Négy jelentős, köztük egy kritikus biztonsági hibát talált a Qualys a Glibc-ben (local root)

Igen, irkálnak mindent össze-vissza. Utánanézve a syslog sérülékenység a 2.38-as glibc-t nem érinti, csak a qsort-os. A syslogosat ki is próbáltam a leírásban mutatott módszerrel, hibával leállt a jelszókérés (Authentication token manipulation error), de nem történt segfault és eszkaláció, most próbáltam ki Arch-on, ahol 2.38 van.

A qsort-os elvileg érinti a 2.38-at, de nem tudtam még tesztelni, mert max. csak a hétvégén lesz időm erre forráskódot pörgettyűzni. Bár szerintem addigra tuti kijön hozzá a javítás.

Na de itt nem erről van szó. Az tök más, ha egy program suid-os (tehát eleve root privilege-l rendelkezik és úgy fut), csak épp másra veszed rá, mint amit csinálnia kéne; na az nem "privilege escalation", mint itt.

A leírásban sem szerepel, hogy kéne a kihasználáshoz suid, csak hosszú paramétereket emlegetnek csupán:

Although the vulnerability requires specific conditions to be exploited (such as an unusually long argv[0] or openlog() ident argument), its impact is significant due to the widespread use of the affected library.

Sose értettem azt az embert. Minek a Windowst védeni, ami nem szorul rá. Még azt is megértem, hogy a FOSS-t meg a Linuxot utálja, mert párszor kudarcot vallott vele, de hadjáratba kezdeni ellene?

Amúgy pedig vannak kint a pcforum-on érdekes hírek, sudo-t kap a Windows, illetve régi procikon (Core 2 és korabeli Athlonok) a Win10-es beépített programok elkezdtek egy frissítés után nem futni, vélhetőleg a MS véletlenül benne hagyta a C++ runtime-ban az SSE 4.2-őt a fordításnál. A redditen, YouTube-on meg az volt a nagy dobás a múlt héten, hogy valaki újra felfedezett egy régi, 10 éve nem fejlesztett, Object Pascalban írt, WinXP-t utánzó asztali környezetet, az XPde-t. Csodálkozok is, hogy trey ezeket nem teszi ki hírbe.

A hozzászólások viszont sok esetben nagyon színvonaltalanok azon az oldalon, pl. most olvastam egy fórumtémát, hogy 7. genes inteles i7-es laptopon a Win10 miért lassú 5400 rpm-es HDD-vel. Már messziről ordít, hogy a HDD miatt, erre a sok hülye ragozza 2 oldalon át, hogy biztos a hűtés, meg régi, elavult a proci, és rosszul van telepítve a Java (???), 32 bitesre a 64 bites rendszeren!!! Kellett várni több napot, a 2. oldal végére, 3. kommentoldal elejére, mire jöttek értelmesebb kommentelők, akik azonnal kiszúrták, hogy SSD kell bele. Másik fura komment ugyanott, hogy 1 évet húzzon ki a kérdező a lassú géppel, szenvedjen csak, 2025-ben meg váltson Linux Lite-ra. Okés, Linux, persze, de minek várjon vele akkor egy évet a Win10 support végéig, mikor SSD-ket lehet már kapni pendrive árában is, meg Linuxra azonnal lehetne váltani? Meg miért csak Linux Lite jön szóba? Utóbbival semmi baj nincs, csak túl specifikusnak tűnik, hogy csak az lehet.

Ami még gáz azon az oldalon, hogy minden nagyon izzadtságszagúan kényszermagyarítva van. Pl. glibc-t könyvtárnak nevezi, de könyvtáron én mappát értek. Persze a library is könyvtár, értem hogy érti, de ebben a jelentésében inkább függvénytár, rutingyűjtemény, vagy akármi másnak magyarítanám, amit amúgy kerülnék, nem nagyon volt dolgom már nagyon rég ilyen kényszermagyarított infós szövegekkel. Másik cikkben a Linux kernelbe kerülő drivert meghajtónak nevezi, amire én meg adattárolóra asszociálok. Igen, elmegy, de erőltetett, ezt én meghajtóprogramak, illesztőprogramnak nevezném, meg szakmai oldalon nem értem miért kell ezeket ennyire kényszermagyarítani, ennyi erővel akkor a pendrive-ot is hívja tollhajtánynak, a szkennert mert letapogatónak. Ezek az ősmagyarkodó kifejezések halálra idegesítenek Sting cikkeiben. 80-as, kora 90-es években kiadott ismeretterjesztő számtechkönyvekben voltak ezek a már akkor elavult kifejezések ennyire túlerőltetve.