Если уж даёшь ссылки на уязвимости, то давай и ссылки на багтрекер. Или боишься, что только со старыми ядрами работать будет? Кроме того, масса претензий к эксплойтам. Впрочем я этого и не ждал от такого "продвинутого" журнала как }{акер...
в том году было: http://news.gala.net/?cat=14&id=310371 Обнаружен первый вирус для Android
--- По словам исследователей, главная проблема в том, что операционная система Android основана на устаревших компонентах, и в ней обнаруживаются ошибки и уязвимости, которые уже давно обнаружены и устранены в других Linux-средах. ---
Чем больше дыр найдено, тем больше их залатано. При открытой модели разработки отлавливанием и исправлением багов могут заниматься все кому хочется, а значит потенциальных разработчиков и активных тестеров заведомо больше чем при закрытой модели разработки, где доступ к коду имеет только маргинальная группка работающих за деньги специалистов. Из этого следует, что чем больше багов найдено - тем лучше.
gaal, не хотелось бы повторяться, но в открытом и закрытом программном обеспечении количество багов примерно ОДИНАКОВО. Просто в открытом по их находят быстрее и больше (исключительно из-за удачной модели разработки) и как следствие быстрее исправляют.
vpupken написал: Чем больше дыр найдено, тем больше их залатано. При открытой модели разработки отлавливанием и исправлением багов могут заниматься все кому хочется, а значит потенциальных разработчиков и активных тестеров заведомо больше чем при закрытой модели разработки, где доступ к коду имеет только маргинальная группка работающих за деньги специалистов. Из этого следует, что чем больше багов найдено - тем лучше.
gaal написал: это зависит от культуры программирования и самого проекта. по мне плюс свободного ПО совсем не в этом.
Культура программирования? Культура проекта? Хотелось бы спросить, сколько закрытых проектов Вы анализировали на предмет культуры? Вся беда стиля программирования под windows в том, что это программирование, удобное для конечных пользователей, а не для программистов. Именно по этому windows - ширпотреб, а *nix - рабочий инструмент профессионала.
gaal написал: предложение составлено было не корректно.
13.04.2009 Обход ограничений в ядре Linux<br /><br /> Цитата:<br /><br /> Linux kernel 2.4.x
Ахх№енно! А я думал сейчас ядро 2.4 уже нигде не найдешь. Так какой толк от уязвимости?
Вы бы еще динозавров вспомнили.
Не поверишь, еще в конце восьмидесятых вирусы для Unix клепали на shell
Ага вот только вирусу надо дать права на запуск а потом еще и вручную запустить от рута. Вообще супер вирус! И имя у него крутое "Пользователь.Идиот.worm.unix"
Чем больше дыр найдено, тем больше их залатано.
Уже тысячу раз везде говорилось. Основное преимущество opensource(по безопасности) в том что в случае обнаружения глобальных дыр они будут залатаны и выложены патчи в течении нескольких часов а то и меньше!!! А сколько майкрософт латает одно и тоже? Да начиная с winXP всё латают и латают. Некоторым дырам уже несколько ЛЕТ!!! В место того чтобы залатать MS лепит антивирусы и зарабатывает на вашем критинизме. Есть даже мнение что майкрософт использует баглист как сценарий для написания следующего своего продукта.
типо мантра O_o о-м-м-м-м. не правильнее ли их не делать? или хотя бы свести к минимуму?
Сам то попробуй писать код и тестить его. Как не пиши где нить да ошибешься. А так люди оттестили нашли и залатали побыстрому. А в закрытых проектах. Оттестили нашли и забыли.
xix написал: Основное преимущество opensource(по безопасности) в том что в случае обнаружения глобальных дыр они будут залатаны и выложены патчи в течении нескольких часов а то и меньше!!
Аааааа ну а толку то? Те же носки с теме же дырками только стираные
nesk написал: Вы ошибались и ошибаетесь.
Балабольство не терплю! жду четкие ссылки на свежую информацию об использовании ядра 2.4.х в больших масштабах. Комп в гараже дяди Бенса отключенный от внешнего мира не катит.
Чем код старше, тем стабильнее ибо больше вылизан. 2.4 соответственно стабильнее, по этому его чаще юзают на серверах. Вы что с дуба рухнули в 2.6 есть и 486 и P2: 386 486 586/K5/5x86/6x86/6x86MX Pentium-Classic Pentium-MMX Pentium-Pro Pentium-II/Celeron(pre-Coppermine) Pentium-III/Celeron(Coppermine)/Pentium-III Xeon Pentium M Pentium-4/Celeron(P4-based)/Pentium-4 M/older Xeon K6/K6-II/K6-III Athlon/Duron/K7 Opteron/Athlon64/Hammer/K8 Crusoe Efficeon Winchip-C6 Winchip-2/Winchip-2A/Winchip-3 GeodeGX1 Geode GX/LX CyrixIII/VIA-C3 VIA C3-2 (Nehemiah) VIA C7 Core 2/newer Xeon
Как всегда. Прозреваю группу недовольных людей, которые сами ничего сделать не могут. А давайте-ка вы, недовольные, пойдете и залатаете? Код-то открытый! Ой, не можете? Так чего возмущаетесь? А тот который сказал "не проще ли не делать ошибок" - к Петросяну в студию. Раз это так просто, напиши мне что-нибудь длиной в 10 миллионов строк без единой дыры.
xix написал: А я думал сейчас ядро 2.4 уже нигде не найдешь. На старых машинах (от 486 до P2) только с таким ядром и пойдёт.
Не забудем учесть, что именно такая конфигурация мини-серверов в почете у красноглазиков-нищебродов, с чем я их и поздравляю :) Что бы не задрачивали с пруфлинком посылаю недовольных на сайт http://counter.li.org/ - там вся статистика как на ладони :)
aries, сам всосал и не подавился 2.4 360 8.5% 2.6 3805 90.2% из 4-х с лишним тысяч проголосовавших только 360 используют 2.4.х ядра Да еще не известно когда они проголосовали. Может лет 5 назад. Так что эта ошибка... (даже дырой назвать сложно). Не подорвет всемирную сеть.
для меня все эти ОС п№ндосские. что линукс, что виндовз, что бзд. нет между ними разницы. и первые, и вторые, и третьи могут катитаться обратно в свою пендоссию.
РОС нужна, а из инициативы на базе линукса ничего не выйдет. точнее уже не выходит.
лучше бы детям помогали, а не х..й маялись на сайте: http://sakina.multicontent.ru/
Демонстрация степени преуменьшения опасности уязвимостей в Linux ядре
Цитата: В начале апреля в Linux ядре без особой огласки была исправлена уязвимость в SCTP подсистеме, которая позднее была квалифицирована в отчетах безопасности Ubuntu и RedHat как потенциальная возможность удаленного совершения DoS атаки. Один из экспертов в области безопасности, возмущенный манерой сводить все ошибки, связанные с выходом за границы выделенной области памяти, к неопасным DoS уязвимостям, недолго думая написал работающий эксплоит для удаленного выполнения кода с привилегиями суперпользователя.
По мнению экспериментатора, ситуация является типичной и подобные эксплоиты можно при желании создать для большинства "DoS уязвимостей" ядра. Пользователи должны производить обновления даже при нахождении незначительных уязвимостей в ядре, так как скорее всего серьезность их сильно приуменьшена. http://www.opennet.ru/opennews/art.shtml?num=21561
nesk, остается вопрос: КОМУ ЭТО НАДО? Кто-то взламывает линуксы каждый день, как это в винде? Алсо, опять обобщение: "Демонстрация степени преуменьшения опасности уязвимостей в Linux ядре" из твоей же цитаты: "подобные эксплоиты можно при желании создать для большинства "DoS уязвимостей" ядра" А сколько этих уязывимостей (возможно что 2-3), конечно ниипет, да?
skyfire, Знать правду о линуксе, о реальном положение дел с уязвимостями, с их реальной опасностью, очень важно для тех кто решается ставить линукс сервера в продакшен. А то, что линуксойды скрывают реальную опасность уязвимостей, это очень плохой знак.
xix написал: Балабольство не терплю! жду четкие ссылки на свежую информацию об использовании ядра 2.4.х в больших масштабах
Обнародована статистика использования устаревшего Linux-ядра 2.4
Цитата: Уилли Тэрро (Willy Tarreau), занимающийся поддержкой ветки 2.4 ядра Linux, провел в почтовой рассылке опрос, посвященный тому, как сейчас используется Linux 2.4. Собрав информацию от пользователей, он подготовил небольшой статистический отчет на основе этих данных. Около половины пользователей Linux-ядра 2.4 применяют его на серверах общего назначения и регулярно обновляют. Основные причины такого использования — слабый интерес к новым возможностям (появившимся в 2.6) и недостаток времени, а в некоторых случаях — неудачная попытка перехода на 2.6 на ранних этапах. 20% пользователей работают с Linux 2.4 на серверах со специфичными приложениями, где важнейшим фактором является надежность. Еще у 10% пользователей Linux-ядро 2.4 запущено на старых роутерах, брандмауэрах, системах обнаружения атак (IDS), которые функционируют по несколько лет. Другие 10% пользователей применяют устаревшее Linux-ядро во встраиваемых системах, где определяющим фактором является стабильность, а используемая сборка может быть достаточно специфичной. Около 5% применений Linux 2.4 приходится на старые лаптопы, КПК и тонкие клиенты, которые уже не нуждаются в обновлениях. И последние 5% — на десктопы и, например, станции мониторинга, которые не обновляются, потому что «просто работают».
nesk, а то что виндузятники их переоценивают, это еще хуже. А уж что обобщают все - это вообще... Написано же про DoS. Почему в заголовке про уязвимости вообще? Ай-яй-яй.
skyfire написал: nesk, а то что виндузятники их переоценивают, это еще хуже.
Переоценивают? Знаешь, три рабочих эксплоита за месяц - это жесть, я такого в линукс даже и не припомню. И это в то время, когда линуксойды на каждом углу кричат, что линукс самая безопасная и надежная ОС. А оно на самом деле: решето!
skyfire написал: nesk, остается вопрос: КОМУ ЭТО НАДО? Кто-то взламывает линуксы каждый день, как это в винде?
Вот уже дураковатый линуксоид нашёптывает по секрету, "ну и что из того что линукс это решето, он же ни кому не нужен, никто его и взламывать то не будет".Спасибо что объяснили нам сами на чём основывается безопасность линукса.Да и так все про это знали, просто приятно было видеть как ты сам слился.
skyfire написал: Как всегда. Прозреваю группу недовольных людей, которые сами ничего сделать не могут. А давайте-ка вы, недовольные, пойдете и залатаете? Код-то открытый! Ой, не можете? Так чего возмущаетесь? А тот который сказал "не проще ли не делать ошибок" - к Петросяну в студию. Раз это так просто, напиши мне что-нибудь длиной в 10 миллионов строк без единой дыры.
Я вот недоволен тем, что мне впаривают г№вно под видом самой надёжной и самой безопасной операционной системы. ПИЗДУЙ САМ И ЛАТАЙ НЕМЕДЛЕННО!!! Урод малолетний. Я не собираюсь участвовать в разработке операционной системы. Это не мой профиль, я не этим на жизнь зарабатываю. У меня нет времени на всякую х.йню типа поиска дыр и их исправленгия. Я РАБОТАЮ на компьютере, а не х.йнёй страдаю. И меня мой шеф ебёт за сделанные мной ошибки. И не понимаю, почему я должен прервать свою работу и пойти помогать разработчикам исправлять их, этих разработчиков, ошибки. ПОЧЕМУ ИХ НИКТО ЕЩЁ ЗА ЭТИ ОШИБКИ НЕ ВЫЕБАЛ?
>Спасибо что объяснили нам сами на чём основывается безопасность линукса Да не за что. Специально для тех кто в танке - в википедии даже статься есть, secutiry through minority.
MOP3E, оу, какой сочный баттх№рт! Виндузятник на грани нервного срыва от одного словосочетаия "подправь код", надо отскринить. НЕ НРАВИТСЯ - НЕ ИСПРАВЛЯЙ! ТОЛЬКО НЕ ВОЗМУЩАЙСЯ! САМ НИХУЯ НЕ МОЖЕШЬ И НЕ ЗНАЕШЬ А ДРУГИХ БЛЯ УЧИШЬ!
>давай: эксплоиды к дыркам ядра винды за апрель 2009 года. http://www.milw0rm.com/platforms/windows вручную даже посчитал - 23 за апрель а у вас тут в списочке 3 под линукс? И чтоб не думали что я укрываю факты: тот же сайт, эксплоиты за апрель под линукс. 4 штуки. http://www.milw0rm.com/platforms/linux
skyfire написал: НЕ НРАВИТСЯ - НЕ ИСПРАВЛЯЙ! ТОЛЬКО НЕ ВОЗМУЩАЙСЯ! САМ НИХУЯ НЕ МОЖЕШЬ И НЕ ЗНАЕШЬ А ДРУГИХ БЛЯ УЧИШЬ!
Это вы меня тут учите, что раз есть какие-то дыры, то я должен пойти их и поправить самостоятельно. Я, б..дь, никого не агитирую идти и исправлять дыры в винде. У меня вместо этого стоит бесплатный антивирус, который прекрасно с этими дырами справляется.
>У меня вместо этого стоит бесплатный антивирус, который прекрасно с этими дырами справляется Што, правда? А если проверить другим антивирусом? 100% защита невозможна.
Переношу сюда из другой новости извинения: ссылки неправильные дал, щас тут разберусь где у них что на сайте
skyfire написал: http://www.milw0rm.com/platforms/windows вручную даже посчитал - 23 за апрель
Ты идиот? Я просил к ядру системы, а не к софту который под этой системой может работать. Внимательно посмотрите список по ссылке. Там вообще к винде эксплоиты есть? Или только к "левому" софту?
skyfire написал: Щелкаем Exploitability Index и любуемся.
Это список уязвимостей, которые потенциально можно эксплуатировать. Тут микрософт в отличие от линуксытников ничего не от кого не скрывает, под "некритичным DDoS", а все называют своими словами. К ним есть готовые эксплоиты? Давайте ссылки на код. И еще, вы список смотрели? Там про все продукты, и про офис и даже про вродпад.
А я и не хожу. Я поставил антивирус. И не ору на всех форумах, что для винды антивирус не нужен. Видимо, всё-таки правы те, кто говорит, что только малая распространённость г№внолинакса избавляет его от излишнего внимания вирусописателей. "Кто там в кустах шуршит?" "Это - Неуловимый Джо." "И что - его действительно никто не может поймать?" "Да он нах№р никому не нужен!"
>И еще, вы список смотрели? Там про все продукты, и про офис и даже про вродпад. Только не заливай мне, что там, как в линуксе, модульная структура. Там все взаимосвязано.
>Ты идиот? Я просил к ядру системы, а не к софту который под этой системой может работать Я вроде как в двух новостях извинился. Читать разучились?
>К ним есть готовые эксплоиты? Давайте ссылки на код Майкрософт не доверяете? Там же есть четко: This vulnerability is currently being exploited in the Internet ecosystem и Exploit code has been made public например.
skyfire написал: Майкрософт не доверяете? Там же есть четко: This vulnerability is currently being exploited in the Internet ecosystem и Exploit code has been made public например.
Так извините, апдейты выпущены. Хотя человеческая тупость поражает (я про ботнет на конфикере).
skyfire написал: Только не заливай мне, что там, как в линуксе, модульная структура. Там все взаимосвязано.
Связано то связано, но ихнего офиса у меня нет, IE я не использую. Опять же если мы сейчас начнем искать дыры во всех программах, которые могут глючить под линуксом. Да что мы тут спорим? Есть люди которые занимаются подобными исследованиями. Отчет IBM показывает, что OS X и Linux содержат больше уязвимостей, чем Windowshttp://www.thevista.ru/page.php?id=10828 Аналитикам IBM уж точно видней, они ведь даже оказывают поддержку линуксу ;) .
>Отчет IBM показывает, что OS X и Linux содержат больше уязвимостей, чем Windows Зато хакеры взломали висту раньше чем мак, а линукс (убунту нашу нелюбимую) не взломали вообще Это такой известный и боянный случай, что пруфлинки даже не требуются.
Из той статьи: >Как видно из таблицы, наиболее безопасной является собственная разработка компании IBM Дальше не читал, вкладку закрыл. Могли бы что-нибудь более объективное привести.
skyfire написал: Зато хакеры взломали висту раньше чем мак, а линукс (убунту нашу нелюбимую) не взломали вообще Это такой известный и боянный случай, что пруфлинки даже не требуются.
Ну и что? Дыры есть везде, придет время - сломают и убунту. Говорили же уже про неуловимого Джо.
>Говорили же уже про неуловимого Джо Видимо вы не поняли. При чем тут неуловимый Джо? Тут **специально** организовывали конкурс. Надо было **своим методом** взломать висту, мак и убунту. Тут распространение ОС никакой роли не играет **абсолютно**.
LinuXоid написал: ИМХО важнее степень критичности уязвимостей.
Ну, дык, в этой же новости прямо сказано, что критичность уязвимостей г№внолинакса занижена.
skyfire написал: >Отчет IBM показывает, что OS X и Linux содержат больше уязвимостей, чем Windows Зато хакеры взломали висту раньше чем мак, а линукс (убунту нашу нелюбимую) не взломали вообще Это такой известный и боянный случай, что пруфлинки даже не требуются.
А накуя её взламывать? 8-[] Она и так БЕСПЛАТНАЯ!!! И, главное, никому не нужная.
skyfire написал: Видимо вы не поняли. При чем тут неуловимый Джо? Тут **специально** организовывали конкурс. Надо было **своим методом** взломать висту, мак и убунту. Тут распространение ОС никакой роли не играет **абсолютно**.
Нет, это Вы (по правилам русского языка личное обращение "Вы" пишется с большой буквы) не поняли. Никому нах.й не надо писать вирусы под ось, которая стоит максимум на 0,5% настольных компьютеров. Из этого невозможно извлечь никакой финансовой или даже моральной выгоды. Про такой вирус никто даже не узнает, не говоря уже об эпидемии.
skyfire написал: Зато хакеры взломали висту раньше чем мак, а линукс (убунту нашу нелюбимую) не взломали вообще Это такой известный и боянный случай, что пруфлинки даже не требуются.
Так первым насколько я помню слился мак, а виста была второй
>Так первым насколько я помню слился мак, а виста была второй А, да, точно, подзабыл я.
>Никому нах.й не надо писать вирусы под ось, которая стоит максимум на 0,5% настольных компьютеров. Повторю: это был КОНКУРС! Там пох.й на распространенность. >А накуя её взламывать? 8-[] Она и так БЕСПЛАТНАЯ!!! И, главное, никому не нужная. Конкурс, конкурс, епт!!! А ведь за взлом там деньги платили.
skyfire написал: Повторю: это был КОНКУРС! Там пох.й на распространенность.
И взломали висту не помню через чё, а мак через флэш помоему, т.е. через уязвимости стороннего приложения.И всё это в тестовых режимах, винда наверное под админской учёткой или я не прав?
skyfire написал: А ведь за взлом там деньги платили.
Значит, если будет коммерческая выгода - и трояны напишут для г№внолинакса, и вирусы. И будет сообщество дрожащими руками писать "свободные" антивирусы и латать "некритические" уязвимости, которые на деле окажутся весьма критическими.
vpupken, ой, ты наверное не понимаешь сути дела:) без разницы закрытое или открытое ПО. Везде есть баги и только потому, что есть конкуренция, которая наталкивает на то, чтобы продукт быстрее вышел , а не на его секьюрность. Ни один проект не будет прибыльным, если его разрабатывать с точки зрения секьюрности. Кстати в опенсорсе не факт что поделка выходит более секьюрная, потому что людей, которые будут ковыряться нахаляву в коде практически в этом мире нет
MOP3E написал: А накуя её взламывать? 8-[] Она и так БЕСПЛАТНАЯ!!! И, главное, никому не нужная.
На ней сервера стоят. И на них храниться не домашнее п#рно, а очень даже ценные данные (например, электронные деньги). Так что очень нужная.
Rasbuboynik написал: Кстати в опенсорсе не факт что поделка выходит более секьюрная, потому что людей, которые будут ковыряться нахаляву в коде практически в этом мире нет
Так никто и не ковыряется "на халяву". Многие ковыряются за деньги, которые они получают за техподдержку. Другие ковыряются за зарплату сисадмина, т.к. не хотят чтобы их систему кто-нибудь взломал. Есть и другие причины ковыряния.
пару дней назад еще подкинули: http://securityvulns.ru/news/Linux/kernel/0905.html Многочисленные уязвимости в ядре Linux тип - удаленная, опасность - 7/10
Многочисленные DoS условия, повышения привилегий, утечка информации, повреждения памяти.
и это объяснимо: http://www.interface.ru/home.asp?artId=19139 --- Количество пользователей Linux за прошедшие несколько лет быстро выросло, при этом наблюдался активный переход ОС с периферии корпоративной ИТ-инфраструктуры - обработки веб-запросов - к самому ее сердцу - обслуживанию бизнес-приложений для широкого круга конечных пользователей. Однако аналитики из агентства IDC считают, что время быстрого и победоносного продвижения Linux осталось в прошлом.
Несмотря на то что эта ОС унаследовала многие достоинства системы Unix, виртуализация серверов в соединении с жесткой конкуренцией со стороны возродившихся соперников в лице Unix и Microsoft Windows Server, вероятно, застопорит процесс продвижения Linux. Дело в том, что ее внедрение связано с большими сложностями, включая разработку драйверов, пробуксовывающую из-за нежелания некоторых производителей периферийных устройств раскрывать информацию о тех моментах, в которых они при выпуске своих устройств на рынок отошли от характеристик, излагаемых в технической документации.
Более того, многие пользователи Linux не берут на себя труд сообщать об ошибках, обнаруженных ими при работе с этой ОС - одни из-за лени, другие - из-за того, что не считают это важным. Рассылка сообщений об ошибках является одним из главных приоритетов разработчиков ядра ОС, которые мало что могут сделать в поиске и устранении проблем без помощи широкого Linux-сообщества. ---
Вы кажется не понимаете, что найденые уязывимости линукс = закрытые уязвимости. А вот в виндоус их еще найти нужно, а в это время кто-нибудь их может использовать по несколько лет..
>> все. ни как оно выглядит, ни как работает, ни ссылки на сайт проекта, ни обзора. почти ничего нет. больше всего не хватает обзора. ссылок
>Я конечно может не настолько продвинутый виндузятник, но где же в винде можно найти полное описание фотошопа со ссылками на сайт производителя?
>И кстати, хоть в репозиториях и много попадается х№ровых прог, но при этом репозиторий Gentoo меньше, чем голая Седьмая Доза, что в ней может 16 гигов весить никогда не задумывался. Наверное уж не паинт с медиаплейером :-)
так нет разницы. в этом.
ссылка на проект хорошо. иногда написано супер. ставишь - шрефты. оформление. где мои глаза?
#1.anonimus