +1 +/
Сообщение от ehainahui (?), 22-Фев-16, 17:12 
> Вы уверены, что завтра не появится какая-нибудь малварь, которая начнёт перепрограммировать флешки?

Неважно что появится ЗАВТРА, проблему уже СЕГОДНЯ исправлена. $USERNAME

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

47. "Уязвимость в ядре Linux, позволяющая запустить код при подкл..."  +/
Сообщение от Michael Shigorinemail (ok), 22-Фев-16, 19:23 
> меня раздражает позорная манера линупсоидов

Вот смотрите, я линуксовод.  Вас не затруднит привести ссылки, где я бы демонстрировал описанное Вами поведение?

Что же касательно "тысяч оправданий" -- чёрное всё так же чёрное, а вот попытки некрософта раскручивать утверждения вроде "дырки в юзерспейсе -- это дырки в линуксе" некоторые из нас прекрасно помнят ещё по недоброй памяти Get The Facts.  При этом наличие действительно более серьёзных проблем в винде оный некрософт в подобной "гартнеровской аналитике" почему-то не афишировал.

Отсюда просьбы/предложения/требования, смотря по уровню читающего:
- не уподобляться тем, кто пытается затушевать реальные проблемы до "да ладно вам";
- не раздувать, с другой стороны, из мух слонов, но стараться оценивать объективно;
- понимать, что вопросы безопасности платформ существуют не в сферическом вакууме.

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

50. "Уязвимость в ядре Linux, позволяющая запустить код при подкл..."  –1 +/
Сообщение от Аноним (-), 22-Фев-16, 22:19 
во всех топиках где ищешь студентов MS. коих легион...
Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимость в ядре Linux, позволяющая запустить код при подкл..."  +/
Сообщение от Orduemail (ok), 22-Фев-16, 22:36 
>> меня раздражает позорная манера линупсоидов
> Вот смотрите, я линуксовод.  Вас не затруднит привести ссылки, где я
> бы демонстрировал описанное Вами поведение?

Если вы не демонстрировали это поведение, значит ли это, что никто из линуксоидов не демонстрировал? Значит ли это, что большинство линуксоидов не демонстрировало? Вы здесь постоянно, вы же должны видеть закономерность: стоит появиться новости об уязвимости в линуксе, большинство комментариев посвящено тому, чтобы доказывать, что уязвимости нет.

> Что же касательно "тысяч оправданий" -- чёрное всё так же чёрное, а
> вот попытки некрософта раскручивать утверждения вроде "дырки в юзерспейсе -- это
> дырки в линуксе" некоторые из нас прекрасно помнят ещё по недоброй
> памяти Get The Facts.  При этом наличие действительно более серьёзных
> проблем в винде оный некрософт в подобной "гартнеровской аналитике" почему-то не
> афишировал.

Лол. Вот вы сейчас демонстрируете как раз это самое поведение. Переводы стрелок. Какое вам лично дело до венды? Какое *мне* дело до венды?

> Отсюда просьбы/предложения/требования, смотря по уровню читающего:
> - не уподобляться тем, кто пытается затушевать реальные проблемы до "да ладно
> вам";
> - не раздувать, с другой стороны, из мух слонов, но стараться оценивать
> объективно;
> - понимать, что вопросы безопасности платформ существуют не в сферическом вакууме.

Я согласен с этим абсолютно. Но если вы будете увидив критику безопасности линукса рассказывать нам о том, что в венде ещё хуже, то никакой объективности вы не получите никогда.

Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

55. "Уязвимость в ядре Linux, позволяющая запустить код при подкл..."  +/
Сообщение от Michael Shigorinemail (ok), 23-Фев-16, 00:54 
> Если вы не демонстрировали это поведение, значит ли это, что никто из
> линуксоидов не демонстрировал?

Но Вы же не использовали квалификаторы "некоторые" или "многие", хотя явно понимаете разницу; вот и докапываюсь.

> Вы здесь постоянно, вы же должны видеть закономерность: стоит появиться новости
> об уязвимости в линуксе, большинство комментариев посвящено тому, чтобы доказывать,
> что уязвимости нет.

С такой страусиной позицией тоже стараюсь работать в меру сил и понимания, пока с её носителями не провели воспитательную работу боты, скидди или хуже.

>> [...] некоторые из нас прекрасно помнят ещё по недоброй памяти Get The Facts [...]
> Лол. Вот вы сейчас демонстрируете как раз это самое поведение. Переводы стрелок.

Не-а.  Попробуйте перечитать, наверное, опять невнятно выразился.

> Какое вам лично дело до венды? Какое *мне* дело до венды?

Напоминаю о совсем другой аудитории, нетехнической -- которой в лучшем случае приходится выбирать из разных зол, а в худшем за них уже выбрали и предпринимают усилия к тому, чтобы "пациенты" не перешли к самостоятельной оценке.

Да, это совсем другой контекст, но какого-то лешего аукается он и на технических ресурсах (и если бы только он).

> Я согласен с этим абсолютно. Но если вы будете увидив критику безопасности
> линукса рассказывать нам о том, что в венде ещё хуже, то никакой объективности
> вы не получите никогда.

То, что в винде бывает ещё хуже -- не повод downplay'ить или вовсе игнорировать свои проблемы ни разу.

Ответить | Правка | Наверх | Cообщить модератору

60. "Уязвимость в ядре Linux, позволяющая запустить код при подкл..."  +/
Сообщение от Аноним (-), 23-Фев-16, 08:37 
> Или доказывать, что проблема в линуксе -- это проблема не в линуксе, а в юзерспейсе.

В "юзеркомпетентности" и "юзерголове".

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

63. "Уязвимость в ядре Linux, позволяющая запустить код при подкл..."  +/
Сообщение от Orduemail (ok), 23-Фев-16, 11:57 
Точно. И это тоже.
Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимость в ядре Linux, позволяющая запустить код при подкл..."  +2 +/
Сообщение от demimurychemail (ok), 22-Фев-16, 17:43 
1) подключить устройство
2) выполнить код

иначе говоря если вам дадут такую флешку с вами ничего не случится. если вы сами не запустите еще и код

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

41. "Уязвимость в ядре Linux, позволяющая запустить код при подкл..."  +/
Сообщение от ttwo (?), 22-Фев-16, 17:49 
> Надо признать

ИМХО, надо говорить ИМХО!


Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

49. "Уязвимость в ядре Linux, позволяющая запустить код при подкл..."  +/
Сообщение от Алексей (??), 22-Фев-16, 20:23 
Вы какую-то ерудну пишите. Микрософт действительно длительное время закрывала глаза на баги в ИЕ, ядре и других своих приложениях. В линуксе же, вы можете описать проблемы, предложить пути решения, написать патчи. Разработчики посмотрят и если предоставленная вами информация стоит внимания она будет учтена в следующей версии. Если, баг очень критичный - появится быстро патч, иногда в течение суток, если не очень, в течение месяца.

С продуктами виндоус вы за точно такие же действия можете сесть в тюрьму или попасть на нехилый штраф за нарушение лицензионного соглашения совершение противоправных действий в отношении патентованных технологий Микрософта. Из-за этого время жизни багов в продуктах МС измеряется, часто, годами (хоть сейчас ситуация уже должна быть по-лучше), а в линуксе часто неделями. Т.к. гражданский контроль у этой системы выше.

Но и само собой не стоит строить иллюзию что Linux - это лекарство от всех бед. Что-то он умеет лучше винды, что-то хуже, но для получения максимальной нужно оценивать адекватно ОС, тогда будет безмерное счастье.
Сам пользуюсь линуксом уже лет 6, в качестве основной системы, сказать что проблем с ним нет, не могу, но работает он шустрее винды 10й на порядок, по отзывчивости. Но, есть проблемы с 3д графикой, не так хороша она как винде, потому стоит ещё вторая ОС Win10, когда надо включаю её, что бывает с каждым годом все реже и реже, а желания запускать этого глючного монстра нет уже с момента выхода 8й версии.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

56. "Уязвимость в ядре Linux, позволяющая запустить код при подкл..."  +/
Сообщение от Аноним (-), 23-Фев-16, 08:11 
Подписываюсь под всем, что вы тут написали. Но можно подробнее про "проблемы с 3D графикой" в Linux? В чём она хуже, чем на Windows?
Ответить | Правка | Наверх | Cообщить модератору

72. "Уязвимость в ядре Linux, позволяющая запустить код при подкл..."  +/
Сообщение от Аноним (-), 24-Фев-16, 19:13 
> Но теперь выходит, что в этом плане линь не лучше венды.

Если тебе уже подсунули и запустили свой код и подогнали BadUSB устройство - да, Linux облажается. Но при таких вводных тебя уже поимели, а USB устройство может из флешки внезапно стать клавиатурой. На усмотрение прошивки контроллера "флешки".

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру