Vakavat Linux-aukot kursittiin kiinni, ohjelmointivirheitä löytyi silti lisää
Linuxin ytimestä löydetyt vakavat haavoittuvuudet on tuoreen analyysin valossa paikattu ytimen uusimmassa versiossa. Luotaus paljasti kuitenkin erinäisiä uusia koodausvirheitä.
Koodia analysoiva Coverity havaitsi kuusi kriittistä haavoittuvuutta Linuxin ytimen versiosta 2.6.9 viime joulukuussa. Heinäkuisen analyysin mukaan kyseisiä kämmejä ei enää löytynyt versiosta 2.6.12.
Uutispalvelu News.comin mukaan *Coverity havaitsi kuitenkin 1008 koodivikaa ytimen muista osista*. Virheet, jotka saattavat viitata tietoturva-aukkoihin, löytyivät pääasiassa ajureista.
Aiemmassa analyysissä virheitä löytyi hieman vähemmän, 985 kappaletta. Seurauksena uusimman ytimen kokonaisvirhetiheys (bugien määrä tuhatta koodiriviä kohden) laski maltillisesti 0,17 virheestä 0,16 virheeseen.
http://www.itviikko.fi/uutiset/uutisalue.asp?alue=paiva&UutisID=69239
PS: "Coverity havaitsi kuusi kriittistä haavoittuvuutta Linuxin ytimen versiosta 2.6.9 viime joulukuussa" ja "kyseisiä kämmejä ei enää löytynyt versiosta 2.6.12"
Katsomme koska ilmestyi versio 2.6.12: http://www.kernel.org/pub/linux/kernel/v2.6/
17-Jun-2005 !!!
Aukot löydettiin joulukuussa ja korjattiin vasta kesäkuussa. Eli yli puolivuotta kriittiset aukot oli tiedossa. Onko Microsoftille koskaan annettu puoli vuotta aikaa korjata aukot? Ei todellakaan. Tämä kertoo hyvin Linux hihhuleiden kaksinaamaisuudesta. Ja Linuxin koodista, joka on vielä surkeampi.
Linuxin kernelissä 6 kriittistä aukkoa
23
2070
Vastaukset
- se windowsin
käyttö teettää. Tuolla ohjeistuksessa sanotaan suoraan "Tekstin suora kopioiminen muista julkaisuista on kiellettyä.". Ja taas on joku windows-pelle kopioimassa suoraan. Ja sitten asiaan:
Virheet löytyvät pääasiassa ajureista. Tiesitkö, ettei linux käytä muita ajureita kuin sen tarvitsemat eli mahdolliset aukot kutistuvat käytettävässä järjestelmässä alle kymmeneen.
Tiedätkö montako aukkoa löytyy wintöötin koodista? Tiedätkö paljonko varastettua koodia on wintöötissä? Tiedätkö montako takaovea on wintöötissä? ET! Tiedätkö miksi? wintööt on trollien ylistämää suljettua koodia, jota harva pääsee tutkiskelemaan ja silloinkin "turpa kiinni"-sopimuksella. Lisäksi näet vain pienen osan koko koodista. Sen minkä mäsä suostuu näyttämään maksusta. En paljoa elvistelisi.- selittelyä
>http://members.tiscali.fi/vituttaako/
Tiesitkö itse että ajurit Linuxissa ovat osa KERNELIÄ ???
>Tiesitkö, ettei linux käytä muita ajureita kuin sen tarvitsemat
Onko joku käyttöjärjestelmä, joka käyttää ei tarvitsemansa ajurit johonkin?
>Tiedätkö montako aukkoa löytyy wintöötin koodista?
En tiedä, mutta Open Source ohjelmissa kuulema eniten:
http://www.tietokone.fi/uutta/uutinen.asp?news_id=18726&tyyppi=1
>Tiedätkö paljonko varastettua koodia on wintöötissä?
En tiedä, mutta Linuxissa näköjään on paljon:
http://www.itviikko.fi/uutiset/uutinen.asp?UutisID=62375
>suljettua koodia, jota harva pääsee tutkiskelemaan
Kuka sitä haluaisi tutkistella? En minäkään, ja tuskin moni muukaan. Paitsi ehkä jotkut Linuxin koodaajat, jotka toivoisivat että pystyisivät varastamaan osia siitä. - onnahtelevat
selittelyä kirjoitti:
>http://members.tiscali.fi/vituttaako/
Tiesitkö itse että ajurit Linuxissa ovat osa KERNELIÄ ???
>Tiesitkö, ettei linux käytä muita ajureita kuin sen tarvitsemat
Onko joku käyttöjärjestelmä, joka käyttää ei tarvitsemansa ajurit johonkin?
>Tiedätkö montako aukkoa löytyy wintöötin koodista?
En tiedä, mutta Open Source ohjelmissa kuulema eniten:
http://www.tietokone.fi/uutta/uutinen.asp?news_id=18726&tyyppi=1
>Tiedätkö paljonko varastettua koodia on wintöötissä?
En tiedä, mutta Linuxissa näköjään on paljon:
http://www.itviikko.fi/uutiset/uutinen.asp?UutisID=62375
>suljettua koodia, jota harva pääsee tutkiskelemaan
Kuka sitä haluaisi tutkistella? En minäkään, ja tuskin moni muukaan. Paitsi ehkä jotkut Linuxin koodaajat, jotka toivoisivat että pystyisivät varastamaan osia siitä.-Eka linkki -> Apple
-toka linkki -> vuosia vanha tieto
-kolmas linkki -> vanhaa tietoa. Tässä uudempaa.
http://www.tietokone.fi/pda/uutinen.asp?news_id=24299 - ksym_
selittelyä kirjoitti:
>http://members.tiscali.fi/vituttaako/
Tiesitkö itse että ajurit Linuxissa ovat osa KERNELIÄ ???
>Tiesitkö, ettei linux käytä muita ajureita kuin sen tarvitsemat
Onko joku käyttöjärjestelmä, joka käyttää ei tarvitsemansa ajurit johonkin?
>Tiedätkö montako aukkoa löytyy wintöötin koodista?
En tiedä, mutta Open Source ohjelmissa kuulema eniten:
http://www.tietokone.fi/uutta/uutinen.asp?news_id=18726&tyyppi=1
>Tiedätkö paljonko varastettua koodia on wintöötissä?
En tiedä, mutta Linuxissa näköjään on paljon:
http://www.itviikko.fi/uutiset/uutinen.asp?UutisID=62375
>suljettua koodia, jota harva pääsee tutkiskelemaan
Kuka sitä haluaisi tutkistella? En minäkään, ja tuskin moni muukaan. Paitsi ehkä jotkut Linuxin koodaajat, jotka toivoisivat että pystyisivät varastamaan osia siitä.>> Tiesitkö itse että ajurit Linuxissa ovat osa
>> KERNELIÄ ???
JA VITUT OVAT!
Nykyajan distrot kääntävät miltei kaikki ajurit moduuleina, juuri nimenomaan tietoturvasyistä.
Moduulit voidaan sitten joko ladata, tai olla lataamatta.
Ja tietenkin tietoturvan kannalta riskilliset ajurit jätetään lataamatta.
Ainoat PAKOSTI INTEGROIDUT osat kerneliä ovat prosessienhallinta, virtuaalimuistin hallinta, Filesystem Virtualisoinnin alimmat komponentit ja muutamat muut käytön kannalta olennaiset komponentit ... ja näistä komponenteista harvoin löytyy mitään vikaa! - Antti
ksym_ kirjoitti:
>> Tiesitkö itse että ajurit Linuxissa ovat osa
>> KERNELIÄ ???
JA VITUT OVAT!
Nykyajan distrot kääntävät miltei kaikki ajurit moduuleina, juuri nimenomaan tietoturvasyistä.
Moduulit voidaan sitten joko ladata, tai olla lataamatta.
Ja tietenkin tietoturvan kannalta riskilliset ajurit jätetään lataamatta.
Ainoat PAKOSTI INTEGROIDUT osat kerneliä ovat prosessienhallinta, virtuaalimuistin hallinta, Filesystem Virtualisoinnin alimmat komponentit ja muutamat muut käytön kannalta olennaiset komponentit ... ja näistä komponenteista harvoin löytyy mitään vikaa!Huolimatta siitä, että ne ovat käännetty moduleiksi jotka voidaan ladata tai olla lataamatta, ne ovat yhä osa ydintä.
- ksym_
Antti kirjoitti:
Huolimatta siitä, että ne ovat käännetty moduleiksi jotka voidaan ladata tai olla lataamatta, ne ovat yhä osa ydintä.
Jos moduulia ei ladata, niin sen tietoturva-aukot ei tule esille. Piste.
Jos joku softa käyttää esim. tietyn moduulin exporttaamia kernel kutsuja, eikä moduuli ole ladattu, niin mitään ei tapahdu!
Ja näissä security-hardened distroissa automaattinen kernel moduulien lataaminen on disabloitu. Joten ... mitään ei ole menetetty.
Jos et tiedä miten GNU/Linux järjestelmät toimii, niin ole hiljaa. - linsux ass
ksym_ kirjoitti:
Jos moduulia ei ladata, niin sen tietoturva-aukot ei tule esille. Piste.
Jos joku softa käyttää esim. tietyn moduulin exporttaamia kernel kutsuja, eikä moduuli ole ladattu, niin mitään ei tapahdu!
Ja näissä security-hardened distroissa automaattinen kernel moduulien lataaminen on disabloitu. Joten ... mitään ei ole menetetty.
Jos et tiedä miten GNU/Linux järjestelmät toimii, niin ole hiljaa.Tämä naurettava jossitteluko on niitä raudanlujia tekniseen tietoon ja osaamiseen perustuvia väitteitäsi, joita mainostat tuolla "vitutuksen multihuipennus" räpellyksessäsi?
- ...
linsux ass kirjoitti:
Tämä naurettava jossitteluko on niitä raudanlujia tekniseen tietoon ja osaamiseen perustuvia väitteitäsi, joita mainostat tuolla "vitutuksen multihuipennus" räpellyksessäsi?
Menikö huuteluiltasi pohja, multinikki paskanhuutaja?
- ksym_
linsux ass kirjoitti:
Tämä naurettava jossitteluko on niitä raudanlujia tekniseen tietoon ja osaamiseen perustuvia väitteitäsi, joita mainostat tuolla "vitutuksen multihuipennus" räpellyksessäsi?
Itse olen kokenut eri GNU/Linux ympäristöjen turva-asioissa. Tiedän kyllä, miten joku reikäinen ajuri tai softa saadaan pois käytöstä ...
Mites Windowsissa saat esim. DCOM rajapinnan RPC ominaisuudet pois käytöstä, ettei madot pääse etänä installoimaan omia palveluita? Ei pitäisi haitata kuin Microsoftin omia internet palveluita, kun esim. apache ei RPC:tä käytä ja lataa dll:änsä Win32:en karvalakkirajapinnan kautta. Mutta tällaistakaan operaatiota ei ole dokumentoitu, joten kusessa ollaan.
GNU/Linux järjestelmissä kaikki järjestelmän ominaisuudet ovat helposti poistettavissa käytöstä, tai kovattavissa toisilla menetelmillä. Windowsissa pitää luottaa Microsoftin legacy-ratkaisuihin ja hakata päätään seinään turhautuneena ... - Antti
ksym_ kirjoitti:
Jos moduulia ei ladata, niin sen tietoturva-aukot ei tule esille. Piste.
Jos joku softa käyttää esim. tietyn moduulin exporttaamia kernel kutsuja, eikä moduuli ole ladattu, niin mitään ei tapahdu!
Ja näissä security-hardened distroissa automaattinen kernel moduulien lataaminen on disabloitu. Joten ... mitään ei ole menetetty.
Jos et tiedä miten GNU/Linux järjestelmät toimii, niin ole hiljaa."Jos moduulia ei ladata, niin sen tietoturva-aukot ei tule esille. Piste."
Mitenkä tämä liittyy siihen, että ajuri (moduuli) ei voisi olla osa ydintä? Vilkaise osoitteesta http://www.tldp.org/LDP/tlk/modules/modules.html . Voit pyytää kaveria avuksi, jos englanti ei suju.
"Jos joku softa käyttää esim. tietyn moduulin exporttaamia kernel kutsuja, eikä moduuli ole ladattu, niin mitään ei tapahdu!"
Tai, jos moduulia tarvitaan niin se ladataan lennosta.
"Jos et tiedä miten GNU/Linux järjestelmät toimii, niin ole hiljaa."
Taitaa olla toisin päin.
- sinileima
Ja näin myytti turvallisesta linuxista jatkaa murenemistaan.
- osaa
Et osaa käyttää linuxia lainkaan. Hyvä siinä on sitten kädet puuskassa olla itsevarmana.
- Ossi
Siirtykäämme kaikki reikä-Linuxin käyttäjät turvalliseen Windowsiin. Samalla vapaudumme viruksista, örkeistä ja muista haittaohjelmista.
Amen.- turvalinux
Tyhmät uskoo win-hihhuleita, reikäisimmilläänkin linux on sata kertaa turvallisempi kuin yhdenkin reiän sisältävä windows. Linuxissa ei ole spywarea eikä kunnollisia toimivia viruksiakaan (ne virukset mitä linuxille on tehty ei edes toimi!!).
Mutta käyttäkää mitä vaan, jos tyhmyyttänne saatte windowssiinne paskaa niin syyttäkää itseänne.
Windowsin käytössä olisi oikeastaan pakollista käyttää hengityssuojainta, kumikäsineitä ja kondoomia. Ne kun on ainoat jotka suojaa.
Windowsia käyttävillä kun räkä roikkuu, paska ruikkii housuihin ja turpa suoltaa sylki vaahdossa skeidaa minkä kerkiää.
aidosta artikkelista. Saatu kohuotsikko. Olisi tekstissä voinut mainita että testin tulos EI ole verrattavissa M$:ään. No miksi ei? Siksi kun Mikkis ei anna tuon firman testa tuotettaan. Sama asia ilmeni kun selaimia testattiin. Muut suostuivat IE7 ei, kun tiesi ettei läpäisi sitä.
http://news.com.com/Key bugs in core Linux code squashed/2100-1002_3-5817471.html?tag=nefd.top
http://news.com.com/Next Explorer to fail Acid test/2100-1032_3-5813897.html?tag=st.rc.targ_mb- heh
Kokonaista kuusi (6) aukkoa? Kerro se kaksi kertaa kymppitonnilla niin pääset wintoysin lukuihin.
Linux toimii verkossa ilman palomuuria ja virustorjuntaa vanhemmillakin kerneleillä. Wintoys saastuu itsekseen parissa minuutissa.
http://www.itviikko.fi/uutiset/uutinen.asp?UutisID=65043 - näitä
...paikata ?
***26 out of 105 Secunia advisories, is marked as "Unpatched"***
http://secunia.com/product/22/
>Koodia analysoiva Coverity...
Missäs on winukan koodin analyysi? winukka pääsee vastaavaan TAI edes lähelle?
http://www.nsa.gov/selinux/- ksym_
"Virheet, jotka saattavat viitata tietoturva-aukkoihin, löytyivät pääasiassa ajureista."
Tämähän tarkoittaa, että Linuxin ydin on itsessään hyvin turvallinen ...
Jos viat ovat VAIN ajureissa, niin ei ole mikään ongelma olla käyttämättä näitä ajureita sellaisissa ympäristöissä, missä ehdotonta turvallisuutta vaaditaan.
Ja esim. RHEL, ja SuSe Enterprise käyttöjärjestelmissä moiset haavoittuvuudet otetaankin huomioon, eikä moisia ajureita siten oletuksena edes ladata!
Joten tämä ei nyt ole mitenkään vakavaa.- niinnoooo
käytä sinä vain Linuxia ilman ensimmäistäkään ajuria. Mitäköhän luulet sillä pystyväsi tekemään(ilmna ajureita)?
- ksym_
niinnoooo kirjoitti:
käytä sinä vain Linuxia ilman ensimmäistäkään ajuria. Mitäköhän luulet sillä pystyväsi tekemään(ilmna ajureita)?
Ei kaikissa ajureissa ole noita aukkoja.
Ota huomioon, että esim. servereissä et tarvitse mitään muita ajureita kuin verkkokorttien ja massamuistien ajurit. Ja näissä ajureissa tuskin paljoa virheitä on.
Eli oleppas nyt hiljaa kun et mistään mitään tiedä. - ollaan hiljaa
ksym_ kirjoitti:
Ei kaikissa ajureissa ole noita aukkoja.
Ota huomioon, että esim. servereissä et tarvitse mitään muita ajureita kuin verkkokorttien ja massamuistien ajurit. Ja näissä ajureissa tuskin paljoa virheitä on.
Eli oleppas nyt hiljaa kun et mistään mitään tiedä.eikä kerrota kaikille että linux on seula..hups..
- Antti
"Katsomme koska ilmestyi versio 2.6.12: http://www.kernel.org/pub/linux/kernel/v2.6/
17-Jun-2005 !!!
Aukot löydettiin joulukuussa ja korjattiin vasta kesäkuussa. Eli yli puolivuotta kriittiset aukot oli tiedossa."
Tuossahan vain todettiin, että versiossa 2.6.12 niitä ei enää ollut. Mielistäni siinä ei sanottu, että ne olivat korjattu vasta versioon 2.6.12.
Tosiasiassa en tiedä milloin ne ovat korjattu.
Ketjusta on poistettu 5 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
Kansalla on oikeus tietää miksi persut pettävät
Koko kulunut hallituskausi on kysytty persuilta, minkä vuoksi he ovat pettäneet käytännössä jokaisen vaalilupauksen, ain3099650Kunnissa - siis myös kaupungeissa - viihtyvät ovat kommunisteja
Nehän ovat osa yhteiskunnan tuottamia instansseja, joista on vain haittaa veronmaksajille ja yrittäjlle, kuten ollaan ve92878Ammattiliitto 900 euroa/vuosi - Työttömyyskassa 72 euroa/vuosi
Ammattiliitosta eroamalla voi säästää jopa 800 euroa vuodessa. Mitä enemmän tienaat, sitä enemmän maksat liitolle. Esim2672181Kansalla on oikeus tietää mikä on SDP:n talousohjelma jolla maan talous
saadaan nousuun? Miksi puolue piilottelee sitä, vai eikö sitä ole? Tähän asti olemme vaan saaneet kuulla hallituksen ha1142030SDP todellisuudessa pahin pettäjä koskaan - se syyllistyi valtiopetokseen 1918
kun aloittivat kapinan maan laillista valtiojärjestystä vastaan. Punaiset saivat tukea Neuvosto-Venäjän bolsevikeilta,891579- 1441487
Iski taas katumus kun en jutellut sun kanssa
Silloin kun halusit. Mutta en enää voi sille mitään, en saa muutettua sitä hetkeä..1331458Järkevä ehdotus: reilun 8 miljardin euron veronkorotukset
Nykyinen hallitus on päästänyt valtion tulopuolen rappeutumaan, vaikka varallisuutta on Suomessa enemmän kuin koskaan. U321224Miksi vasemmisto ei vastusta ulkomaisen halpatyövoiman maahantuontia
joka heikentää suomalaisten duunarien työmarkkina-asemaa ja rasittaa Suomen julkista taloutta? Vasemmistolla ideologin451184Kyriake=Kirkko
Kirkko, Kyriake Kirkko-sana tulee kreikankielen sanasta Kyriake=Herran omat, Kristuksen omaksi kastettujen suuri joukko931036