Vakavat Linux-aukot kursittiin kiinni, ohjelmointivirheitä löytyi silti lisää
Linuxin ytimestä löydetyt vakavat haavoittuvuudet on tuoreen analyysin valossa paikattu ytimen uusimmassa versiossa. Luotaus paljasti kuitenkin erinäisiä uusia koodausvirheitä.
Koodia analysoiva Coverity havaitsi kuusi kriittistä haavoittuvuutta Linuxin ytimen versiosta 2.6.9 viime joulukuussa. Heinäkuisen analyysin mukaan kyseisiä kämmejä ei enää löytynyt versiosta 2.6.12.
Uutispalvelu News.comin mukaan *Coverity havaitsi kuitenkin 1008 koodivikaa ytimen muista osista*. Virheet, jotka saattavat viitata tietoturva-aukkoihin, löytyivät pääasiassa ajureista.
Aiemmassa analyysissä virheitä löytyi hieman vähemmän, 985 kappaletta. Seurauksena uusimman ytimen kokonaisvirhetiheys (bugien määrä tuhatta koodiriviä kohden) laski maltillisesti 0,17 virheestä 0,16 virheeseen.
http://www.itviikko.fi/uutiset/uutisalue.asp?alue=paiva&UutisID=69239
PS: "Coverity havaitsi kuusi kriittistä haavoittuvuutta Linuxin ytimen versiosta 2.6.9 viime joulukuussa" ja "kyseisiä kämmejä ei enää löytynyt versiosta 2.6.12"
Katsomme koska ilmestyi versio 2.6.12: http://www.kernel.org/pub/linux/kernel/v2.6/
17-Jun-2005 !!!
Aukot löydettiin joulukuussa ja korjattiin vasta kesäkuussa. Eli yli puolivuotta kriittiset aukot oli tiedossa. Onko Microsoftille koskaan annettu puoli vuotta aikaa korjata aukot? Ei todellakaan. Tämä kertoo hyvin Linux hihhuleiden kaksinaamaisuudesta. Ja Linuxin koodista, joka on vielä surkeampi.
Linuxin kernelissä 6 kriittistä aukkoa
23
2061
Vastaukset
- se windowsin
käyttö teettää. Tuolla ohjeistuksessa sanotaan suoraan "Tekstin suora kopioiminen muista julkaisuista on kiellettyä.". Ja taas on joku windows-pelle kopioimassa suoraan. Ja sitten asiaan:
Virheet löytyvät pääasiassa ajureista. Tiesitkö, ettei linux käytä muita ajureita kuin sen tarvitsemat eli mahdolliset aukot kutistuvat käytettävässä järjestelmässä alle kymmeneen.
Tiedätkö montako aukkoa löytyy wintöötin koodista? Tiedätkö paljonko varastettua koodia on wintöötissä? Tiedätkö montako takaovea on wintöötissä? ET! Tiedätkö miksi? wintööt on trollien ylistämää suljettua koodia, jota harva pääsee tutkiskelemaan ja silloinkin "turpa kiinni"-sopimuksella. Lisäksi näet vain pienen osan koko koodista. Sen minkä mäsä suostuu näyttämään maksusta. En paljoa elvistelisi.- selittelyä
>http://members.tiscali.fi/vituttaako/
Tiesitkö itse että ajurit Linuxissa ovat osa KERNELIÄ ???
>Tiesitkö, ettei linux käytä muita ajureita kuin sen tarvitsemat
Onko joku käyttöjärjestelmä, joka käyttää ei tarvitsemansa ajurit johonkin?
>Tiedätkö montako aukkoa löytyy wintöötin koodista?
En tiedä, mutta Open Source ohjelmissa kuulema eniten:
http://www.tietokone.fi/uutta/uutinen.asp?news_id=18726&tyyppi=1
>Tiedätkö paljonko varastettua koodia on wintöötissä?
En tiedä, mutta Linuxissa näköjään on paljon:
http://www.itviikko.fi/uutiset/uutinen.asp?UutisID=62375
>suljettua koodia, jota harva pääsee tutkiskelemaan
Kuka sitä haluaisi tutkistella? En minäkään, ja tuskin moni muukaan. Paitsi ehkä jotkut Linuxin koodaajat, jotka toivoisivat että pystyisivät varastamaan osia siitä. - onnahtelevat
selittelyä kirjoitti:
>http://members.tiscali.fi/vituttaako/
Tiesitkö itse että ajurit Linuxissa ovat osa KERNELIÄ ???
>Tiesitkö, ettei linux käytä muita ajureita kuin sen tarvitsemat
Onko joku käyttöjärjestelmä, joka käyttää ei tarvitsemansa ajurit johonkin?
>Tiedätkö montako aukkoa löytyy wintöötin koodista?
En tiedä, mutta Open Source ohjelmissa kuulema eniten:
http://www.tietokone.fi/uutta/uutinen.asp?news_id=18726&tyyppi=1
>Tiedätkö paljonko varastettua koodia on wintöötissä?
En tiedä, mutta Linuxissa näköjään on paljon:
http://www.itviikko.fi/uutiset/uutinen.asp?UutisID=62375
>suljettua koodia, jota harva pääsee tutkiskelemaan
Kuka sitä haluaisi tutkistella? En minäkään, ja tuskin moni muukaan. Paitsi ehkä jotkut Linuxin koodaajat, jotka toivoisivat että pystyisivät varastamaan osia siitä.-Eka linkki -> Apple
-toka linkki -> vuosia vanha tieto
-kolmas linkki -> vanhaa tietoa. Tässä uudempaa.
http://www.tietokone.fi/pda/uutinen.asp?news_id=24299 - ksym_
selittelyä kirjoitti:
>http://members.tiscali.fi/vituttaako/
Tiesitkö itse että ajurit Linuxissa ovat osa KERNELIÄ ???
>Tiesitkö, ettei linux käytä muita ajureita kuin sen tarvitsemat
Onko joku käyttöjärjestelmä, joka käyttää ei tarvitsemansa ajurit johonkin?
>Tiedätkö montako aukkoa löytyy wintöötin koodista?
En tiedä, mutta Open Source ohjelmissa kuulema eniten:
http://www.tietokone.fi/uutta/uutinen.asp?news_id=18726&tyyppi=1
>Tiedätkö paljonko varastettua koodia on wintöötissä?
En tiedä, mutta Linuxissa näköjään on paljon:
http://www.itviikko.fi/uutiset/uutinen.asp?UutisID=62375
>suljettua koodia, jota harva pääsee tutkiskelemaan
Kuka sitä haluaisi tutkistella? En minäkään, ja tuskin moni muukaan. Paitsi ehkä jotkut Linuxin koodaajat, jotka toivoisivat että pystyisivät varastamaan osia siitä.>> Tiesitkö itse että ajurit Linuxissa ovat osa
>> KERNELIÄ ???
JA VITUT OVAT!
Nykyajan distrot kääntävät miltei kaikki ajurit moduuleina, juuri nimenomaan tietoturvasyistä.
Moduulit voidaan sitten joko ladata, tai olla lataamatta.
Ja tietenkin tietoturvan kannalta riskilliset ajurit jätetään lataamatta.
Ainoat PAKOSTI INTEGROIDUT osat kerneliä ovat prosessienhallinta, virtuaalimuistin hallinta, Filesystem Virtualisoinnin alimmat komponentit ja muutamat muut käytön kannalta olennaiset komponentit ... ja näistä komponenteista harvoin löytyy mitään vikaa! - Antti
ksym_ kirjoitti:
>> Tiesitkö itse että ajurit Linuxissa ovat osa
>> KERNELIÄ ???
JA VITUT OVAT!
Nykyajan distrot kääntävät miltei kaikki ajurit moduuleina, juuri nimenomaan tietoturvasyistä.
Moduulit voidaan sitten joko ladata, tai olla lataamatta.
Ja tietenkin tietoturvan kannalta riskilliset ajurit jätetään lataamatta.
Ainoat PAKOSTI INTEGROIDUT osat kerneliä ovat prosessienhallinta, virtuaalimuistin hallinta, Filesystem Virtualisoinnin alimmat komponentit ja muutamat muut käytön kannalta olennaiset komponentit ... ja näistä komponenteista harvoin löytyy mitään vikaa!Huolimatta siitä, että ne ovat käännetty moduleiksi jotka voidaan ladata tai olla lataamatta, ne ovat yhä osa ydintä.
- ksym_
Antti kirjoitti:
Huolimatta siitä, että ne ovat käännetty moduleiksi jotka voidaan ladata tai olla lataamatta, ne ovat yhä osa ydintä.
Jos moduulia ei ladata, niin sen tietoturva-aukot ei tule esille. Piste.
Jos joku softa käyttää esim. tietyn moduulin exporttaamia kernel kutsuja, eikä moduuli ole ladattu, niin mitään ei tapahdu!
Ja näissä security-hardened distroissa automaattinen kernel moduulien lataaminen on disabloitu. Joten ... mitään ei ole menetetty.
Jos et tiedä miten GNU/Linux järjestelmät toimii, niin ole hiljaa. - linsux ass
ksym_ kirjoitti:
Jos moduulia ei ladata, niin sen tietoturva-aukot ei tule esille. Piste.
Jos joku softa käyttää esim. tietyn moduulin exporttaamia kernel kutsuja, eikä moduuli ole ladattu, niin mitään ei tapahdu!
Ja näissä security-hardened distroissa automaattinen kernel moduulien lataaminen on disabloitu. Joten ... mitään ei ole menetetty.
Jos et tiedä miten GNU/Linux järjestelmät toimii, niin ole hiljaa.Tämä naurettava jossitteluko on niitä raudanlujia tekniseen tietoon ja osaamiseen perustuvia väitteitäsi, joita mainostat tuolla "vitutuksen multihuipennus" räpellyksessäsi?
- ...
linsux ass kirjoitti:
Tämä naurettava jossitteluko on niitä raudanlujia tekniseen tietoon ja osaamiseen perustuvia väitteitäsi, joita mainostat tuolla "vitutuksen multihuipennus" räpellyksessäsi?
Menikö huuteluiltasi pohja, multinikki paskanhuutaja?
- ksym_
linsux ass kirjoitti:
Tämä naurettava jossitteluko on niitä raudanlujia tekniseen tietoon ja osaamiseen perustuvia väitteitäsi, joita mainostat tuolla "vitutuksen multihuipennus" räpellyksessäsi?
Itse olen kokenut eri GNU/Linux ympäristöjen turva-asioissa. Tiedän kyllä, miten joku reikäinen ajuri tai softa saadaan pois käytöstä ...
Mites Windowsissa saat esim. DCOM rajapinnan RPC ominaisuudet pois käytöstä, ettei madot pääse etänä installoimaan omia palveluita? Ei pitäisi haitata kuin Microsoftin omia internet palveluita, kun esim. apache ei RPC:tä käytä ja lataa dll:änsä Win32:en karvalakkirajapinnan kautta. Mutta tällaistakaan operaatiota ei ole dokumentoitu, joten kusessa ollaan.
GNU/Linux järjestelmissä kaikki järjestelmän ominaisuudet ovat helposti poistettavissa käytöstä, tai kovattavissa toisilla menetelmillä. Windowsissa pitää luottaa Microsoftin legacy-ratkaisuihin ja hakata päätään seinään turhautuneena ... - Antti
ksym_ kirjoitti:
Jos moduulia ei ladata, niin sen tietoturva-aukot ei tule esille. Piste.
Jos joku softa käyttää esim. tietyn moduulin exporttaamia kernel kutsuja, eikä moduuli ole ladattu, niin mitään ei tapahdu!
Ja näissä security-hardened distroissa automaattinen kernel moduulien lataaminen on disabloitu. Joten ... mitään ei ole menetetty.
Jos et tiedä miten GNU/Linux järjestelmät toimii, niin ole hiljaa."Jos moduulia ei ladata, niin sen tietoturva-aukot ei tule esille. Piste."
Mitenkä tämä liittyy siihen, että ajuri (moduuli) ei voisi olla osa ydintä? Vilkaise osoitteesta http://www.tldp.org/LDP/tlk/modules/modules.html . Voit pyytää kaveria avuksi, jos englanti ei suju.
"Jos joku softa käyttää esim. tietyn moduulin exporttaamia kernel kutsuja, eikä moduuli ole ladattu, niin mitään ei tapahdu!"
Tai, jos moduulia tarvitaan niin se ladataan lennosta.
"Jos et tiedä miten GNU/Linux järjestelmät toimii, niin ole hiljaa."
Taitaa olla toisin päin.
- sinileima
Ja näin myytti turvallisesta linuxista jatkaa murenemistaan.
- osaa
Et osaa käyttää linuxia lainkaan. Hyvä siinä on sitten kädet puuskassa olla itsevarmana.
- Ossi
Siirtykäämme kaikki reikä-Linuxin käyttäjät turvalliseen Windowsiin. Samalla vapaudumme viruksista, örkeistä ja muista haittaohjelmista.
Amen.- turvalinux
Tyhmät uskoo win-hihhuleita, reikäisimmilläänkin linux on sata kertaa turvallisempi kuin yhdenkin reiän sisältävä windows. Linuxissa ei ole spywarea eikä kunnollisia toimivia viruksiakaan (ne virukset mitä linuxille on tehty ei edes toimi!!).
Mutta käyttäkää mitä vaan, jos tyhmyyttänne saatte windowssiinne paskaa niin syyttäkää itseänne.
Windowsin käytössä olisi oikeastaan pakollista käyttää hengityssuojainta, kumikäsineitä ja kondoomia. Ne kun on ainoat jotka suojaa.
Windowsia käyttävillä kun räkä roikkuu, paska ruikkii housuihin ja turpa suoltaa sylki vaahdossa skeidaa minkä kerkiää.
aidosta artikkelista. Saatu kohuotsikko. Olisi tekstissä voinut mainita että testin tulos EI ole verrattavissa M$:ään. No miksi ei? Siksi kun Mikkis ei anna tuon firman testa tuotettaan. Sama asia ilmeni kun selaimia testattiin. Muut suostuivat IE7 ei, kun tiesi ettei läpäisi sitä.
http://news.com.com/Key bugs in core Linux code squashed/2100-1002_3-5817471.html?tag=nefd.top
http://news.com.com/Next Explorer to fail Acid test/2100-1032_3-5813897.html?tag=st.rc.targ_mb- heh
Kokonaista kuusi (6) aukkoa? Kerro se kaksi kertaa kymppitonnilla niin pääset wintoysin lukuihin.
Linux toimii verkossa ilman palomuuria ja virustorjuntaa vanhemmillakin kerneleillä. Wintoys saastuu itsekseen parissa minuutissa.
http://www.itviikko.fi/uutiset/uutinen.asp?UutisID=65043 - näitä
...paikata ?
***26 out of 105 Secunia advisories, is marked as "Unpatched"***
http://secunia.com/product/22/
>Koodia analysoiva Coverity...
Missäs on winukan koodin analyysi? winukka pääsee vastaavaan TAI edes lähelle?
http://www.nsa.gov/selinux/- ksym_
"Virheet, jotka saattavat viitata tietoturva-aukkoihin, löytyivät pääasiassa ajureista."
Tämähän tarkoittaa, että Linuxin ydin on itsessään hyvin turvallinen ...
Jos viat ovat VAIN ajureissa, niin ei ole mikään ongelma olla käyttämättä näitä ajureita sellaisissa ympäristöissä, missä ehdotonta turvallisuutta vaaditaan.
Ja esim. RHEL, ja SuSe Enterprise käyttöjärjestelmissä moiset haavoittuvuudet otetaankin huomioon, eikä moisia ajureita siten oletuksena edes ladata!
Joten tämä ei nyt ole mitenkään vakavaa.- niinnoooo
käytä sinä vain Linuxia ilman ensimmäistäkään ajuria. Mitäköhän luulet sillä pystyväsi tekemään(ilmna ajureita)?
- ksym_
niinnoooo kirjoitti:
käytä sinä vain Linuxia ilman ensimmäistäkään ajuria. Mitäköhän luulet sillä pystyväsi tekemään(ilmna ajureita)?
Ei kaikissa ajureissa ole noita aukkoja.
Ota huomioon, että esim. servereissä et tarvitse mitään muita ajureita kuin verkkokorttien ja massamuistien ajurit. Ja näissä ajureissa tuskin paljoa virheitä on.
Eli oleppas nyt hiljaa kun et mistään mitään tiedä. - ollaan hiljaa
ksym_ kirjoitti:
Ei kaikissa ajureissa ole noita aukkoja.
Ota huomioon, että esim. servereissä et tarvitse mitään muita ajureita kuin verkkokorttien ja massamuistien ajurit. Ja näissä ajureissa tuskin paljoa virheitä on.
Eli oleppas nyt hiljaa kun et mistään mitään tiedä.eikä kerrota kaikille että linux on seula..hups..
- Antti
"Katsomme koska ilmestyi versio 2.6.12: http://www.kernel.org/pub/linux/kernel/v2.6/
17-Jun-2005 !!!
Aukot löydettiin joulukuussa ja korjattiin vasta kesäkuussa. Eli yli puolivuotta kriittiset aukot oli tiedossa."
Tuossahan vain todettiin, että versiossa 2.6.12 niitä ei enää ollut. Mielistäni siinä ei sanottu, että ne olivat korjattu vasta versioon 2.6.12.
Tosiasiassa en tiedä milloin ne ovat korjattu.
Ketjusta on poistettu 5 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
Riikan perintö: ennätysvelka, ennätystyöttömyys ja ennätysverotus
Tavallisen keskituloisen suomalaisen verotus on kireintä vuosikymmeniin, ja ensi vuonna palkansaajien käteen jää vieläki2153647Mies, näen sinua hetken
ja olet mielessä ikuisuuden. Toisia näen ikuisuuden ja he eivät jää mieleen hetkeksikään. Muistan jokaisen kohtaamisen143519Riikka Purra on ihana, jämpti
Hän yrittää saada Suomen taas kuntoon. Sanoo asiat suoraan, eikä piiloudu kapulakielen taakse. Riikan kaltaisia päättä912608Antti Lindtman kiitti valtiovarainministeri Purraa
Ministeri Purra kertoi ottavasa vastuun EU:n alijäämämenettelyyn joutumisesta. Hän myös sanoi tietävänsä, että Lindtman122199Henkilökohtaisia paljastuksia Dubaista - Kohujulkkis Sofia Belorf on äitipuoli ja puoliso!
Tiesitkö, että Sofia on äitipuoli ja rakastava puoliso? Sofia Belorf saa oman sarjan, jossa seurataan hänen Bling Bling592160Suomalaisten enemmistö on (ateisteja / fiksuja / sosialisteja)
Tai jokin noiden yhdistelmä, koska S-ryhmän markkinaosuus päivittäistavarakaupasta on yli 50 prosenttia.111919Sorsa: kuvaputki - Lipponen: kaasuputki - Marin: ryppyputki
Nuo kolme demaria ovat poikkeuksia Suomen poliittisessa historiassa. Ovat ainoita, jotka ovat kyenneet nostamaan puolue481745- 901601
- 791207
- 721163