Bledy zdarzaja sie wszystkim. Problem w tym przypadku polega na tym, ze ten blad wynika z elementarnego bledu programistycznego – tego typu problemy byly popularne kilkanascie lat temu; wydawalo sie, ze od tamtego czasu programisci douczyli sie o podstawach. Przyklad Ubuntu dowodzi, ze jednak nie.
Drugi problem to review. Zmiany w rzeczach kluczowych dla bezpieczenstwa, takich jak moduly PAM, powinny byc przejrzane przez kogos kompetentnego. Powyzszy problem – a takze pare innych,
No tak przez lata uzywalem windowsa to czytalem jaki to Linux bezpieczny, jak tylko k!"£$ zainstalowalem Ubuntu kilka dni temu to od razu jestem w wielkim niebezpieczenstwie!
@zczuba to troll, nie silcie się na odpowiedzi. jak ktoś mówił o bezpieczeństwie to raczej nie mówił o ubuntu, to nie jest system który się stawia na serwerach www.
Wtopy się zdarzają. Ale najważniejsze, że łatka wychodzi natychmiast. Na załatanie dziur w windowsie trzeba czekać miesiącami a czasem nawet po latach nie łatają.
Poza tym ubuntu nie ma aspiracji do bycia systemem na serwery produkcyjne. Na takim stawia się debiana albo redhata ze starszymi pakietami, ale za to porządnie przetestowanymi.
@merilius: Co ty gadasz ze "trzeba czekac miesiacami albo nie lataja"? Od tego w Windowsach sluza automatyczne aktualizacje. Lataja dziury, podnosza bezpieczenstwo systemu, wnosza poprawki. Bledy ktore poprawiaja sa znajdowane zarowno przez producentow, programistow jak i zwyklych userow. Jak chcesz pomoc to wysylaj raporty bledow :P
Jezeli chodzilo ci o SP to jest to tylko zbior poprawkek jakie wyszly od momentu ukazania sie systemu na rynku (no i tych ktore mialy
To nic, to nic. Linux jest nie do skompromitowania. Jeśli cokolwiek złego dzieje się w Linuksie to zawsze można powiedzieć:
- a w innych systemach też to się dzieje (potem oczywiście dalej można mówić, że Linux jest superbezpieczny)
- złe distro (oczywiście za każdym razem inne jest złe)
- to, że wykryto lukę to wspaniała wiadomość, bo przecież ją ujawniono, a w innych systemach oczywiście nie ujawniają (ale linuksiarze mają moce psychiczne
Ubuntu jest distrem 'domowym na desktopy', i domyślnie nie ma zainstalowanego pakietu openssh-server, więc przy próbie połączenia z localhostem przez ssha zobaczy się po prostu odmowę połączenia.
Jeśli jakiś świeżo upieczony informatyk zaczyna 'haxorzyć' na swoim kompie, bawić się iptables, instalować serwery o których nawet nie wie co robią, to trudno dziwić się że ma później system podatny na ataki... oczywiście można było o tym napisać w artykule, ale wtedy chwytliwy
@pinoteres: ssh nie jest konieczne do przeprowadzenia ataku, wszystko co wywoluje pam_motd da radę. W przykładzie podano ssh, bo to "najpopularniejsze" oprogramowanie.
@pinoteres: W przykładzie jest logowanie przez SSH, co nie znaczy, że jest ono wymagane aby zmienić uprawnienia pliku. Chyba nie zrozumiałeś mechanizmu! Plik podlinkowany pod ~/.cache bez względu jakie miałby prawa, po prze-logowaniu zyskuje prawa do odczytu i zapisu dla każdego... Więc mając fizyczny dostęp do kompa, nie musisz mieć SSH aby zdobyć roota...
Komentarze (67)
najlepsze
"Wtopy się zdarzają."
Ale jak Microsoft coś schrzani to od razu zaczyna się jazda. ;)
Bo microsoft wciska swoje produkty gdzie się da i pobiera za to mamonę, niemałą zresztą :)
Drugi problem to review. Zmiany w rzeczach kluczowych dla bezpieczenstwa, takich jak moduly PAM, powinny byc przejrzane przez kogos kompetentnego. Powyzszy problem – a takze pare innych,
sudo apt-get update
sudo apt-get install libpam-modules
I problemu nie ma (co nie znaczy że nie było).
Jest - domyślnie wcale nie ma zainstalowanego serwera SSH.
;)
Poza tym ubuntu nie ma aspiracji do bycia systemem na serwery produkcyjne. Na takim stawia się debiana albo redhata ze starszymi pakietami, ale za to porządnie przetestowanymi.
Jezeli chodzilo ci o SP to jest to tylko zbior poprawkek jakie wyszly od momentu ukazania sie systemu na rynku (no i tych ktore mialy
@PiTca: Co do tego buga, który tak cię ciekawi, to dziura o podobnym stażu istniała też w linuksie i umożliwiała to samo co ta opisana w tym wykopie.
- a w innych systemach też to się dzieje (potem oczywiście dalej można mówić, że Linux jest superbezpieczny)
- złe distro (oczywiście za każdym razem inne jest złe)
- to, że wykryto lukę to wspaniała wiadomość, bo przecież ją ujawniono, a w innych systemach oczywiście nie ujawniają (ale linuksiarze mają moce psychiczne
Zawsze można powiedzieć, że w innych systemach też to się dzieje i prawdą jest, że Linux względnie bezpieczny jest.
Dla hardkorów zawsze jedno distro szatana dziełem jest - Ubuntu.
RedHat lukę ukrywał? A jak mu się udało?
To, że wykryto lukę to wspaniała wiadomość a to, że już po luce jeszcze wspanialsza.
"a bo tu szybko wyszła poprawka a w innych systemach nie wychodzą (co jest oczywiście bzdurą bez pokrycia,
Jeśli jakiś świeżo upieczony informatyk zaczyna 'haxorzyć' na swoim kompie, bawić się iptables, instalować serwery o których nawet nie wie co robią, to trudno dziwić się że ma później system podatny na ataki... oczywiście można było o tym napisać w artykule, ale wtedy chwytliwy
Czy na czystym ubuntu jest ssh albo coś co pozwoli zrobić ten krok?
o, jakieś łatki...