SXC - daniel447

Alvorligt Linux-sikkerhedshul misbruges

- , indsendt af arne_v

Et ni år gammelt sikkerhedshul i Linux kernel giver uønskede brugere fri root-adgang. Hullet findes ved næsten alle udgaver af Linux OS, og sikkerhedseksperter råder brugere til at installere en sikkerhedsopdatering, der sætter en stopper for den uønskede adgang.

Den forholdsvis gamle bug er katalogiseret under ‘CVE-2016-5195’ og åbner for hackeres privilegier mere end at give mulighed for at ekstekvere kode. Alligevel skal det tages seriøst. Man vil f.eks. kunne skaffe sig adgang til ét webhotel og derfra angribe andre sites, der ligger hos samme udbyder. Et andet aspekt er kombinationen af dette sikkerhedshul sammen med udnytelse af andre bugs – f.eks. SQL-injection, hvor man med kombinationen kan gøre større skade på websites.

Senior researcher hos Azimuth Security, Dan Rosenberg, udtaler til Ars Technica:

‘It’s probably the most serious Linux local privilege escalation ever… The nature of the vulnerability lends itself to extremely reliable exploitation. This vulnerability has been present for nine years, which is an extremely long period of time.’

I sidste uge blev der udsendt et patch, der fjerner den underliggende bug. Sikkerhedseksperter har noteret misbrug af CVE-2016-5195 i den seneste tid.





Gå til bund
Gravatar #1 - Skak2000
25. okt. 2016 08:12
Open Source -> Sikkerhedehuller bliver hurtigt lukket...
Gravatar #2 - gramps2
25. okt. 2016 09:20
#1
De bliver hurtigt lukket, men det kan tage lang tid at finde dem. Se bare på Heartbleed og Shellshock, og nu CVE-2016-5195.

I bund og grund sidder meget få udviklere med meget store projekter. Der er ikke arbejdskraft nok til at tjekke alting efter på et professionelt niveau.
Gravatar #3 - lsv20
25. okt. 2016 14:40
#2 - Det er nu ikke kun opensource projekter der har det sådan - Tror det er det hele - Men dog så er der nogle projekter som har råd til at sætte en hær af folk på en enkelt brist når det så først er fundet.
Gravatar #4 - Claus Jørgensen
26. okt. 2016 01:29
gramps2 (2) skrev:
I bund og grund sidder meget få udviklere med meget store projekter. Der er ikke arbejdskraft nok til at tjekke alting efter på et professionelt niveau.
Selv på et professionelt niveau sker den her slags fejl.

Mange af de seneste fejl har været i meget gammel kode. Der er kommet en del værktøjer til over de sidste 20 år til at hjælpe mod denne her slags problemer.
Gravatar #5 - gramps2
26. okt. 2016 06:44
Claus Jørgensen (4) skrev:
Mange af de seneste fejl har været i meget gammel kode.


Legacy er altid et problem. Men KISS og "if it ain't broke don't fix it" gør, at fungerende kode sjældent kigges efter. Og med open source regner alle med at de andre kigger efter.

Vi kan også kigge på NTP, som var ved at gå under:
"http://www.zdnet.com/article/saving-time-the-funding-of-ntp/" skrev:
While the stratum devices belong to government agencies and corporations, NTP itself is a free project. It has only one manager, Harlan Stenn, and, until recently, he was running NTP on a shoestring from his home.

Sam Ramji, CEO of the Cloud Foundry Foundation, who calls Stenn "Father Time," said Stenn was just "scraping by" as his voluntary NTP work took up more and more of his time. Stenn was finally coming to the end of his rope and was considering giving up NTP.
Gravatar #6 - CBM
26. okt. 2016 15:09
#5: som udvikler ligger det til ens natur at være doven. Hence de 2 ordsprog :-)
Gravatar #7 - Claus Jørgensen
26. okt. 2016 18:26
#5

Interessant. Men umiddelbart har Google/Microsoft jo deres egne implementationer af NTP, hvilket måske er hvorfor de ikke aktivt bidrager til Linux udgaven.

Danmark's kære Poul-Henning Kamp har også lavet sin egen udgave http://phk.freebsd.dk/time/20140926.html

And I quote:
phk skrev:
I spent a couple of months going through a lot of the source code, and there is a lot of it: 100 KLOC, looking for bad news, and fortunately I only found a few minor nits, worrying, but not advisory material.

100.000 lines of code is insane for a program which basically steers your clock to some remote server, it can be done in 1000 lines if you really squeeze it.

At the end of my review, I concluded that trying to slim down the current monster would be a lot more work and effort than simply starting from scratch.
Gravatar #8 - arne_v
26. okt. 2016 23:53
Claus Jørgensen (7) skrev:
Interessant. Men umiddelbart har Google/Microsoft jo deres egne implementationer af NTP, hvilket måske er hvorfor de ikke aktivt bidrager til Linux udgaven.


Nu snakkes der ikke om "Linux udgaven", men om "Reference Implementation" som er tilgængelig på Linux, kommercielle Unix, open source *BSD Unix, MacOS X og sågar Windows.

Windows kommer med funktionaliteten indbygget, men dens præcision er ikke så god som den rigtige ntpd.

Gravatar #9 - arne_v
27. okt. 2016 00:01
gramps2 (5) skrev:
Legacy er altid et problem. Men KISS og "if it ain't broke don't fix it" gør, at fungerende kode sjældent kigges efter.


Der er ikke noget galt med KISS i den her sammenhæng.

Jeg vil faktisk hævde at KISS forbedrer chancen for at koden kigges igennem.

Der er folk som er villige til at kigge noget simpelt let-gennemskueligt kode igennem.

Der er ikke mange som orker og har evner til at kigge noget super-komplekst kode med masser af obsolete features, kode nødvendigt for mange år siden p.g.a. dårlige libs etc..

flere linier kode => færre som læser koden => dårligere sikkerhed

gramps2 (5) skrev:
Og med open source regner alle med at de andre kigger efter.


Ja.

Og på mange måder har open source sejret sig selv i problemer. Open source er blevet helt accepteret i big business. Men mange af de nytilkomne tænker "hvad kan vi spare ved at bruge open source" ikke "hvad kan vi bidrage med til open source verdenen". Sådan groft sagt er det blevet 4 gange så mange ydere, 16 gange så meget kode og 64 gange så mange nydere. Når ydere/kode ratioen falder så bliver der checket mindre.
Gravatar #10 - arne_v
27. okt. 2016 00:04
Claus Jørgensen (4) skrev:
Selv på et professionelt niveau sker den her slags fejl.


Absolut.

Der er ikke rigtig grund til at tro at processerne for open source of closed source skulle være så forskellige.
Gravatar #11 - gramps2
27. okt. 2016 17:33
arne_v (9) skrev:
Der er ikke noget galt med KISS i den her sammenhæng.


KISS skal her forståes som at det er simpelt at stole på de andre/regne med at det nok skal fikses af andre. Ikke at koden i sig selv er simpel.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login