Место для Вашей рекламы всего за 400 рублей в месяц ! email:incognito.anonimous@yandex.ru

Спонсор проекта:
Лучший вариант для анонимности купить прокси на выделенном сервере IPANN.NET.
Ads



Последние комментарии
#1
watersoda пишет: » А с другой стороны, какой смысл в МСВС 5.0, когда ... (12.11.2017)
// Обзор и попытка установки МСВС 5.0
#2
X_perienced пишет: » А какое именно оборудование там подерживается - го... (25.08.2017)
// Обзор и попытка установки МСВС 5.0
#3
Linups_Troolvalds пишет: » Хватит писать бред. МСВС (возможно) не работает на... (24.07.2017)
// Обзор и попытка установки МСВС 5.0
#4
watersoda пишет: » Да и RHEL под "Эльбрус" не помешал бы... (19.03.2017)
// Обзор и попытка установки МСВС 5.0
#5
watersoda пишет: » Небольшая поправка: ... через соответствующий паке... (19.03.2017)
// Обзор и попытка установки МСВС 5.0
#6
watersoda пишет: » Кстати, мелькала где-то информация, что Red Hat сд... (19.03.2017)
// Обзор и попытка установки МСВС 5.0
#7
watersoda пишет: »
Цитата:
... МСВС отстаёт от ДОСа по поддержке виде...
(16.03.2017)
// Обзор и попытка установки МСВС 5.0
#8
admin пишет: » watersoda, этот ноутбук выпущен в 2012 году wink
Убунт... (16.03.2017)
// Обзор и попытка установки МСВС 5.0
#9
watersoda пишет: » И вот ещё, правда речь про МСВС 3.0:
Цитата:
Устрои...
(08.03.2017)
// Обзор и попытка установки МСВС 5.0
#10
watersoda пишет: » Я где-то читал, что ВНИИНС предоставляет список об... (08.03.2017)
// Обзор и попытка установки МСВС 5.0
#11
дохтур пишет: »
Gentoo написал:
Вот мне лично нахуй не надо ни одн...
(02.02.2017)
// Письма неадекватов
#12
дохтур пишет: »
Gentoo написал:
Вот мне лично нахуй не надо ни одн...
(02.02.2017)
// Письма неадекватов
#13
Gentoo пишет: » >>Autocad, Kompas, CorelDraw, SolidWorks, AD... (30.01.2017)
// Письма неадекватов
#14
watersoda пишет: » Just for fun как он есть.biggrin (15.01.2017)
// Линукса нет! Нас обманули !!!
#15
дохтур пишет: » admin, ага, ещё вот проприетарная лицензия на обще... (13.01.2017)
// Письма неадекватов
Quotes
Из курса диалектики кол-во должно постепенно переходить в качество. А кол-во дистрибутивов Линукс каждый день только увеличивается, а качества все нет

Взлом Linux через подключение USB-устройства стал реальностью | автор: Luca | 8 марта 2011 |

Категория: GNU/Linux, Security

В USB-драйвере caiaq найдена уязвимость, позволяющая инициировать переполнение буфера и выполнение кода злоумышленника через подключение специально сконфигурированного USB-устройства к работающему под управлением Linux компьютеру. Используя данную уязвимость, злоумышленник может воспользоваться имеющимися в продаже недорогими программируемыми USB-платами для организации выполнения своего кода c правами ядра Linux в любой системе к USB-порту которой он может получить доступ.


Драйвер caiaq, разработанный в рамках проекта ALSA для звуковых плат компании Native Instruments, входит в базовую поставку Linux-ядра и загружается автоматически в большинстве Linux-дистрибутивов, включая серверные системы. Приводящая к уязвимости ошибка представляет собой наиболее тривиальный вариант инициирования переполнения буфера, связанный с использованием для копирования содержимого строки небезопасной функции strcpy(), вместо учитывающего длину строки варианта strlcpy(). Эксплуатировать уязвимость можно через передачу превышающего 80 символов имени устройства в процессе обмена информацией на стадии инициализации.

Обнаружившие ошибку исследователи уже подготовили рабочий прототип USB-устройства, подключение которого к компьютеру приводит к эксплуатации уязвимости. Для создания устройства можно использовать отладочные USB-платы на базе микроконтроллеров серии AT90USB или ATMEGA32U4, стоимость которых составляет приблизительно 20$. Именно эти платы в прошлом году использовались для организации взлома Sony PlayStation 3 через USB-порт.

Приводящая к уязвимости ошибка была исправлена в коде ядра в середине февраля. Исправления вошли в состав ядер 2.6.37.2 и 2.6.38-rc4-next-20110215. В выпущенном вчера обновлении ядра 2.6.32.32 присутствует исправление похожей ошибки в USB-драйвере iowarrior, поэтому не исключено, что в ближайшее время можно ожидать анонс уязвимости и в других драйверах. В качестве временной защиты рекомендуется удалить из системы драйверы /lib/modules/2.6.*/kernel/sound/usb/caiaq/snd-usb-caiaq.ko и /lib/modules/2.6.*/kernel/drivers/usb/misc/iowarrior.ko. Обновления с исправлением уязвимости пока недоступны для Linux-дистрибутивов, статус выхода исправлений можно отследить на следующих страницах: Slackware, Gentoo, Mandriva, openSUSE, CentOS, Fedora, RHEL, Debian, Ubuntu (вышедшие несколько дней назад обновления ядра для RHEL и Ubuntu не содержат исправления обсуждаемой уязвимости).

Месяц назад Джон Лаример (Jon Larimer) из подразделения IBM X-Force выступил на одной из конференций с докладом, в котором подробно рассмотрел теоретическую возможность совершения подобных атак. Тем не менее в своем докладе Лаример акцентировал внимание на взлом систем через функции автоматического запуска и индексации программ файловым менеджером десктоп-окружений, считая маловероятным взлом через уявзимость в USB-драйвере. Взлом системы через пользовательское приложение усложняется наличием таких средств защиты, как SELinux, AppArrmor и ASLR (рандомизация адресного пространства), которые не применяются для защиты от ошибок в Linux-ядре.

источник



Комментарии посетителей
[1] 2 3

#1. pavel2403, 8.03.2011 - 19:07

pavel2403
Отличная новость, это как специально для МО,
Цитата:
Взлом системы через пользовательское приложение усложняется наличием таких средств защиты, как SELinux, AppArrmor и ASLR (рандомизация адресного пространства), которые не применяются для защиты от ошибок в Linux-ядре.

Данная новость доказывает тот факт, что участник дискуссии не прав в следующей теме http://stoplinux.org.ru/forum/viewtopic.php?id=1439&p=3

#2. EvgenijM86, 8.03.2011 - 20:07

А когда появятся первые заражённые флэшки? Или как обычно далее чем "proof of concept" дело не пойдёт? smile

#3. Luca, 8.03.2011 - 20:36

EvgenijM86 написал:

А когда появятся первые заражённые флэшки?

Да кому они нужны в условие околонулевой популярности Linux? Вот когда Linux займет хотя бы 1%...)))
Тут идея в том, что Linux сам по себе дыряв как решето.

#4. EvgenijM86, 8.03.2011 - 20:50

Luca написал:
Тут идея в том, что Linux сам по себе дыряв как решето.

Я бы с этим согласился, если бы подобных багрепортов вообще не было бы, ибо просто невозможно написать только С кода и не допустить кучу ошибок. Или например заражение over 9000 Linux машин, ну прямо как это обычно на Windows.

А так суть новости в том, что в Linux когда-то была такая-то дыра, из-за который никто не пострадал и которой уже нету или очень скоро не будет.

#5. Имя1, 8.03.2011 - 21:24

новость о том что в Linux -- теперь на 1 баг стало меньше? :-)

(для ненавистников Linux это хорошо и пл.хо, нипойму %)%)%))

#6. Имя1, 8.03.2011 - 21:28

Luca> Вот когда Linux займет хотя бы 1%...)))

ага , иди попроси чтобы разработчики не исправляли дырки, до увелечения популяности Linux :-D

#7. Кантрабас, 8.03.2011 - 21:45

EvgenijM86 написал:
А когда появятся первые заражённые флэшки? Или как обычно далее чем "proof of concept" дело не пойдёт? smile


Да кому это надо? Смысл какой? Так поржать если только...

#8. Автомототроллер, 8.03.2011 - 22:03

Решето! biggrin

#9. Майор Очевидность, 8.03.2011 - 22:06

Автомототроллер,
воистину!
*ушёл выламывать на Linux-машинах USB-разъёмы*

#10. Автомототроллер, 8.03.2011 - 22:14

Майор Очевидность написал:
*ушёл выламывать на Linux-машинах USB-разъёмы*


Та не спешите, подправят и фсё будет нормально. От всех дыр всё железо не выдернешь :)

#11. Manve, 8.03.2011 - 22:38

Manve
А я знаю Правду - именно поэтому на Лицензионно Чистых виртуалках нет поддержки USB. Мудрое коммунити смотрит вдаль и взгляд Бозцов За Свободу видит все проблемы в грядущем.

#12. MOP3E, 8.03.2011 - 22:56

Майор Очевидность написал:
*ушёл выламывать на Linux-машинах USB-разъёмы*

Эт ты правильно! Нехр№н луноходам USB-разъёмы - всё равно линух USB-девайсы хр№ново поддерживает.

#13. Luca, 8.03.2011 - 22:58

Переписка pavel2403 на тему кто кому слил выпилена. И будет выпиливаться как любое другое провоцирование нездоровой дискуссии.

#14. MOP3E, 8.03.2011 - 23:07

Имя1 написал:
до увелечения популяности Linux

Ну, до этого "счастливого" момента как англичанину до Пекина раком.

#15. Babusha, 9.03.2011 - 00:01

Если не учитывать тот факт, что уязвимость залатали уже, то то что бы ее использовать нужно еще вручную вставить флешку, то это вообще п...ец какая опасная уязвимость, если так хотите взломать сверх дырявый линупс, то вообще возьмите кувалду и еб№ните по системному блоку smile и вашему нелюбимому аляляниксу полный писец, решето ! biggrin

#16. Tiphon, 9.03.2011 - 00:07

Цитата:
нужно еще вручную вставить флешку

Суровые линуксовские парни обычно вставляют флешки вножную?

#17. Babusha, 9.03.2011 - 00:15

Цитата:
Суровые линуксовские парни обычно вставляют флешки вножную?


Какая оригинальная шутка.

#18. MOP3E, 9.03.2011 - 00:17

Babusha написал:
Какая оригинальная шутка.

В каждой шутке есть доля правды.

#19. MOP3E, 9.03.2011 - 00:19

Babusha написал:
что бы ее использовать нужно еще вручную вставить флешку

Червям kido и conflicker это не помешало.

#20. Babusha, 9.03.2011 - 00:25

Цитата:
Червям kido и conflicker это не помешало.


Но это проблема исключительно Windows, в линуксах таких опасных вирусов за 19 лет еще ни разу не было.

#21. Babusha, 9.03.2011 - 00:26

Цитата:

В каждой шутке есть доля правды.


Тонко, да.

#22. MOP3E, 9.03.2011 - 07:15

Babusha написал:
Но это проблема исключительно Windows, в линуксах таких опасных вирусов за 19 лет еще ни разу не было.

Ещё раз повторю - линуха НЕ СУЩЕСТВУЕТ. Существует мнение, что он существует - не более. ОС с долей в менее, чем 1% на персональных компьютерах, к тому же разбитая на пару сотен дистрибутивов, вирусописателям не интересна. Только это дырявый линух и спасает.

#23. lelik007, 9.03.2011 - 07:56

MOP3E написал:
к тому же разбитая на пару сотен дистрибутивов

Кхе-кхе, по данным LinuxCD.org - 4000, ну - 20 BSD & Solaris... как тут не вспомнить "My name is legion for we are many"...

#24. usr_share, 9.03.2011 - 09:28

Уязвимость в отдельном драйвере, который мало кем используется. Единственная причина, почему дыр в ядре линукса обнаруживают как бы больше, чем в винде -- это именно такие дыры в редкоиспользуемых драйверах. В винде дыры в дровах тоже существуют, только их, естественно, не постят в багтраках на саму винду.

#25. iUser, 9.03.2011 - 09:28

MOP3E написал:
Ещё раз повторю - линуха НЕ СУЩЕСТВУЕТ. Существует мнение, что он существует - не более. ОС с долей в менее, чем 1% на персональных компьютерах, к тому же разбитая на пару сотен дистрибутивов, вирусописателям не интересна. Только это дырявый линух и спасает.


Опять логика в отпуске? biggrin Тогда верно утверждение:

"МОРЗЕ не существует, поскольку он 0.00000000001% от населения планеты."

А разбивка на дистрибутивы - это увы, универсальная защита. Такое к сожалению на практике возможно только в опсосе.

#26. usr_share, 9.03.2011 - 09:32

MOP3E написал:

Ещё раз повторю - линуха НЕ СУЩЕСТВУЕТ. Существует мнение, что он существует - не более. ОС с долей в менее, чем 1% на персональных компьютерах, к тому же разбитая на пару сотен дистрибутивов, вирусописателям не интересна. Только это дырявый линух и спасает.


ВСЁ ЖЕ линукс в основном стоит на серверах, а информация на этих серверах будет зачастую стоить в эти самые сотни раз дороже, чем страничка вконтакте и кучка фотографий на виндовых ПК домохозяек. Вопрос: почему всё равно нет новостей о взломе миллионов Linux-серверов через уязвимости в ядре Linux?

#27. McFly, 9.03.2011 - 10:27

Цитата:
ВСЁ ЖЕ линукс в основном стоит на серверах
почему всё равно нет новостей о взломе Linux-серверов

ломают в основном именно линуксовые серваки ;)

#28. MOP3E, 9.03.2011 - 11:06

usr_share написал:
ВСЁ ЖЕ линукс в основном стоит на серверах, а информация на этих серверах будет зачастую стоить в эти самые сотни раз дороже, чем страничка вконтакте и кучка фотографий на виндовых ПК домохозяек. Вопрос: почему всё равно нет новостей о взломе миллионов Linux-серверов через уязвимости в ядре Linux?

Разговор идёт о безопасности лнуха при использовании на персональных компьютерах. Сервера ломают редко потому, что их безопасность обеспечивают специалисты по безопасности, а не ядро линуха. Виндовые сервера ломают не чаще линуховых, хотя вирусов под винду в миллион раз больше.

#29. MOP3E, 9.03.2011 - 11:12

iUser написал:
Опять логика в отпуске?

Логика в порядке. Зачем пишут вирусы? Для того, чтобы прославиться и для получения коммерческой выгоды. Если ты напишешь вирус под винду - он заразит сотни тысяч компьютеров и ты точно прославишься. Или будешь использовать эти компьютеры в своих личных целях и заработаешь на этом бабки. Если ты напишешь вирус под линух, то из-за крайне редкой возможности встретить целевую ОС он не сможет заразить достаточного количества компьютеров. Возможно - вообще ни одного. Все труды насмарку - ни славы, ни денег. Поэтому и не пишут вирусы, что нормального линуха на десктопах просто нет. И нормальные программы не портируют именно поэтому. Нет стандартизации - нет ни программ, ни вирусов.

#30. kol4dan, 9.03.2011 - 11:21

iUser написал:
А разбивка на дистрибутивы - это увы, универсальная защита.

Интересное утверждение. На этом держится безопасность линукса?

#31. McFly, 9.03.2011 - 11:49

Цитата:
На этом держится безопасность линукса?

Наверное, да. Безопасность системы обратно пропорциональна её распространенности crazy
У системы которой вообще нет, уровень безопасности стремиться к бесконечности...

#32. iUser, 9.03.2011 - 11:57

McFly написал:
Наверное, да. Безопасность системы обратно пропорциональна её распространенности crazy


Правильно замечено - если система собрана из исходников с уникальными настройками, то внедрить извне бинарный эксплойт невозможно, поскольку он просто не будет исполняться. Но и ПО на такой системе будет ровно то, что нашкреб в опсосе biggrin

#33. iUser, 9.03.2011 - 12:19

MOP3E написал:
Логика в порядке. Зачем пишут вирусы? Для того, чтобы прославиться и для получения коммерческой выгоды. Если ты напишешь вирус под винду - он заразит сотни тысяч компьютеров и ты точно прославишься. Или будешь использовать эти компьютеры в своих личных целях и заработаешь на этом бабки. Если ты напишешь вирус под линух, то из-за крайне редкой возможности встретить целевую ОС он не сможет заразить достаточного количества компьютеров. Возможно - вообще ни одного. Все труды насмарку - ни славы, ни денег. Поэтому и не пишут вирусы, что нормального линуха на десктопах просто нет. И нормальные программы не портируют именно поэтому. Нет стандартизации - нет ни программ, ни вирусов.


По научному это называется "разнообразие популяции", что является основой выживания видов. Поэтому идея опсоса в этом плане замечательна. Но вся беда в том, что опсосники до сих пор не нашли эффективной модели создания ПО ("ПО как сервис/заработок на саппорте" не предлагать - это узкий спектр и не всем доступный). "Пердячим паром", на голом энтузиазме можно только калькуляторы и хеловорды писатьbiggrin

#34. EvgenijM86, 9.03.2011 - 13:47

McFly написал:
ломают в основном именно линуксовые серваки ;)

Где новости о тысячах заражённых Linux серверов?

#35. EvgenijM86, 9.03.2011 - 14:48

iUser написал:
на голом энтузиазме можно только калькуляторы и хеловорды писать

На самом деле на энтузиазме можно писать всё что угодно, если хватает ресурсов на самообеспечение. Посмотрите например фильмы как строился в первые годы СССР - практически голый энтузиазм, и ого-го-го какой. А вот без энтузиазма писать крайне сложно, даже если есть все ресурсы на свете.

#36. MOP3E, 9.03.2011 - 16:22

EvgenijM86 написал:
Где новости о тысячах заражённых Linux серверов?

О заражённых серверах новостей нет. Но взламывают их регулярно.

#37. iUser, 9.03.2011 - 16:27

EvgenijM86 написал:
На самом деле на энтузиазме можно писать всё что угодно, если хватает ресурсов на самообеспечение. Посмотрите например фильмы как строился в первые годы СССР - практически голый энтузиазм, и ого-го-го какой. А вот без энтузиазма писать крайне сложно, даже если есть все ресурсы на свете.


нуну... Если рядышком будет нквдист, то да, написать можно biggrin Но это уже называется работать в "шараге" под стр№хом смертной казни или за "пожрать", как это было в "ого-го-го каком" СССР. А в нормальном обществе это не прокатит.

#38. MOP3E, 9.03.2011 - 16:48

iUser написал:
Но это уже называется работать в "шараге" под стр№хом смертной казни или за "пожрать", как это было в "ого-го-го каком" СССР.

Тогда была революция и свобода. Люди скинули правящий класс и были уверены, что работают на себя - отсюда и энтузиазм. Сейчас совсем другая картина.

#39. EvgenijM86, 9.03.2011 - 17:06

iUser написал:
нуну... Если рядышком будет нквдист, то да, написать можно biggrin Но это уже называется работать в "шараге" под стр№хом смертной казни или за "пожрать", как это было в "ого-го-го каком" СССР.

Типо СССР строили исключительно под дулом автомата? Улыбаться на старых фотографиях тоже видимо заставляли под дулом автомата, не иначе? biggrin

Ну или в подобных фильмах на самом деле сзади каждого актёра скрывались НКВДшники, готовые начать стрелять как только он покажет на лице как на самом деле всё ужасно - http://www.youtube.com/watch?v=IzQjyfZHvgA
crazy

#40. iUser, 9.03.2011 - 19:01

MOP3E написал:
Тогда была революция и свобода. Люди скинули правящий класс и были уверены, что работают на себя - отсюда и энтузиазм. Сейчас совсем другая картина.


Не цитируйте школьные учебники времен СССР biggrin Люди никого не скидывали - власть захватила небольшая группка коммунистов, которая поэтапно установила жесткий террор. И была не свобода, а хаос и анархия. Если люди и работали когда-то на себя, то только во время НЭПа. А потом на зарплату или вообще абстрактные трудодни на положении крепостных (если помните, паспорта в деревнях выдали лишь при Хрущеве).

Тоталитарная система может быть эффективной, если нужно сосредоточить все силы на быстром достижении результатов: создать атомную бомбу (украв уйму данных у США), запустить спутник (на базе немецких разработок) и т.д. Но в разработке ПО такое не прокатит. В лучшем случае могут содрать чьи-то результаты, как это делал СССР, воруя софт и копируя процессоры.
[1] 2 3

Просмотров: 22312