|
Титла: 8 годишна дупка в Kernel-а е открита вчера! Публикувано от: Lucifer в Aug 19, 2009, 11:16 Момчетата от Google Security Team са открили 8 годишна дупка в кода на Linux Kernel, която се разпростира от версия 2.4 на сам.
Дупката е тривиална за exploit. Ето ви и цялата новина: тук! ($2) Само да кажа, че в репотата на Slackware вече се появи kernel update с patch за дупката! Титла: Re: 8 годишна дупка в Kernel-а е открита вчера! Публикувано от: task_struct в Aug 19, 2009, 11:58 Тцтцтц, да не проверяват за NULL указатели :D Това е първото нещо, за което се проверяват подадените аргументи :) Този, който е писал кода трябва да прочете Writing Solid Code :D
П.П. Поне бързо са я оправили, че при някой други ОС, щеше да стой с месеци отворена дa и дойде редът ;D Титла: Re: 8 годишна дупка в Kernel-а е открита вчера! Публикувано от: progmetal в Aug 19, 2009, 12:49 Новината всъщност не е от вчера, а от 13-14 август:
http://www.theregister.co.uk/2009/08/14/critical_linux_bug/ Титла: Re: 8 годишна дупка в Kernel-а е открита вчера! Публикувано от: edmon в Aug 19, 2009, 15:34 един проблем става проблем, когато бъде открит.
Досега не се е знаело за него значи не е било проблем:))) Така например ако ви се счупи колата и не идете да кажете на майстора или в сервиза те няма как да знаят, че ви е счупена колата за да ви я оправят:) Както се спомена проблема от 13-14 и вече е оправен.:))) Титла: Re: 8 годишна дупка в Kernel-а е открита вчера! Публикувано от: gat3way в Aug 20, 2009, 10:37 Цитат Тцтцтц, да не проверяват за NULL указатели :D Това е първото нещо, за което се проверяват подадените аргументи :) Този, който е писал кода трябва да прочете Writing Solid Code :D Те проверяват, но една оптимизация, която прави gcc, на практика премахва проверката. Ако може да се mmap-не нулевия регион в адресното пространство, тогава четенето/писането на данни към които сочи NULL указателя стават четене/писане на данни във валиден регион от паметта. И тогава стават лоши неща. Титла: Re: 8 годишна дупка в Kernel-а е открита вчера! Публикувано от: rumen6787 в Jul 21, 2011, 02:51 цитирам:
"Loverock Davidson 08/17/2009 09:01 AM Reply to It is patched now.. which is good but it does raise some other points. OSS advocates bang on about how anyone can review the code which makes Linux more secure. If no one is helping co-ordinate all these code reviewers then what is stopping all these people looking at the same code over and over again. This has been there 8 years and no one has either looked, or had the skill to notice, this problem. This is a genuine question - Is the code marked with a last reviewed date as well as who reviewed it?" "ye 08/17/2009 09:29 AM Fixing the flaw But the main difference here between Linux and propriatary OSs is the people who found the hole could also submit a patch for it. They didn't have to wait for some third party to get around to updating." Важното, е че са намерили решението дори и до днес. Всеки греши, никой не е идеален. |