Dirty COW - súlyos, privilégiumszint-emelést (helyi root) lehetővé tevő sebezhetőség a Linux kernelben

 ( trey | 2016. október 21., péntek - 7:05 )

Dirty Cow

Egy Copy-On-Write-tal (COW) kapcsolatos race condition sebezhetőséget (CVE-2016-5195) fedeztek fel a Linux kernel memória alrendszerében. Helyi felhasználó kihasználva a sebezhetőséget privilégiumszint-emelést hajthat végre. A mai divatnak megfelelően a sebezhetőségnek van logója, honlapja, Twitter accountja, Wiki oldala és online webáruháza is. Az Ars Technica cikke szerint 9 éve bujkált a bug a Linux kernelverziókban.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Ubuntu tegnapelőtt javította.

USN-3107-1: Linux kernel vulnerability

--
trey @ gépház

Fedora 23, 24, 25-re is le lettek fordítva a javított kernelek. Most várom, hogy ez megtörténjék a LEDE project esetében is.

Szerk.: Már kijött LEDE-re is a legfrissebb, 4.4.26-os kernel, amelyben javították ezt a bugot. Megy is fel a routeremre.


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Dirty COW Laptop Computer Bag
$17,100.00

:-o

Valószínûleg a klasszikus "a szám konvertálvalett forintra, a pénznem meg nem" eset forog fenn.

### ()__))____________)~~~ ########################
# "Do what you want, but do it right" # X220/Arch

A PayPal szerint nem.

Kieg: Ennyibe kerül egy póló.

Az hagyjan, de legalabb ne 3-4 het lenne a kiszallitasi ido :(

Először alaposan kiröhögik magukat, majd utána ok is megnézik az árat és gyorsan nekiállnak megfelelő szövetet keresni, majd szabót, várót, stb ... Hamar eltelik 4 hét.

"How can Linux be fixed?"

Mit tenne "Bomber" Harris?

A jó hír az, hogy akik a stabil kernelt (2.4) használják, azokat nem érinti. A többi meg hadd szívjon.

Szerintem a 2.6.18 se erintett :>

Fedora 24, Thinkpad x220

Vajon WSL-re is lesz hotfix?
Anno legalábbis vicces volt, amikor a többek közt a Nachi féreg által is kihasznált RPC-DCOM sebezhetőségre OpenVMS patch is jött ki. :)

Üdv,
Marci

huh ott van a kommentekben, hogy még az androidok is érintettek. Ejj ez kemény cucc lesz. Ez most egy betli volt.

--
GPLv3-as hozzászólás.

Does Not Exist ;)

Does Not Exist
szerk: Hunger közben már megválaszolta.
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

es mi nem letezik? a bug vagy a javitas? :)

Az általad linkel oldalon a "References" részt ajánlom figyelmedbe:

References
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5195
http://www.ubuntu.com/usn/usn-3107-1
http://www.ubuntu.com/usn/usn-3106-4
http://www.ubuntu.com/usn/usn-3106-3
http://www.ubuntu.com/usn/usn-3106-2
http://www.ubuntu.com/usn/usn-3106-1
http://www.ubuntu.com/usn/usn-3105-2
http://www.ubuntu.com/usn/usn-3105-1
http://www.ubuntu.com/usn/usn-3104-1

Az egyes USN-eken belül az Update instructions részt:

Update instructions

The problem can be corrected by updating your system to the following package version:

Ubuntu 16.10:
linux-image-4.8.0-26-powerpc64-emb 4.8.0-26.28
linux-image-4.8.0-26-generic 4.8.0-26.28
linux-image-4.8.0-26-generic-lpae 4.8.0-26.28
linux-image-4.8.0-26-lowlatency 4.8.0-26.28
linux-image-4.8.0-26-powerpc-smp 4.8.0-26.28
linux-image-4.8.0-26-powerpc-e500mc 4.8.0-26.28

Szerintem ebből egyértelműen kiderül a kérdéseidre az összes válasz.

--
trey @ gépház

Tegnap a linode-os linux szerverekhez is megjött a friss, javított kernel, rebootot kértek.
--
Csaba

Maga a hiba nem érdekel különösebben, de a hírről eszembe jutott, hogy upgrade-eljem az Ubuntumat. Az apt-get 4.4.0-38-ról akart volna upgrade-elni 4.4.0-45-re, azonban elakadt valami dependency probléma miatt, és akarhány update/upgrade után sem jutott ezen túl.

A jelenség előfordult már nálam korábban is, és emlékeztem, hogy attól szűnt meg, hogy telepítettem valami teljesen irreveláns dolgot. Nosza, most is ezzel próbálkoztam , elővettem a synapticot, hogy keressek valami ártalmatlan csomagot, végül feltettem a joe-t, és csodák csodájára megoldódott a dependency probléma is. Arra azért kiváncsi volnék, hogy ez egy Debian feature, vagy a Canonical fejlesztések gyümölcse.

--
ulysses.co.hu

aptitude -f install ?

--------------------------------------------------------------------
http://www.kmooc.uni-obuda.hu/
http://www.memooc.hu/
https://www.safaribooksonline.com/

Azért egy ilyen sima juzerkénti privilégium emelési hiba érdekelhetne a gépen. :)

A linux modern korunk windows-a

Minden valamirevaló - úgy értem, nagyobbacska, komolyabb - kód bugos. Az a nem mindegy, hogy javítják-e, amikor kiderül a baj, vagy sem. Mellesleg talán vagy 2 napja van 4.8.3-as kernel, mire nézem a kernel.org-ot, vanillában már létezik 4.8.4-es, benne egy rakás ext4-et érintő javítással. A router-emen a LEDE-t tegnap frissítettem 4.4.26-os kernelre, erre vanillában van már 4.4.27-es. Nem tudom a pontos okát, de mostanában gyakran fedeztek fel és javítottak súlyos hibákat, 2-3 naponta jött ki friss kernel a stabil ágba, a még támogatott előzőbe és a longterm-be is.


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Ezt tegnap én is néztem. Arra jutottunk kollégával, hogy valszin a 4.4.26 és társai voltak soronkívüliek a CoW miatt és a 4.4.27 és társai a normál bugfixes kiadás. Minden esetre a kötelező azonnali és mindenekfelett álló jelenlegi Windows frissítési gyakorlat se biztos hogy jó, viszont úgy látszik még advanced juzernek se mindíg adható oda a döntés... :)

miert erdekelne barkit is, ha eleg szorakozast nyujt a "dependency tracking" csomagkezelo :)

(badly)

A kínos részleteket nem terjesztjük ezen a portálon