Место для Вашей рекламы всего за 400 рублей в месяц ! email:incognito.anonimous@yandex.ru

Спонсор проекта
Лучший вариант для анонимности купить прокси на выделенном сервере IPANN.NET.
Ads



Последние комментарии
#1
Александр пишет: » Про себя расскажу, купил первый свой дистрибутив L... (13.02.2020)
// Переход с Windows на Linux - ГЛУПОСТЬ
#2
admin пишет: » Александр, я перепробовал немало конвертеров под л... (02.02.2020)
// 28 причин почему GNU/Linux не имеет будущего
#3
Александр пишет: » Всё верно, к примеру мне не хватает конвертера ауд... (01.02.2020)
// 28 причин почему GNU/Linux не имеет будущего
#4
admin пишет: » Ну и где это ваше будущее ? Уже прошёл четвёртый г... (29.01.2020)
// 28 причин почему GNU/Linux не имеет будущего
#5
admin пишет: » иван, аргументы давай (28.01.2020)
// 28 причин почему GNU/Linux не имеет будущего
#6
watersoda пишет: » А с другой стороны, какой смысл в МСВС 5.0, когда ... (12.11.2017)
// Обзор и попытка установки МСВС 5.0
#7
X_perienced пишет: » А какое именно оборудование там подерживается - го... (25.08.2017)
// Обзор и попытка установки МСВС 5.0
#8
Linups_Troolvalds пишет: » Хватит писать бред. МСВС (возможно) не работает на... (24.07.2017)
// Обзор и попытка установки МСВС 5.0
#9
watersoda пишет: » Да и RHEL под "Эльбрус" не помешал бы... (19.03.2017)
// Обзор и попытка установки МСВС 5.0
#10
watersoda пишет: » Небольшая поправка: ... через соответствующий паке... (19.03.2017)
// Обзор и попытка установки МСВС 5.0
Quotes
Win32x: TCP/IP : Connecting people...

Список уязвимостей в Linux за Апрель | автор: nesk | 30 апреля 2009

Категория: GNU/Linux


Краткий список уязвимостей в линукс, обнаруженных за Апрель 2009 года

29.04.2009 Выполнение произвольного кода в Linux Kernel (Эксплоит: есть)
29.04.2009 Множественные уязвимости в ядре Linux
21.04.2009 Повышение привилегий в Linux Kernel (Эксплоит: есть)
13.04.2009 Обход ограничений в ядре Linux
13.04.2009 Несколько уязвимостей в ядре Linux
09.04.2009 Повышение привилегий в Linux Kernel (Эксплоит: есть)

29.04.2009 Выполнение произвольного кода в Linux Kernel (Эксплоит: есть)

Цитата:
Linux Kernel 2.6.x

Уязвимость позволяет удаленному злоумышленнику выполнить произвольный код на целевой системе. Уязвимость существует из-за ошибки в проверке входных данных при обработке пакетов с использованием SCTP протокола. Атакующий может передать специально сформированные пакеты, что приведет к выполнению произвольного кода.

Эксплоит: http://www.xakep.ru/post/48036/linux-Kernel-SCTP-FWD-Memory-COrruption-Remote-Exploit.txt

29.04.2009 Множественные уязвимости в ядре Linux
Цитата:
Linux kernel версии до 2.6.29.1

Обнаруженные уязвимости позволяют локальному пользователю произвести DoS атаку.

1. Уязвимость существует из-за ошибки в функции "udp_get_next()" в файле net/ipv4/udp.c при попытке разблокировать еще не заблокированный spinlock. Злоумышленник может прочитать 0 байт с "/proc/net/udp/" и аварийно завершить работу системы.

2. Уязвимость существует из-за недостаточного ограничения доступа к регистру EFER в функции "vmx_set_msr()" в файле arch/x86/kvm/vmx.c. Локальный пользователь может вызвать отказ в обслуживании системы.

3. Уязвимость существует из-за ошибки разыменования нулевого указателя в функции "__inet6_check_established()" в файле net/ipv6/inet6_hashtables.c. Локальный пользователь может аварийно завершить работу системы.
21.04.2009 Повышение привилегий в Linux Kernel (Эксплоит: есть)

Цитата:
Linux Kernel 2.6

Уязвимость позволяет локальному злоумышленнику выполнить вредоносные действия с повышенными привилегиями на целевой системе. Уязвимость существует из-за ошибки в проверке входных данных в реализации UDEV. Атакующий может передать специально сформированные данные, что приведет к выполнению произвольного кода с повышенными привилегиями.
Эксплоит: http://www.xakep.ru/post/47939/linux-Kernel-Local-Privilege-Escalation-Exploit.txt
13.04.2009 Обход ограничений в ядре Linux
Цитата:
Linux kernel 2.4.x
Уязвимость позволяет удаленному пользователю обойти некоторые ограничения безопасности.
Способов устранения уязвимости не существует в настоящее время.
13.04.2009 Несколько уязвимостей в ядре Linux

Цитата:
Linux kernel версии до 2.6.27.21 и 2.6.28.9
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности и получить доступ к важным данным.

1. Уязвимость существует из-за ошибки во время сохранения заголовков eCryptfs. Злоумышленник может получить доступ к некоторым участкам памяти ядра.

2. Уязвимость существует из-за того, что nfsd некорректно сбрасывает "CAP_MKNOD" для непривилегированных пользователей. Удаленный пользователь может создать устройства на системе.

09.04.2009 Повышение привилегий в Linux Kernel (Эксплоит: есть)

Цитата:
Linux Kernel 2.6.29

Уязвимость позволяет локальному злоумышленнику выполнить вредоносные действия с повышенными привилегиями на целевой системе. Уязвимость существует из-за ошибки в проверке входных данных в функцции exit_notify(). Атакующий может передать специально сформированные данные, что приведет к выполнению произвольного кода с повышенными привилегиями.

Эксплоит: http://www.xakep.ru/post/47784/linux-Kernel-Local-Privilege-Escalation-Exploit.txt

Демонстрация степени преуменьшения опасности уязвимостей в Linux ядре

Цитата:
В начале апреля в Linux ядре без особой огласки была исправлена уязвимость в SCTP подсистеме, которая позднее была квалифицирована в отчетах безопасности Ubuntu и RedHat как потенциальная возможность удаленного совершения DoS атаки. Один из экспертов в области безопасности, возмущенный манерой сводить все ошибки, связанные с выходом за границы выделенной области памяти, к неопасным DoS уязвимостям, недолго думая написал работающий эксплоит для удаленного выполнения кода с привилегиями суперпользователя.

По мнению экспериментатора, ситуация является типичной и подобные эксплоиты можно при желании создать для большинства "DoS уязвимостей" ядра. Пользователи должны производить обновления даже при нахождении незначительных уязвимостей в ядре, так как скорее всего серьезность их сильно приуменьшена.

[url]http://www.opennet.ru/opennews/art.shtml?num=21561
[/url]

Уязвимости в GnuTLS, Drupal, Adobe Reader и libmodplug
Цитата:
* В библиотеке GnuTLS 2.6.6 исправлено 3 уязвимости: возможность выполнения кода в системе при обработке подготовленном злоумышленником DSA ключе; генерация менее надежных RSA ключей вместо ожидаемых DSA; утилита gnutls-cli позволяет использовать просроченные X.509 сертификаты;
* В Drupal 6.11 и 5.17 исправлено 6 уязвимостей: возможность подстановки jabascript кода на страницы и получения доступа к скрытой информации; ошибка в модуле Node Access User Reference позволяющая анонимным посетителям просматривать защищенный контент; возможность подстановки SQL кода через поле ключевых слов в новостном модуле News Page; возможность подстановки javascript через модуль Exif; подверженность Cross-Site Request Forgery атакам в модуле Fivestar;
* Сообщается о наличии в Adobe Reader, включая Linux сборку, нескольких неисправленных критических уязвимостей, которые могут привести к выполнению кода, при открытии подготовленных злоумышленниками PDF файлов; Наличие уязвимостей подтверждена разработчиками из компании Adobe;
* В библиотеке декодирования аудиофайлов в формате MOD libmodplug исправлена опасная уязвимость, дающая возможность выполнения кода при попытке обработки в библиотеке специально оформленных файлов.

источник

Голосов: 1645


Прочитано 5718 раз и оставлено 71 комментариев.

Комментарии посетителей

#1. anonimus

Если уж даёшь ссылки на уязвимости, то давай и ссылки на багтрекер. Или боишься, что только со старыми ядрами работать будет?
Кроме того, масса претензий к эксплойтам. Впрочем я этого и не ждал от такого "продвинутого" журнала как }{акер...

#2. nesk

nesk
anonimus написал:
Если уж даёшь ссылки на уязвимости, то давай и ссылки на багтрекер. Или боишься, что только со старыми ядрами работать будет?

Сами найдете, версии ядер к которым относятся дыры - указаны.

#3. gaal

в том году было:
http://news.gala.net/?cat=14&id=310371
Обнаружен первый вирус для Android

---
По словам исследователей, главная проблема в том, что операционная система Android основана на устаревших компонентах, и в ней обнаруживаются ошибки и уязвимости, которые уже давно обнаружены и устранены в других Linux-средах.
---

Linux тоже можно заразить вирем.

#4. ink

gaal написал:
Linux тоже можно заразить вирем.

Не поверишь, еще в конце восьмидесятых вирусы для Unix клепали на shell

#5. vpupken

Чем больше дыр найдено, тем больше их залатано. При открытой модели разработки отлавливанием и исправлением багов могут заниматься все кому хочется, а значит потенциальных разработчиков и активных тестеров заведомо больше чем при закрытой модели разработки, где доступ к коду имеет только маргинальная группка работающих за деньги специалистов. Из этого следует, что чем больше багов найдено - тем лучше.

#6. gaal

2 ink

верю. удивляет то, что существующие те, кто этому не верит %) (недавно антивирь рекламировали для андроида. возмущение не знало границ:D)

2 vpupken

>Чем больше дыр найдено, тем больше их залатано.

типо мантра O_o о-м-м-м-м. не правильнее ли их не делать? или хотя бы свести к минимуму?

#7. vpupken

gaal, не хотелось бы повторяться, но в открытом и закрытом программном обеспечении количество багов примерно ОДИНАКОВО. Просто в открытом по их находят быстрее и больше (исключительно из-за удачной модели разработки) и как следствие быстрее исправляют.

#8. gaal

2 vpupken

это зависит от культуры программирования и самого проекта. по мне плюс свободного ПО совсем не в этом.

предложение составлено было не корректно.

#9. .user

vpupken написал:
Чем больше дыр найдено, тем больше их залатано. При открытой модели разработки отлавливанием и исправлением багов могут заниматься все кому хочется, а значит потенциальных разработчиков и активных тестеров заведомо больше чем при закрытой модели разработки, где доступ к коду имеет только маргинальная группка работающих за деньги специалистов. Из этого следует, что чем больше багов найдено - тем лучше.

Анекдот с бородой, не смешно уже.

#10. vpupken

gaal написал:
это зависит от культуры программирования и самого проекта. по мне плюс свободного ПО совсем не в этом.

Культура программирования? Культура проекта? Хотелось бы спросить, сколько закрытых проектов Вы анализировали на предмет культуры? Вся беда стиля программирования под windows в том, что это программирование, удобное для конечных пользователей, а не для программистов. Именно по этому windows - ширпотреб, а *nix - рабочий инструмент профессионала.

gaal написал:
предложение составлено было не корректно.

Это Вы о чем сейчас?

#11. gaal

2 vpupken

и для демпинга конкурентов можно использовать. лицензия и не придерешься:)

#12. xix

13.04.2009 Обход ограничений в ядре Linux<br /><br />    Цитата:<br /><br />    Linux kernel 2.4.x 

Ахх№енно! А я думал сейчас ядро 2.4 уже нигде не найдешь. Так какой толк от уязвимости?

Вы бы еще динозавров вспомнили.

Не поверишь, еще в конце восьмидесятых вирусы для Unix клепали на shell 

Ага вот только вирусу надо дать права на запуск а потом еще и вручную запустить от рута. Вообще супер вирус! И имя у него крутое "Пользователь.Идиот.worm.unix"

Чем больше дыр найдено, тем больше их залатано.

Уже тысячу раз везде говорилось. Основное преимущество opensource(по безопасности) в том что в случае обнаружения глобальных дыр они будут залатаны и выложены патчи в течении нескольких часов а то и меньше!!! А сколько майкрософт латает одно и тоже? Да начиная с winXP всё латают и латают. Некоторым дырам уже несколько ЛЕТ!!! В место того чтобы залатать MS лепит антивирусы и зарабатывает на вашем критинизме.
Есть даже мнение что майкрософт использует баглист как сценарий для написания следующего своего продукта.

типо мантра O_o о-м-м-м-м. не правильнее ли их не делать? или хотя бы свести к минимуму? 

Сам то попробуй писать код и тестить его. Как не пиши где нить да ошибешься. А так люди оттестили нашли и залатали побыстрому. А в закрытых проектах. Оттестили нашли и забыли.

#13. nesk

nesk
xix написал:
А я думал сейчас ядро 2.4 уже нигде не найдешь.

Вы ошибались и ошибаетесь.

#14. anonimus

xix написал:
А я думал сейчас ядро 2.4 уже нигде не найдешь.
На старых машинах (от 486 до P2) только с таким ядром и пойдёт.
xix написал:
Так какой толк от уязвимости?
Заюзать эти самые машины ^_^
xix написал:
А сколько майкрософт латает одно и тоже?
Так они уже продали товар (ОС). А обновления - лишняя трата денег. Или как ты думаешь почему у ХР сменилось только 4 ядра за 7 лет?

#15. xix

anonimus написал:
Или как ты думаешь почему у ХР сменилось только 4 ядра за 7 лет?

А они менялись XDXDXDXDXD

#16. anonimus

xix, каждый сервис-пак был и обновлением ядра. Остальные обновления ядро не трогали.

#17. .user

xix написал:
Основное преимущество opensource(по безопасности) в том что в случае обнаружения глобальных дыр они будут залатаны и выложены патчи в течении нескольких часов а то и меньше!!

ЕвгенийВаганыч вам судья

#18. xix

Аааааа ну а толку то? Те же носки с теме же дырками только стираные

nesk написал:
Вы ошибались и ошибаетесь.

Балабольство не терплю!
жду четкие ссылки на свежую информацию об использовании ядра 2.4.х в больших масштабах. Комп в гараже дяди Бенса отключенный от внешнего мира не катит.

#19. vpupken

Чем код старше, тем стабильнее ибо больше вылизан. 2.4 соответственно стабильнее, по этому его чаще юзают на серверах. Вы что с дуба рухнули в 2.6 есть и 486 и P2:
386
486
586/K5/5x86/6x86/6x86MX
Pentium-Classic
Pentium-MMX
Pentium-Pro
Pentium-II/Celeron(pre-Coppermine)
Pentium-III/Celeron(Coppermine)/Pentium-III Xeon
Pentium M
Pentium-4/Celeron(P4-based)/Pentium-4 M/older Xeon
K6/K6-II/K6-III
Athlon/Duron/K7
Opteron/Athlon64/Hammer/K8
Crusoe
Efficeon
Winchip-C6
Winchip-2/Winchip-2A/Winchip-3
GeodeGX1
Geode GX/LX
CyrixIII/VIA-C3
VIA C3-2 (Nehemiah)
VIA C7
Core 2/newer Xeon

#20. skyfire

Как всегда. Прозреваю группу недовольных людей, которые сами ничего сделать не могут. А давайте-ка вы, недовольные, пойдете и залатаете? Код-то открытый! Ой, не можете? Так чего возмущаетесь? А тот который сказал "не проще ли не делать ошибок" - к Петросяну в студию. Раз это так просто, напиши мне что-нибудь длиной в 10 миллионов строк без единой дыры.

#21. aries

anonimus,

xix написал:
А я думал сейчас ядро 2.4 уже нигде не найдешь.
На старых машинах (от 486 до P2) только с таким ядром и пойдёт.


Не забудем учесть, что именно такая конфигурация мини-серверов в почете у красноглазиков-нищебродов, с чем я их и поздравляю :) Что бы не задрачивали с пруфлинком посылаю недовольных на сайт http://counter.li.org/ - там вся статистика как на ладони :)
На 100% моих серверов 2.6.18. Впрочем, по той статистике тоже непл.хо:
2.4 360 8.5%
2.6 3800 90.2%

#23. xix

aries,
сам всосал и не подавился
2.4 360 8.5%
2.6 3805 90.2%
из 4-х с лишним тысяч проголосовавших только 360 используют 2.4.х ядра
Да еще не известно когда они проголосовали. Может лет 5 назад.
Так что эта ошибка... (даже дырой назвать сложно). Не подорвет всемирную сеть.

#24. gaux

2 skyfire

ошибка на переполнение буфера банальна:)

#25. skyfire

Цитата:
ошибка на переполнение буфера банальна:)

Так исправь! Писец, stupid troll is so stupid...

#26. LinuXоid

xix написал:
А я думал сейчас ядро 2.4 уже нигде не найдешь

Что, не слышали про роутеры на базе Linux?

#27. gaux

2 skyfire

хе. с больной головы на здоровую? O_o так не я же не проверяю параметры в прогах:P

#28. skyfire

Цитата:
хе. с больной головы на здоровую? O_o так не я же не проверяю параметры в прогах:P

Понятно. Еще один, говорящий "ой, у вас все хр№ново сделали и все г№вно", а как до дела доходит, так сам ничего сделать не может.

#29. gaux

2 skyfire

где это у вас и у нас? O_o

#30. skyfire

Цитата:
где это у вас и у нас? O_o

Так, ладно, рз тему разговора не помните, то и не надоbiggrin

#31. gaux

для меня все эти ОС п№ндосские. что линукс, что виндовз, что бзд. нет между ними разницы. и первые, и вторые, и третьи могут катитаться обратно в свою пендоссию.

РОС нужна, а из инициативы на базе линукса ничего не выйдет. точнее уже не выходит.

лучше бы детям помогали, а не х..й маялись на сайте:
http://sakina.multicontent.ru/

#32. nesk

nesk
gaux написал:

РОС нужна, а из инициативы на базе линукса ничего не выйдет. точнее уже не выходит.

угу. список таких ОС можно найти тут
http://linuxforum.ru/index.php?showtopic=43509

#33. xix

LinuXоid написал:
Что, не слышали про роутеры на базе Linux?

Слышали а еще слышали что туда что угодно портируют и не только 2.4
http://www.emdebian.org/

#34. nesk

nesk
Демонстрация степени преуменьшения опасности уязвимостей в Linux ядре
Цитата:
В начале апреля в Linux ядре без особой огласки была исправлена уязвимость в SCTP подсистеме, которая позднее была квалифицирована в отчетах безопасности Ubuntu и RedHat как потенциальная возможность удаленного совершения DoS атаки. Один из экспертов в области безопасности, возмущенный манерой сводить все ошибки, связанные с выходом за границы выделенной области памяти, к неопасным DoS уязвимостям, недолго думая написал работающий эксплоит для удаленного выполнения кода с привилегиями суперпользователя.

По мнению экспериментатора, ситуация является типичной и подобные эксплоиты можно при желании создать для большинства "DoS уязвимостей" ядра. Пользователи должны производить обновления даже при нахождении незначительных уязвимостей в ядре, так как скорее всего серьезность их сильно приуменьшена.
http://www.opennet.ru/opennews/art.shtml?num=21561

Вот так то!
Линуксойды - маленькие врунишки :)

#35. skyfire

nesk, остается вопрос: КОМУ ЭТО НАДО? Кто-то взламывает линуксы каждый день, как это в винде?
Алсо, опять обобщение: "Демонстрация степени преуменьшения опасности уязвимостей в Linux ядре"
из твоей же цитаты: "подобные эксплоиты можно при желании создать для большинства "DoS уязвимостей" ядра"
А сколько этих уязывимостей (возможно что 2-3), конечно ниипет, да?

#36. nesk

nesk
skyfire, Знать правду о линуксе, о реальном положение дел с уязвимостями, с их реальной опасностью, очень важно для тех кто решается ставить линукс сервера в продакшен.
А то, что линуксойды скрывают реальную опасность уязвимостей, это очень пл.хой знак.

xix написал:
Балабольство не терплю!
жду четкие ссылки на свежую информацию об использовании ядра 2.4.х в больших масштабах

Обнародована статистика использования устаревшего Linux-ядра 2.4

Цитата:
Уилли Тэрро (Willy Tarreau), занимающийся поддержкой ветки 2.4 ядра Linux, провел в почтовой рассылке опрос, посвященный тому, как сейчас используется Linux 2.4. Собрав информацию от пользователей, он подготовил небольшой статистический отчет на основе этих данных.
Около половины пользователей Linux-ядра 2.4 применяют его на серверах общего назначения и регулярно обновляют. Основные причины такого использования — слабый интерес к новым возможностям (появившимся в 2.6) и недостаток времени, а в некоторых случаях — неудачная попытка перехода на 2.6 на ранних этапах. 20% пользователей работают с Linux 2.4 на серверах со специфичными приложениями, где важнейшим фактором является надежность.
Еще у 10% пользователей Linux-ядро 2.4 запущено на старых роутерах, брандмауэрах, системах обнаружения атак (IDS), которые функционируют по несколько лет. Другие 10% пользователей применяют устаревшее Linux-ядро во встраиваемых системах, где определяющим фактором является стабильность, а используемая сборка может быть достаточно специфичной.
Около 5% применений Linux 2.4 приходится на старые лаптопы, КПК и тонкие клиенты, которые уже не нуждаются в обновлениях. И последние 5% — на десктопы и, например, станции мониторинга, которые не обновляются, потому что «просто работают».

#37. skyfire

nesk, а то что виндузятники их переоценивают, это еще хуже. А уж что обобщают все - это вообще... Написано же про DoS. Почему в заголовке про уязвимости вообще? Ай-яй-яй.

#38. nesk

nesk
skyfire написал:
nesk, а то что виндузятники их переоценивают, это еще хуже.

Переоценивают?
Знаешь, три рабочих эксплоита за месяц - это жесть, я такого в линукс даже и не припомню.
И это в то время, когда линуксойды на каждом углу кричат, что линукс самая безопасная и надежная ОС.
А оно на самом деле: решето!

#39. skyfire

>Знаешь, три рабочих эксплоита за месяц - это жесть, я такого в линукс даже и не припомню.
Зато под винду найти легко. Их обычно 10-15.

#40. nesk

nesk
skyfire написал:
Зато под винду найти легко. Их обычно 10-15.

Как ты там говоришь? Пруфлинк?
давай: эксплоиды к дыркам ядра винды за апрель 2009 года.

#41. .user

skyfire написал:
nesk, остается вопрос: КОМУ ЭТО НАДО? Кто-то взламывает линуксы каждый день, как это в винде?

Вот уже дураковатый линуксоид нашёптывает по секрету, "ну и что из того что линукс это решето, он же ни кому не нужен, никто его и взламывать то не будет".Спасибо что объяснили нам сами на чём основывается безопасность линукса.Да и так все про это знали, просто приятно было видеть как ты сам слился.

#42. MOP3E

skyfire написал:
Как всегда. Прозреваю группу недовольных людей, которые сами ничего сделать не могут. А давайте-ка вы, недовольные, пойдете и залатаете? Код-то открытый! Ой, не можете? Так чего возмущаетесь? А тот который сказал "не проще ли не делать ошибок" - к Петросяну в студию. Раз это так просто, напиши мне что-нибудь длиной в 10 миллионов строк без единой дыры.

Я вот недоволен тем, что мне впаривают г№вно под видом самой надёжной и самой безопасной операционной системы. ПИЗДУЙ САМ И ЛАТАЙ НЕМЕДЛЕННО!!! Урод малолетний. Я не собираюсь участвовать в разработке операционной системы. Это не мой профиль, я не этим на жизнь зарабатываю. У меня нет времени на всякую х.йню типа поиска дыр и их исправленгия. Я РАБОТАЮ на компьютере, а не х.йнёй страдаю. И меня мой шеф ебёт за сделанные мной ошибки. И не понимаю, почему я должен прервать свою работу и пойти помогать разработчикам исправлять их, этих разработчиков, ошибки. ПОЧЕМУ ИХ НИКТО ЕЩЁ ЗА ЭТИ ОШИБКИ НЕ ВЫЕБАЛ?

#43. skyfire

>Спасибо что объяснили нам сами на чём основывается безопасность линукса
Да не за что. Специально для тех кто в танке - в википедии даже статься есть, secutiry through minority.

MOP3E, оу, какой сочный баттх№рт! Виндузятник на грани нервного срыва от одного словосочетаия "подправь код", надо отскринить.
НЕ НРАВИТСЯ - НЕ ИСПРАВЛЯЙ! ТОЛЬКО НЕ ВОЗМУЩАЙСЯ! САМ НИХУЯ НЕ МОЖЕШЬ И НЕ ЗНАЕШЬ А ДРУГИХ БЛЯ УЧИШЬ!

>давай: эксплоиды к дыркам ядра винды за апрель 2009 года.
http://www.milw0rm.com/platforms/windows
вручную даже посчитал - 23 за апрель
а у вас тут в списочке 3 под линукс?
И чтоб не думали что я укрываю факты: тот же сайт, эксплоиты за апрель под линукс. 4 штуки. http://www.milw0rm.com/platforms/linux

#44. MOP3E

skyfire написал:
НЕ НРАВИТСЯ - НЕ ИСПРАВЛЯЙ! ТОЛЬКО НЕ ВОЗМУЩАЙСЯ! САМ НИХУЯ НЕ МОЖЕШЬ И НЕ ЗНАЕШЬ А ДРУГИХ БЛЯ УЧИШЬ!

Это вы меня тут учите, что раз есть какие-то дыры, то я должен пойти их и поправить самостоятельно. Я, б..дь, никого не агитирую идти и исправлять дыры в винде. У меня вместо этого стоит бесплатный антивирус, который прекрасно с этими дырами справляется.

#45. skyfire

>У меня вместо этого стоит бесплатный антивирус, который прекрасно с этими дырами справляется
Што, правда? А если проверить другим антивирусом? 100% защита невозможна.

Переношу сюда из другой новости извинения: ссылки неправильные дал, щас тут разберусь где у них что на сайте

#46. MOP3E

skyfire написал:
Што, правда? А если проверить другим антивирусом? 100% защита невозможна.

Зато в г№внолинаксе ВИРУСОВ НЕТ. Дыры есть, эксплойты есть, а вирусов - нет. ОХУЕТЬ, ДАЙТЕ ДВЕ!

#47. nesk

nesk
skyfire написал:
http://www.milw0rm.com/platforms/windows
вручную даже посчитал - 23 за апрель

Ты идиот? Я просил к ядру системы, а не к софту который под этой системой может работать.
Внимательно посмотрите список по ссылке. Там вообще к винде эксплоиты есть? Или только к "левому" софту?

#48. skyfire

Короче, далеко от M$ ходить не будем. http://www.microsoft.com/technet/security/bulletin/MS09-Apr.mspx
Щелкаем Exploitability Index и любуемся.

#49. nesk

nesk
skyfire написал:
Щелкаем Exploitability Index и любуемся.

Это список уязвимостей, которые потенциально можно эксплуатировать.
Тут микрософт в отличие от линуксытников ничего не от кого не скрывает, под "некритичным DDoS", а все называют своими словами.
К ним есть готовые эксплоиты? Давайте ссылки на код.
И еще, вы список смотрели? Там про все продукты, и про офис и даже про вродпад.

#50. MOP3E

skyfire написал:
Короче, далеко от M$ ходить не будем. http://www.microsoft.com/technet/security/bulletin/MS09-Apr.mspx
Щелкаем Exploitability Index и любуемся.

А я и не хожу. Я поставил антивирус. И не ору на всех форумах, что для винды антивирус не нужен. Видимо, всё-таки правы те, кто говорит, что только малая распространённость г№внолинакса избавляет его от излишнего внимания вирусописателей.
"Кто там в кустах шуршит?"
"Это - Неуловимый Джо."
"И что - его действительно никто не может поймать?"
"Да он нах№р никому не нужен!"

#51. skyfire

>И еще, вы список смотрели? Там про все продукты, и про офис и даже про вродпад.
Только не заливай мне, что там, как в линуксе, модульная структура. Там все взаимосвязано.

>Ты идиот? Я просил к ядру системы, а не к софту который под этой системой может работать
Я вроде как в двух новостях извинился. Читать разучились?

>К ним есть готовые эксплоиты? Давайте ссылки на код
Майкрософт не доверяете? Там же есть четко: This vulnerability is currently being exploited in the Internet ecosystem и Exploit code has been made public например.

#52. LinuXоid

skyfire написал:
Майкрософт не доверяете? Там же есть четко: This vulnerability is currently being exploited in the Internet ecosystem и Exploit code has been made public например.

Так извините, апдейты выпущены. Хотя человеческая тупость поражает (я про ботнет на конфикере).

#53. nesk

nesk
skyfire написал:
Только не заливай мне, что там, как в линуксе, модульная структура. Там все взаимосвязано.

Связано то связано, но ихнего офиса у меня нет, IE я не использую.
Опять же если мы сейчас начнем искать дыры во всех программах, которые могут глючить под линуксом.
Да что мы тут спорим? Есть люди которые занимаются подобными исследованиями.
Отчет IBM показывает, что OS X и Linux содержат больше уязвимостей, чем Windows http://www.thevista.ru/page.php?id=10828
Аналитикам IBM уж точно видней, они ведь даже оказывают поддержку линуксу ;) .

#54. LinuXоid

nesk написал:
Отчет IBM показывает, что OS X и Linux содержат больше уязвимостей, чем Windows http://www.thevista.ru/page.php?id=10828

ИМХО важнее степень критичности уязвимостей.
skyfire написал:
Только не заливай мне, что там, как в линуксе, модульная структура. Там все взаимосвязано.

А ничего, что я могу не пользоваться ие и тем же офисом?

#55. skyfire

>Отчет IBM показывает, что OS X и Linux содержат больше уязвимостей, чем Windows
Зато хакеры взломали висту раньше чем мак, а линукс (убунту нашу нелюбимую) не взломали вообще
Это такой известный и боянный случай, что пруфлинки даже не требуются.

Из той статьи:
>Как видно из таблицы, наиболее безопасной является собственная разработка компании IBM
Дальше не читал, вкладку закрыл. Могли бы что-нибудь более объективное привести.

#56. LinuXоid

skyfire написал:
Зато хакеры взломали висту раньше чем мак, а линукс (убунту нашу нелюбимую) не взломали вообще
Это такой известный и боянный случай, что пруфлинки даже не требуются.

Ну и что? Дыры есть везде, придет время - сломают и убунту. Говорили же уже про неуловимого Джо.

#57. skyfire

>Говорили же уже про неуловимого Джо
Видимо вы не поняли. При чем тут неуловимый Джо? Тут **специально** организовывали конкурс. Надо было **своим методом** взломать висту, мак и убунту. Тут распространение ОС никакой роли не играет **абсолютно**.

#58. MOP3E

LinuXоid написал:
ИМХО важнее степень критичности уязвимостей.

Ну, дык, в этой же новости прямо сказано, что критичность уязвимостей г№внолинакса занижена.

skyfire написал:
>Отчет IBM показывает, что OS X и Linux содержат больше уязвимостей, чем Windows
Зато хакеры взломали висту раньше чем мак, а линукс (убунту нашу нелюбимую) не взломали вообще
Это такой известный и боянный случай, что пруфлинки даже не требуются.

А накуя её взламывать? 8-[] Она и так БЕСПЛАТНАЯ!!! И, главное, никому не нужная.

skyfire написал:
Видимо вы не поняли. При чем тут неуловимый Джо? Тут **специально** организовывали конкурс. Надо было **своим методом** взломать висту, мак и убунту. Тут распространение ОС никакой роли не играет **абсолютно**.

Нет, это Вы (по правилам русского языка личное обращение "Вы" пишется с большой буквы) не поняли. Никому нах.й не надо писать вирусы под ось, которая стоит максимум на 0,5% настольных компьютеров. Из этого невозможно извлечь никакой финансовой или даже моральной выгоды. Про такой вирус никто даже не узнает, не говоря уже об эпидемии.

#59. .user

skyfire написал:
Зато хакеры взломали висту раньше чем мак, а линукс (убунту нашу нелюбимую) не взломали вообще
Это такой известный и боянный случай, что пруфлинки даже не требуются.

Так первым насколько я помню слился мак, а виста была второй

#60. nesk

nesk
MOP3E написал:
которая стоит максимум на 0,5% настольных компьютеров.

Не!не!не!
Не надо наводить поклёп!
Linux преодолел рубеж в 1% на рынке десктоп систем!
http://www.opennet.ru/opennews/art.shtml?num=21546
Вот так вот! Поздравим наших оппонентов!

#61. skyfire

>Так первым насколько я помню слился мак, а виста была второй
А, да, точно, подзабыл я.

>Никому нах.й не надо писать вирусы под ось, которая стоит максимум на 0,5% настольных компьютеров.
Повторю: это был КОНКУРС! Там пох.й на распространенность.
>А накуя её взламывать? 8-[] Она и так БЕСПЛАТНАЯ!!! И, главное, никому не нужная.
Конкурс, конкурс, епт!!! А ведь за взлом там деньги платили.

#62. .user

skyfire написал:
Повторю: это был КОНКУРС! Там пох.й на распространенность.

И взломали висту не помню через чё, а мак через флэш помоему, т.е. через уязвимости стороннего приложения.И всё это в тестовых режимах, винда наверное под админской учёткой или я не прав?

#63. skyfire

Цитата:
винда наверное под админской учёткой или я не прав?

Вообще-то UAC вроде бы по умолчанию включен и всякие Program Files\ и Windows\ можно изменять только от имени Administrator.

#64. MOP3E

skyfire написал:
А ведь за взлом там деньги платили.

Значит, если будет коммерческая выгода - и трояны напишут для г№внолинакса, и вирусы. И будет сообщество дрожащими руками писать "свободные" антивирусы и латать "некритические" уязвимости, которые на деле окажутся весьма критическими.
vpupken, ой, ты наверное не понимаешь сути дела:)
без разницы закрытое или открытое ПО. Везде есть баги и только потому, что есть конкуренция, которая наталкивает на то, чтобы продукт быстрее вышел , а не на его секьюрность. Ни один проект не будет прибыльным, если его разрабатывать с точки зрения секьюрности. Кстати в опенсорсе не факт что поделка выходит более секьюрная, потому что людей, которые будут ковыряться нахаляву в коде практически в этом мире нет

#66. .user

Rasbuboynik написал:
потому что людей, которые будут ковыряться нахаляву в коде практически в этом мире нет

Во-во, реальность жыстока.

#67. anonimus

MOP3E написал:
А накуя её взламывать? 8-[] Она и так БЕСПЛАТНАЯ!!! И, главное, никому не нужная.
На ней сервера стоят. И на них храниться не домашнее п#рно, а очень даже ценные данные (например, электронные деньги). Так что очень нужная.
Rasbuboynik написал:
Кстати в опенсорсе не факт что поделка выходит более секьюрная, потому что людей, которые будут ковыряться нахаляву в коде практически в этом мире нет
Так никто и не ковыряется "на халяву". Многие ковыряются за деньги, которые они получают за техподдержку. Другие ковыряются за зарплату сисадмина, т.к. не хотят чтобы их систему кто-нибудь взломал. Есть и другие причины ковыряния.

#68. gaal

пару дней назад еще подкинули:
http://securityvulns.ru/news/Linux/kernel/0905.html
Многочисленные уязвимости в ядре Linux
тип - удаленная, опасность - 7/10

Многочисленные DoS условия, повышения привилегий, утечка информации, повреждения памяти.

и это объяснимо:
http://www.interface.ru/home.asp?artId=19139
---
Количество пользователей Linux за прошедшие несколько лет быстро выросло, при этом наблюдался активный переход ОС с периферии корпоративной ИТ-инфраструктуры - обработки веб-запросов - к самому ее сердцу - обслуживанию бизнес-приложений для широкого круга конечных пользователей. Однако аналитики из агентства IDC считают, что время быстрого и победоносного продвижения Linux осталось в прошлом.

Несмотря на то что эта ОС унаследовала многие достоинства системы Unix, виртуализация серверов в соединении с жесткой конкуренцией со стороны возродившихся соперников в лице Unix и Microsoft Windows Server, вероятно, застопорит процесс продвижения Linux. Дело в том, что ее внедрение связано с большими сложностями, включая разработку драйверов, пробуксовывающую из-за нежелания некоторых производителей периферийных устройств раскрывать информацию о тех моментах, в которых они при выпуске своих устройств на рынок отошли от характеристик, излагаемых в технической документации.

Более того, многие пользователи Linux не берут на себя труд сообщать об ошибках, обнаруженных ими при работе с этой ОС - одни из-за лени, другие - из-за того, что не считают это важным. Рассылка сообщений об ошибках является одним из главных приоритетов разработчиков ядра ОС, которые мало что могут сделать в поиске и устранении проблем без помощи широкого Linux-сообщества.
---

#69. Diver

Вы кажется не понимаете, что найденые уязывимости линукс = закрытые уязвимости.
А вот в виндоус их еще найти нужно, а в это время кто-нибудь их может использовать по несколько лет..

#70. prof_gcc

Ага класно Микрософт рулит, четам, я подожду пожалуй очередного вторника, а ктонить в это время пусть делает на моих серверах что хочет. Круто...

#71. gaal

2 prof_gcc

>Вообщето, хм

>> все. ни как оно выглядит, ни как работает, ни ссылки на сайт проекта, ни обзора. почти ничего нет. больше всего не хватает обзора. ссылок

>Я конечно может не настолько продвинутый виндузятник, но где же в винде можно найти полное описание фотошопа со ссылками на сайт производителя?

>И кстати, хоть в репозиториях и много попадается х№ровых прог, но при этом репозиторий Gentoo меньше, чем голая Седьмая Доза, что в ней может 16 гигов весить никогда не задумывался. Наверное уж не паинт с медиаплейером :-)

так нет разницы. в этом.

ссылка на проект хорошо. иногда написано супер. ставишь - шрефты. оформление. где мои глаза? cry

Добавление комментария:

Имя:
Пароль: (если зарегистрирован)
Email: (обязательно!)

теги форматирования

добавить смайлы
 

Правила комментирования >>