Место для Вашей рекламы всего за 400 рублей в месяц ! email:incognito.anonimous@yandex.ru

Спонсор проекта:
Лучший вариант для анонимности купить прокси на выделенном сервере IPANN.NET.
Ads



Последние комментарии
#1
watersoda пишет: » А с другой стороны, какой смысл в МСВС 5.0, когда ... (12.11.2017)
// Обзор и попытка установки МСВС 5.0
#2
X_perienced пишет: » А какое именно оборудование там подерживается - го... (25.08.2017)
// Обзор и попытка установки МСВС 5.0
#3
Linups_Troolvalds пишет: » Хватит писать бред. МСВС (возможно) не работает на... (24.07.2017)
// Обзор и попытка установки МСВС 5.0
#4
watersoda пишет: » Да и RHEL под "Эльбрус" не помешал бы... (19.03.2017)
// Обзор и попытка установки МСВС 5.0
#5
watersoda пишет: » Небольшая поправка: ... через соответствующий паке... (19.03.2017)
// Обзор и попытка установки МСВС 5.0
#6
watersoda пишет: » Кстати, мелькала где-то информация, что Red Hat сд... (19.03.2017)
// Обзор и попытка установки МСВС 5.0
#7
watersoda пишет: »
Цитата:
... МСВС отстаёт от ДОСа по поддержке виде...
(16.03.2017)
// Обзор и попытка установки МСВС 5.0
#8
admin пишет: » watersoda, этот ноутбук выпущен в 2012 году wink
Убунт... (16.03.2017)
// Обзор и попытка установки МСВС 5.0
#9
watersoda пишет: » И вот ещё, правда речь про МСВС 3.0:
Цитата:
Устрои...
(08.03.2017)
// Обзор и попытка установки МСВС 5.0
#10
watersoda пишет: » Я где-то читал, что ВНИИНС предоставляет список об... (08.03.2017)
// Обзор и попытка установки МСВС 5.0
#11
дохтур пишет: »
Gentoo написал:
Вот мне лично нахуй не надо ни одн...
(02.02.2017)
// Письма неадекватов
#12
дохтур пишет: »
Gentoo написал:
Вот мне лично нахуй не надо ни одн...
(02.02.2017)
// Письма неадекватов
#13
Gentoo пишет: » >>Autocad, Kompas, CorelDraw, SolidWorks, AD... (30.01.2017)
// Письма неадекватов
#14
watersoda пишет: » Just for fun как он есть.biggrin (15.01.2017)
// Линукса нет! Нас обманули !!!
#15
дохтур пишет: » admin, ага, ещё вот проприетарная лицензия на обще... (13.01.2017)
// Письма неадекватов
Quotes
Интересно, под Linux можно установить новую программу, чтобы потом пол системы не отвалилось?

Не прошло и 8 лет... | автор: Luca | 21 августа 2009 |

Категория: GNU/Linux


Несколько дней назад была закрыта уязвимость застрагивающая все версии Linux выпущенные за последние 8 лет! Если говорить точнее, то уязвимости подвержены все ядра 2.4 и 2.6, восходя аж к 2001 году! Уязвимость связана с тем, что ряд функций ядра, наподобие sock_sendpage, не занимается проверкой полученного указателя на NULL, полагаясь на то, что соответствующие указатели будут корректно проинициализированы в обертках - таких как sock_no_sendpage.

Как заявил исследователь безопасности Жульен Тинне (Julien Tinnes) – «Поскольку ошибка приводит к возможности исполнения кода, то может быть использована как эксплойт. Взломщики могут таким образом запустить код, и он будет исполняться с высокими привилегиями»


Замечу, что сама возможность подобного лихого обращения с нулевыми указателями в современной ОС вызывает некоторое недоумение - к примеру, в архитектуре Win32/64 подобные плюхи принципиально невозможны по причине блокировки любого доступа к адресам с 0x0 по 0xFFFF (0xFFF в случае Win'9x).

P.S. Это вторая критическая уязвимость за последний месяц.

Источник



Комментарии посетителей
[1] 2

#1. debian, 21.08.2009 - 14:46

Даже сообщество может невнимательно код проанализировать. Хорошо, что исходник был открыт и эту плюшку хоть кто-то заметил. Из чего следует вывод: Win9x куда надежнее всех самых современных Unix! Все поняли, где наебка? =D

#2. Jazz, 21.08.2009 - 14:51

Jazz
NT и MinWin на дворе. Проснись, нас обокрали. © biggrin

#3. Невропаразитолог, 21.08.2009 - 14:55

Невропаразитолог
debian написал:
современных Unix
Дряхлых Unix, с постоянно "допиливаемыми" технологиями 70-80 годов XX века.

#4. debian, 21.08.2009 - 14:58

Базара нет - косяк серьезный, глупо отрицать. Да и незачем. Но это скорее большое исключение, нежели правило. Ничего идеального нет на свете и лишний раз доказывает, что доверять никому нельзя и самому, по возможности, исходники проверять. "Конечно, если они у вас есть"(с) =) Если нет - то совсем пл.хо

#5. Jazz, 21.08.2009 - 15:05

Jazz
debian написал:
Но это скорее большое исключение, нежели правило.

Что-то, чем популярнее становился Linux, тем больше таких "исключений" становилось. biggrin Ссылочки писать?
Нет, ну ясен хр№н, что всё, что делается человеком, неидеально, только зачем рассказывать сказки о супернадёжности какой-то? biggrin

#6. FreeOS, 21.08.2009 - 15:08

FreeOS
А что скопипастено то не полностью, не хорошо
Цитата:

Однако в случае с sock_sendpage ошибка в макросе SOCKOPS_WRAP все же может привести к передаче в функцию нулевого указателя. Что и приводит к возможности внедрения кода, выполняющегося с правами ядра - достаточно положить его в нулевую страницу памяти. Патч уже доступен.

да и сама новость датирована 13 числом :P

#7. debian, 21.08.2009 - 15:08

"Дряхлых Unix, с постоянно "допиливаемыми" технологиями 70-80 годов XX века." - ты ахуительных размеров тролль =D

#8. Невропаразитолог, 21.08.2009 - 16:21

Невропаразитолог
debian написал:
Дряхлых Unix, с постоянно "допиливаемыми" технологиями 70-80 годов XX века.
Та це ж правда ж.
debian написал:
ты ахуительных размеров тролль
Угу, 190см/120 Кг.crazy
БШЛ (большая штыковая лопата)
Здорово, бездельники!
Во Луку прорвало...
Не иначе вчерашняя товарищеская критика лени впрок пошла.
Пойду ознакомлюсь, чего тут нафлудерасили.

Пока - ничитал, но асуждаю ©biggrin

#10. Jazz, 21.08.2009 - 17:10

Jazz
http://cnews.ru/news/top/index.shtml?2009/08/21/358661
Хоккеисты любят MS. "Ак Барс" гарантирует. biggrin

#11. chaldon, 21.08.2009 - 17:12

А вот интересно, если MS откроет исходники своих супер ОС, сколько там обнаружится лазеек уязвимостей?

#12. serge, 21.08.2009 - 17:25

chaldon,
Чтение исходников не обнаруживает никаких уязвимостей и багов.
chaldon написал:
А вот интересно, если MS откроет исходники своих супер ОС, сколько там обнаружится лазеек уязвимостей?


А вот мне интересно, почему такой интерес возникает в основном у пользователей опенсорса?
БШЛ (большая штыковая лопата)
chaldon написал:
А вот интересно, если MS откроет исходники своих супер ОС, сколько там обнаружится лазеек уязвимостей?


Тут уже стопиццот раз было говорено с пруфлинками, что МС предоставляет исходные коды для аудита довольно широкому кругу граждан и организаций на условиях неразглашения. Но чо та тихо пока, криков не слышно.
Хотя дыры там, конечно, есть, как и в любом другом программном продукте. Стоит себе, к примеру, Фотошоп месяцами, работает спокойно, а потом внезапно © РРРАЗ и на ровном месте возьмёт и сбросит настройки кистей на исходные. Вот и пойми, чо ему в голову стрельнуло.
Но палюбому, латание дыр - это есть гут.

#15. Advizer, 21.08.2009 - 18:35

В ядре при огромном количестве исходного текста - ошибки и недочёты находить будут всегда. Мы же не знаем, что там у Майкрософт в ядре творится. ;-) А насчёт
> блокировки любого доступа к адресам с 0x0 по 0xFFFF (0xFFF в случае Win'9x).

Не знаю, насколько блокировка была полезной, мне Виндовс 98 а особенно Миллениум как конечному потребителю запомнилась чередою БСОДов. Редкая неделя проходила без оных.Поэтому, радость от этих блокировок ощутить так и не удалось. Но слава Биллу, это всё в прошлом, сегодня мы работаем в среде NT, которая в отличии от Linux качественно эволюционировала все это время, пока создатели ядра линукс находились в анабиозе.

#16. Steve Ballmer, 21.08.2009 - 18:37

заколеб№ли, своими исходниками)))

1) во первых разобраться в чужом коде ППц как непросто… многие вообще считают что проще написать с 0 , чем вьезжать в чужое

2) Просто чтение кода, фактически ничего не даёт)

3) Даже если 2 пункт неверен - и по исходному коду как по книге можно прочитать все дыры, то надо учесть что читают их не только те кто ищет дыры ради закрытия но и те кто их использует) Что явно снижает безопасность))))
Вот конкрентнно по сабжу , некий злоумышленник мог найти эту дыру ещё в 2001 году и спокойно ею пользоваться

#17. debiyan, 21.08.2009 - 20:27

debiyan
А кто-нибудь хоть прошел до первоисточника про эту уязвимость? Данная дырка закрывается автоматом стандартными пакетами SElinux.

#18. LNXMSDE, 21.08.2009 - 22:19

chaldon написал:
А вот интересно, если MS откроет исходники своих супер ОС, сколько там обнаружится лазеек уязвимостей?
Насколько я помню, ВендекапецХР состоит из 150 млн строк кода. Ну пусть меньше, в 10 раз, всего то 1,5 млн строк. Комуто еще охота смотреть на баги в исходниках?

#19. _lexx, 21.08.2009 - 22:24

ее пофиксили сразу... :)
Так что... ****ня

#20. FreeOS, 21.08.2009 - 23:11

FreeOS
LNXMSDE написал:
Насколько я помню, ВендекапецХР состоит из 150 млн строк кода. Ну пусть меньше, в 10 раз, всего то 1,5 млн строк. Комуто еще охота смотреть на баги в исходниках?

Я думаю ты слегка не прав
Подели это кол-во строк кода на кол-во прогеров которые будут с этим разбираться, и учти, что будет перелапачиваться не все сразу, а постепенно, один капает одно, другой другое, если грубо. И оно уже не так страшно

#21. MOP3E, 21.08.2009 - 23:22

FreeOS написал:
Я думаю ты слегка не прав
Подели это кол-во строк кода на кол-во прогеров которые будут с этим разбираться, и учти, что будет перелапачиваться не все сразу, а постепенно, один капает одно, другой другое, если грубо. И оно уже не так страшно

Впрочем, ты уже можешь начинать тренироваться. Исходники Windows-совместимой операционной системы ReactOS никто не закрывал. Вперёд - к свершениям и подвигам!

#22. FreeOS, 21.08.2009 - 23:23

FreeOS
MOP3E, Нет спасибо, я свой выбор уже сделал, а этого г№вна от МС мне и на работе хватает

#23. Jazz, 21.08.2009 - 23:31

Jazz
FreeOS написал:
я свой выбор уже сделал

Ковыряешь исходник Linux? smile

#24. FreeOS, 21.08.2009 - 23:48

FreeOS
Jazz, НЕт, просто пользуюсь =)

#25. Svart Testare, 21.08.2009 - 23:53

Svart Testare
serge написал:
Чтение исходников не обнаруживает никаких уязвимостей и багов.

Статическое тестирование никто не отменял tongue

#26. Невропаразитолог, 22.08.2009 - 00:48

Невропаразитолог
FreeOS написал:
НЕт, просто пользуюсь
Чего ж орёте на просто-пользователей Windows?

#27. FreeOS, 22.08.2009 - 00:53

FreeOS
Невропаразитолог написал:
Чего ж орёте на просто-пользователей Windows?

Где я это делал?? о_О

#28. Steve Ballmer, 22.08.2009 - 05:22

А если представить ОС как некий военный объект со своими методами защиты от врагов… то какой объект будет более защищен? Тот о внутреннем устройсве объекта почти никто не знает, за исключением сотрудников этого объекта или тот чертежи, плны местности, схемы расположения и имена сотрудников лежат в свободном досутпе?

>>Я думаю ты слегка не прав
Подели это кол-во строк кода на кол-во прогеров которые будут с этим разбираться, и учти, что будет перелапачиваться не все сразу, а постепенно, один капает одно, другой другое, если грубо. И оно уже не так страшно

к тому времени пока перелопатят… в ходу уже Сингулярити будет а про НТ уже все забудут… А линуксу от своего ядра никуда не деться…

#29. debiyan, 22.08.2009 - 10:40

debiyan
Steve Ballmer написал:
А если представить ОС как некий военный объект со своими методами защиты от врагов… то какой объект будет более защищен? Тот о внутреннем устройсве объекта почти никто не знает, за исключением сотрудников этого объекта или тот чертежи, плны местности, схемы расположения и имена сотрудников лежат в свободном досутпе?
тем не менее ВС РФ используют для своих систем ОС на базе Юникс, а не Виндоус, к чему бы это?

#30. FreeOS, 22.08.2009 - 10:45

FreeOS
debiyan, Я бы даже сказал переработанный Red Had
Так для затравки кому интересно МСВС (мобильная система вооруженых сил)
http://ru.wikipedia.org/wiki/%D0%9C%D0%BE%D0%B1%D0%B8%D0%BB%D1%8C%D0%BD%D0%B0%D1%8F_%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D0%92%D0%BE%D0%BE%D1%80%D1%83%D0%B6%D1%91%D0%BD%D0%BD%D1%8B%D1%85_%D0%A1%D0%B8%D0%BB

#31. Steve Ballmer, 22.08.2009 - 11:47

Система передаётся без исходного кода (перечень пользователей системы есть на странице ВНИИНС), и исходный код не выдаётся получателям дистрибутива МСВС, что является нарушением лицензии GNU GPL, под которой, например, лицензировано Linux — ядро системы МСВС[3].

biggrin biggrin biggrin Я ж грю никто в здравом уме не будет открывать карты и исходники))

#32. Невропаразитолог, 22.08.2009 - 13:51

Невропаразитолог
debiyan написал:
тем не менее ВС РФ используют для своих систем ОС на базе Юникс, а не Виндоус, к чему бы это?
Но и не десктопный Linux. Вообще "гражданским" программам, а, заодно и опенсорсу, нех№ра делать в режимных учреждениях. Для них решение должно быть оригинальным и несовместимым ни с чем. Безопасность, знаете ли.

#33. Jazz, 22.08.2009 - 17:38

Jazz
Интересно, за нарушение лицензии на наши ВС не наехали? smile

#34. Steve Ballmer, 22.08.2009 - 18:00

Аха дело столлман против ВС РФ :)

#35. Jazz, 22.08.2009 - 18:22

Jazz
debiyan написал:
тем не менее ВС РФ используют для своих систем ОС на базе Юникс, а не Виндоус, к чему бы это?

К тому, что бесплатно и в свободном доступе. Только и всего.

#36. Невропаразитолог, 22.08.2009 - 21:48

Невропаразитолог
Jazz написал:
К тому, что бесплатно и в свободном доступе. Только и всего.
Само сабой, ведь военные, а особенно прапорщики, они жуткие халявщики же..biggrin

#37. FreeOS, 22.08.2009 - 23:22

FreeOS
Jazz написал:
К тому, что бесплатно и в свободном доступе. Только и всего.

Убейся нуб
Невропаразитолог, и ты исдохни

#38. I-Love-Linux, 23.08.2009 - 09:06

debiyan написал:
Данная дырка закрывается автоматом стандартными пакетами SElinux.
Говорят, эта дырка обходит защиту SElinux ;)

Обратите внимание, я все признаю. Я не фанатик :)

Только вот в винде очень много многолетних дырок. Не одна. Хотя там и одной хватит.

#39. debiyan, 23.08.2009 - 09:44

debiyan
I-Love-Linux написал:
Говорят, эта дырка обходит защиту SElinux ;)
Обратите внимание, я все признаю. Я не фанатик :)
Только вот в винде очень много многолетних дырок. Не одна. Хотя там и одной хватит.
вот именно, что-то я про массовый крэк серверов через эту уязвимость не слышал, а вот про регулярное появление ботнетов на базе десктоп-виндоусов очень даже не редко :)

#40. Невропаразитолог, 23.08.2009 - 11:50

Невропаразитолог
FreeOS написал:
Невропаразитолог, и ты исдохни
Спасибо, и тебе здоровья!
debiyan написал:
регулярное появление ботнетов на базе десктоп-виндоусов
Ботнеты на десктопах- медленно. Проще ботнеты на кластерах - вот это сила!
[1] 2

Просмотров: 3287