The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

14.12.2009 22:54  Обновление Linux ядра 2.6.32.1 и 2.6.31.8 с исправлением проблем безопасности

Вышли обновленные версии Linux ядра: 2.6.32.1 и 2.6.31.8, в которых внесено большое количество исправлений в работе файловой системы ext4, в том числе устранены серьёзные ошибки безопасности:

  • Ошибка проверки прав доступа при обработке IOCTL "EXT4_IOC_MOVE_EXT" может быть использована для перезаписи файлов с root привилегиями через отправку специально оформленного IOCTL запроса.
  • Ошибка в функции "ext4_fill_flex_info()" может привести к делению на ноль при монтировании специально оформленного образа файловой системы;
  • Ошибка в функции "ext4_decode_error()" может привести при монтирования специально скомпонованной ФС к разыменованию NULL указателя и организации выполнения кода злоумышленника с повышенными привилегиями.

Всем пользователям файловой системы ext4 рекомендуется обновиться незамедлительно. Уже доступно обновление пакетов для Ubuntu 9.10, Fedora 12 и openSUSE, для Mandriva обновление пока не вышло.

Кроме того, в Linux ядре также найдена другая опасная уязвимость, вызванная ошибкой в коде дефрагментации IPv4 пакетов и позволяющая удаленному злоумышленнику через отправку специально оформленного набора пакетов вызвать разыменование NULL указателя, что может привести к краху, а в сочетании с действиями локального злоумышленника потенциально позволяет добиться выполнения кода с root-привилегиями для систем с разрешенным маппингом кода по нулевому адресу, когда /proc/sys/vm/mmap_min_addr равен 0.

  1. Главная ссылка к новости (http://lkml.org/lkml/2009/12/1...)
  2. Patch 2.6.32 -> 2.6.32.1
  3. Patch 2.6.31.7 -> 2.6.32.8
  4. OpenNews: В Linux ядре найдена уязвимость, присутствующая с 2001 года
  5. OpenNews: В Linux ядре найдена уязвимость, позволяющая получить права суперпользователя
  6. OpenNews: Обновление Linux ядра: 2.6.27.41 и 2.6.31.7, с исправлением уязвимостей
Автор новости: Artem S. Tashkinov
Тип: Проблемы безопасности
Ключевые слова: linux, kernel, ext4
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Zenitur (?), 00:00, 15/12/2009 [ответить] [показать ветку] [···]    [к модератору]
  • +1 +/
    А можно как-нибудь обновить только этот компонент, без обновления всего ядра?
     
     
  • 2.2, Аноним (-), 00:04, 15/12/2009 [^] [ответить]    [к модератору]
  • +/
    какой этот?

    Если этот /proc/sys/vm/mmap_min_addr = 0, то надо просто поменять 0 на

    $ cat /proc/sys/vm/mmap_min_addr
    4096

     
     
  • 3.4, syeg (ok), 00:54, 15/12/2009 [^] [ответить]    [к модератору]
  • +/
    Этой шутке, про mmap_min_addr уже не один месяц. Ещё в 2.6.31 в Debian Sid (в других не знаю, тоже вроде) там стояло 65536.
     
     
  • 4.6, szh (ok), 02:20, 15/12/2009 [^] [ответить]    [к модератору]
  • +/
    wine ее сбрасывает в 0, возможно кто-то еще.
    /etc/sysctl.d/30-wine.conf
     
     
  • 5.33, Michael Shigorin (ok), 00:19, 16/12/2009 [^] [ответить]    [к модератору]
  • –1 +/
    Не wine, а гении из убунты.
     
     
  • 6.45, Zenitur (?), 07:09, 17/12/2009 [^] [ответить]     [к модератору]  
  • +/
    Не совсем из Ubuntu А из стороннего репозитария Ubuntu там в diff-файле помимо... весь текст скрыт [показать]
     
  • 4.7, Zenitur (?), 03:15, 15/12/2009 [^] [ответить]    [к модератору]  
  • +1 +/
    Я поменял! Только после этого Wine не запускает 16-битные программы.
     
     
  • 5.15, const86 (ok), 11:34, 15/12/2009 [^] [ответить]     [к модератору]  
  • +/
    А надо чтоб и волки сыты и овцы целы P S 16-битные программы в 21 веке ... весь текст скрыт [показать]
     
     
  • 6.16, anonymous (??), 12:12, 15/12/2009 [^] [ответить]    [к модератору]  
  • +2 +/
    Для игрушек нету =(
     
     
  • 7.42, программер (?), 14:21, 16/12/2009 [^] [ответить]    [к модератору]  
  • +/
    а dosbox?
     
     
  • 8.44, Zenitur (?), 07:08, 17/12/2009 [^] [ответить]     [к модератору]  
  • +/
    УстановитьDosBOX и там запустить Windows 3 1 Вариант Правда, если игра перед с... весь текст скрыт [показать]
     
  • 5.28, User294 (ok), 20:01, 15/12/2009 [^] [ответить]     [к модератору]  
  • +/
    Сколько можно насиловать труп oO Они у микрософта уже в 64-бит винде не стартую... весь текст скрыт [показать]
     
     
  • 6.35, Zenitur (?), 03:46, 16/12/2009 [^] [ответить]    [к модератору]  
  • +/
    Какое мне дело до Винды?! Ты когда что-то делаешь, смотришь на то, как поступает в такой ситуации сосед? Вот и я тоже нет.
    Ответ выше - игры.
     
  • 5.41, NewSysadmin (?), 11:44, 16/12/2009 [^] [ответить]     [к модератору]  
  • +/
    Да Это проблема Я напр , использую утилиту vsafe com в качестве антивируса не... весь текст скрыт [показать]
     
  • 2.3, anonymous (??), 00:27, 15/12/2009 [^] [ответить]    [к модератору]  
  • +/
    Если у тебя генту (нет, не генту у тебя), то можно обновиться и пересобрать.
    Иначе качаем-ставим всё ведро. Если у тебя нормальный дистрибутив, то само скачает-поставит.
     
     
  • 3.8, Zenitur (?), 03:16, 15/12/2009 [^] [ответить]     [к модератору]  
  • +/
    У меня ванильное ядро, само не скачается и не поставится Скачивать все 60 мегаб... весь текст скрыт [показать]
     
     
  • 4.9, pavlinux (ok), 03:48, 15/12/2009 [^] [ответить]     [к модератору]  
  • +3 +/
    1 git pull 2 wget http www kernel org pub linux kernel v2 6 patch-2 6 32 1 b... весь текст скрыт [показать]
     
     
  • 5.20, Zenitur (?), 15:12, 15/12/2009 [^] [ответить]     [к модератору]  
  • +/
    О, спасибо Ты фактически за меня всю работу сделал А то надоедает каждый раз... весь текст скрыт [показать]
     
     
  • 6.26, anon (?), 18:46, 15/12/2009 [^] [ответить]     [к модератору]  
  • +/
    - Качаем минорный патч пара сотен Кбайт максимум - Накладываем на исходники яд... весь текст скрыт [показать]
     
     
  • 7.30, pavlinux (ok), 21:53, 15/12/2009 [^] [ответить]     [к модератору]  
  • +/
    Про oldconfig это ты зря, вот когда появился CONFIG_PAT, который по деволту... весь текст скрыт [показать]
     
  • 6.31, pavlinux (ok), 21:56, 15/12/2009 [^] [ответить]     [к модератору]  
  • +1 +/
    Скачай один раз git - git git kernel org pub scm linux kernel git torvalds lin... весь текст скрыт [показать]
     
  • 1.5, herly (?), 01:45, 15/12/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Between 2.6.28.10 and 2.6.29, net/ipv4/ip_fragment.c was patched,
    changing from dev_net(dev) to container_of(...).  Unfortunately the goto
    section (out_fail) on oversized packets inside ip_frag_reasm() didn't
    get touched up as well.  Oversized IP packets cause a NULL pointer
    dereference and immediate hang.
     
  • 1.10, _umka_ (??), 06:40, 15/12/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • –7 +/
    О мой бог.. Linux до сих пор не избавился от болезни death ping ?
     
     
  • 2.14, не бог (?), 10:15, 15/12/2009 [^] [ответить]    [к модератору]  
  • +/
    Читайте новость внимательно - уже -дцатый раз избавился.
     
  • 2.32, СуперАноним (?), 22:50, 15/12/2009 [^] [ответить]    [к модератору]  
  • +/
    А Макось уже избавилась? ;)
     
  • 2.34, User294 (ok), 03:28, 16/12/2009 [^] [ответить]    [к модератору]  
  • +/
    >О мой бог.. Linux до сих пор не избавился от болезни death ping ?

    Я б на вашем месте больше нервничал о том чего с вашими любимыми санями и их продуктами теперь будет.

     
     
  • 3.37, аноним (?), 06:11, 16/12/2009 [^] [ответить]    [к модератору]  
  • +1 +/
    >Я б на вашем месте больше нервничал о том чего с вашими
    >любимыми санями и их продуктами теперь будет.

    какая-то уязвленность сквозит в ваших словах...

     
  • 1.11, eugene_beast (?), 09:35, 15/12/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    В тексте новости присутствует "нечестная реклама" Ubuntu, так как для Fedora обновление безопасности, исправляющее эту уязвимость, вышло еще 7 декабря:

    Fedora 11: https://www.redhat.com/archives/fedora-package-announce/2009-December/msg00453

    Fedora 12: https://www.redhat.com/archives/fedora-package-announce/2009-December/msg00496

     
     
  • 2.12, Maxim Chirkov (ok), 09:47, 15/12/2009 [^] [ответить]     [к модератору]  
  • +/
    Речь про исправление ошибок в ext4, я вчера честно проверил весь список из http ... весь текст скрыт [показать]
     
     
  • 3.13, Maxim Chirkov (ok), 10:13, 15/12/2009 [^] [ответить]     [к модератору]  
  • +/
    Кстати, вышло обновление для Fedora https www redhat com archives fedora-packa... весь текст скрыт [показать]
     
  • 1.17, Аноним (17), 13:06, 15/12/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Обновление для Fedora вышло раньше, чем ядро на kernel.org ... ?
     
     
  • 2.19, Аноним (-), 14:54, 15/12/2009 [^] [ответить]    [к модератору]  
  • +/
    >Обновление для Fedora вышло раньше, чем ядро на kernel.org ... ?

    Так бывает, если вы и пишете это ядро (в данном случае RedHat) =)

     
  • 1.18, jura12 (ok), 14:43, 15/12/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    ext4 год назад вышла? до сих пор ошибки находят. зачем такую глюкавую фс выпускать а тем более ее использовать?
     
     
  • 2.21, ig0r (??), 15:20, 15/12/2009 [^] [ответить]    [к модератору]  
  • +/
    а в чём проблема? не используйте.
     
  • 2.22, Zenitur (?), 15:20, 15/12/2009 [^] [ответить]    [к модератору]  
  • +/
    По сравнению с неотъемлимыми особенностями FAT и NTFS, это не глюк. Открою тебе маленькую тайну. На самом деле настольный дистрибутив Linux может работать годами, и не надо ничего обновлять, патчить, как советуют некоторые. Эти советчики - либо миргарты из Windows, где без этого и правда может всё серьёзно пострадать (даже Майкрософт подтверждает),либо те,кому нечем заняться - вот и коротают время так. Обновлять стоит сервер,поэтому в новостях лишь новости об уязвимостях в ключевых компонентах системы.
     
     
  • 3.24, аноним (?), 15:45, 15/12/2009 [^] [ответить]    [к модератору]  
  • +/
    >По сравнению с неотъемлимыми особенностями FAT и NTFS, это не глюк.

    без конкретики - запузыривание лужи. да и собственно при чем тут фат и нтфс?

    >Открою тебе маленькую тайну. На самом деле настольный дистрибутив Linux может работать
    >годами, и не надо ничего обновлять, патчить, как советуют некоторые. Эти
    >советчики - либо миргарты из Windows, где без этого и правда
    >может всё серьёзно пострадать (даже Майкрософт подтверждает),либо те,кому нечем заняться -
    >вот и коротают время так. Обновлять стоит сервер,поэтому в новостях лишь
    >новости об уязвимостях в ключевых компонентах системы.

    пионеро-фанат, вы то зачем обновляетесь? мигрировали с виндовс и вам занятся нечем только как по жпрс тянуть 60М?

     
     
  • 4.25, Zenitur (?), 18:45, 15/12/2009 [^] [ответить]    [к модератору]  
  • +/
    И зачем я выкинул журнал Компьютерры, где всё было перечислено в столбик? Лимит размера файла в FAT, нельзя в корневом каталоге больше 255 файлов создать,возможность хака,если назвать особым образом и утилитами файл.Утеря места на больших разделах,в NTFS проблему решили,но это фактически нагромождение кода поверх кода FAT.Фрагментация.Права доступа в NTFS 5 версии,а в FAT все файлы помечаются исполняемыми (об этом даже есть анекдот). Потеря файлов после сбоя из-за кривой реализации журналирования.Ещё что-то
     
     
  • 5.40, name (??), 11:29, 16/12/2009 [^] [ответить]    [к модератору]  
  • –1 +/
    >нельзя в корневом каталоге больше 255 файлов создать

    это в каком юмористическом журнале вы такое прочитали?

    >Утеря места на больших разделах

    потери от зарезервированных инодов в ext* в разы больше, чем от FAT

    >Фрагментация

    Зависит исключительно от драйвера

    >FAT все файлы помечаются исполняемыми

    зато со сменными носителями проблем нет

    >отеря файлов после сбоя из-за кривой реализации журналирования.Ещё что-то

    ну кто же виноват, что в линукс-драйвере кривая реализация фурналирования?

     
     
  • 6.46, Zenitur (?), 07:14, 17/12/2009 [^] [ответить]    [к модератору]  
  • +/
    Кроме того, если создать файл в 300 байт, он будет занимать 16 килобайт. Проверь, набери 300 байт в "Блокноте" и сохрани, а у полученного файла замерь размер, нажав правой кнопкой и выбрав "Свойства". Строчка "На идске" покажет, что файл физически занимает 16 килобайт. Можно, конечно, использовать DriveSpace... Но для жёсткого идска в 500 гигабайт это смешно!
    Есть такой нехороший сбой, что Windows никогда не определяет точный размер файла, ошибаясь, в лучшем случае, на байты, а в худшем на сотни мегабайтов. Попробуй сам замерить большой объём данных, у которого тебе заведомо известен размер. Эта проблема освещается во всех мыслимых компьютерных журналах как особенность NTFS. Часто хочешь диск записать с большой кучей файлов, а 4.0 гигабайт не влезают на DVD, потому что это на самом деле 4,4 гигабайта.
     
     
  • 7.50, аноним (?), 08:36, 17/12/2009 [^] [ответить]    [к модератору]  
  • +/
    >Кроме того, если создать файл в 300 байт, он будет занимать 16
    >килобайт.

    доброе утро, почитай на досуге про размер кластера и на что он влияет в ФС, ага.

     
     
  • 8.51, Zenitur (?), 11:55, 17/12/2009 [^] [ответить]    [к модератору]  
  • +/
    Ну так об этом и речь - это недостаток как самих FAT и NTFS, так и самой архитектуры этих файловых систем. Она давно устарела.
    Если это сбой в Windows, это само собой разумеющееся?
     
  • 4.36, Zenitur (?), 03:48, 16/12/2009 [^] [ответить]    [к модератору]  
  • +/
    Потому что у меня - сервер. На десктопе у меня SSH закрыт и фаерволл грамотно настроен. Но я был бы абсолютно спокоен даже с умолчальными настройками.
     
     
  • 5.43, аноним (?), 19:44, 16/12/2009 [^] [ответить]    [к модератору]  
  • +/
    >Потому что у меня - сервер. На десктопе у меня SSH закрыт
    >и фаерволл грамотно настроен. Но я был бы абсолютно спокоен даже
    >с умолчальными настройками.

    ssh это что-то плохое?
    т.е. на десктопе можно настроить так файрол что бы никакие дыры были не страшны, а на сервере, не смотрящем в интернет, нет?

     
     
  • 6.48, Zenitur (?), 07:16, 17/12/2009 [^] [ответить]    [к модератору]  
  • +/
    >>Потому что у меня - сервер. На десктопе у меня SSH закрыт
    >>и фаерволл грамотно настроен. Но я был бы абсолютно спокоен даже
    >>с умолчальными настройками.
    >
    >ssh это что-то плохое?
    >т.е. на десктопе можно настроить так файрол что бы никакие дыры были
    >не страшны, а на сервере, не смотрящем в интернет, нет?

    Конечно нет. т.к. порты открыты. ИП кто вам сказал, что "не смотрящем в Интернет"?

     
     
  • 7.49, аноним (?), 08:30, 17/12/2009 [^] [ответить]    [к модератору]  
  • +/
    >>ssh это что-то плохое?
    >>т.е. на десктопе можно настроить так файрол что бы никакие дыры были
    >>не страшны, а на сервере, не смотрящем в интернет, нет?
    >
    >Конечно нет. т.к. порты открыты. ИП кто вам сказал, что "не смотрящем
    >в Интернет"?

    так значит открытые порты это плохо?
    если бы он смотрел в интернет, то наверное не скачивалось бы по жпрс-у ядро.

     
  • 2.23, szh (ok), 15:38, 15/12/2009 [^] [ответить]    [к модератору]  
  • +/
    > ext4 год назад вышла?

    смотря что считать за "вышла". По одним определениям больше года назад, по другим еще не вышла (в enterprise дистрибы еще не включили по умолчанию).

    > зачем такую глюкавую фс выпускать

    ФС такого уровня и таких возможностей никто и никогда не выпускал без глюков. Это сложнее чем ты думаешь и возможностей там больше чем ты знаешь.

    > а тем более ее использовать?

    я использую уже полгода, ни одного глюка не замечено, при этом она быстрее ext3.

     
  • 2.29, User294 (ok), 20:11, 15/12/2009 [^] [ответить]    [к модератору]  
  • +/
    >ext4 год назад вышла? до сих пор ошибки находят. зачем такую глюкавую
    >фс выпускать а тем более ее использовать?

    Наверное вы настолько круты что сразу пишете код такой сложности без багов? Может, покажете вашу файловую систему тогда? Ну или хотя-бы любую другую более-менее сложную ФС где не было бы багов которые порой еще и похуже (ченжлоги читайте, только тогда вообще спать спокойно не сможете).

    Если врубить мозг, то...
    1) Для юзежа бага юзер должен быть локальным.
    2) Ему должно хватать прав на монтирование как я понимаю. Если у него столько прав - он и так может напортачить.
    3) Баг не вызывает разрушение данных.

    Итого? Да, непорядок. Но не вижу какую опасность на практике оно представляет для меня или для данных.

     
     
  • 3.38, аноним (?), 06:19, 16/12/2009 [^] [ответить]    [к модератору]  
  • +/
    >Если врубить мозг, то...
    >1) Для юзежа бага юзер должен быть локальным.
    >2) Ему должно хватать прав на монтирование как я понимаю. Если у
    >него столько прав - он и так может напортачить.
    >3) Баг не вызывает разрушение данных.
    >
    >Итого? Да, непорядок. Но не вижу какую опасность на практике оно представляет
    >для меня или для данных.

    это вы про какой баг?
    я, например, вижу это:

    Ошибка проверки прав доступа при обработке IOCTL
    "EXT4_IOC_MOVE_EXT" может быть использована для перезаписи файлов с root привилегиями через отправку специально оформленного IOCTL запроса.

    и понимаю, что как минимум можно вызвать разрушение данных, а если врубить мозг, то и получение привилегий тут же окопалось.

     
  • 1.27, Аноним (-), 18:47, 15/12/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Брехня в зюзе обновлений нет, мейтейнеры ядра зюзи как всегда в анабиозе
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2019 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor