lunedì 17 agosto 2009 di Michele Nasi 7268 Letture

E' stata sanata la falla scoperta nel kernel Linux

Due esperti di sicurezza facenti parte del team di Google, Tavis Ormandy e Julien Tiennes, avevano reso nota - nei giorni scorsi - la scoperta di una vulnerabilità all'interno del kernel Linux, nelle versioni 2.4 e 2.6. La lacuna, che sarebbe presente sin dal mese di Maggio 2001, permetterebbe ad un aggressore dotato di privilegi utente limitati, di guadagnare l'accesso al sistema attraverso l'account "root". Nel resoconto di Ormandy e Tiennes si fa riferimento alla mancata inizializazione di alcuni puntatori nel caso di diverse famiglie di protocolli.

Dal momento che in Rete sta già circolando il codice exploit in grado di far leva sulla falla, i produttori delle principali distribuzioni Linux stanno provvedendo in queste ore alla pubblicazione degli aggiornamenti risolutivi. Per Debian 5.0 ("Lenny") e Debian 4.0 ("Etch") così come per Fedora 10 e 11 sono ad esempio già disponibili le patch. A breve è auspicabile vengano distribuiti gli aggiornamenti destinati agli utenti di Ubuntu ed openSUSE.


Secunia ha valutato la vulnerabilità che interessa il kernel Linux con un livello di criticità piuttosto basso. La motivazione risiede nel fatto che la lacuna può essere sfruttata solo in ambito locale, da parte di un utente che già dispone di un account, seppur dotato di privilegi ristretti.

  1. Avatar
    ggiordani2
    27/08/2009 15:55:02
    certo, non esistono sistemi sicuri al 100%. non siamo neppure sicuri al 100% che tra 10 secondi saremo ancora vivi. ma se qualcuno pensa che windows abbia un livello di sicurezza simile a quello di linux, sgnifica che conosce molto poco i due sistemi. mandi dal friul
  2. Avatar
    gnulinux866
    19/08/2009 19:35:25
    sicup2 no flame grazie. Ho postato dei link, ti consiglio un accurata lettura, dopo trai le tue conclusioni. Non capisco la tua sterile polemica, fatta, su un problema risolto, si una falla che Secunia classifca less. Su Windows ci sono falle aperte da diversi anni con un grado di pericolosità maggiore ( http://secunia.com/advisories/22628 ). Ti faccio notare che su Windows, le falle spesso coinvolgono tutti i sistemi in life cycle ( http://secunia.com/advisories/36187/ ) dovrei pensare che sono falle presenti da almeno 8 anni a quanto pare.
  3. Avatar
    jacopo
    18/08/2009 21:39:11
    Un utente alle prime armi su un sistema GNU/Linux non rischia affatto...che rimanga spaesato è un altro paio di maniche ;)
  4. Avatar
    gigino
    18/08/2009 21:38:56
    Citazione: prova a dare in mano a un utonto linux e vediamo se rischia di più lui o un utente 'consapevole' di windows...
    Direi che rischiano alla pari, ma tra un utonto linux ed un utonto windows direi che rischia di più il secondo... :roll:
  5. Avatar
    sicup2
    18/08/2009 16:32:13
    Stiamo parlando di un problema su linux presente da anni contro un problema su windows 7 che ancora non è neppure in commercio, e la falla di cui parli non è risolvibile nell'immadiato, non per l'eternità ... Per quanto riguarda i problemi sull'UAC quella fonte mi sembra un tantino di parte, e l'interpretazione quanto meno contestabile. Detto questo comunque non sono contro linux, anzi al contrario, solo che servirebbe essere un po' più obbiettivi, e dicendo che linux è più sicuro di windows si dice davvero poco: prova a dare in mano a un utonto linux e vediamo se rischia di più lui o un utente 'consapevole' di windows...
  6. Avatar
    jacopo
    18/08/2009 15:09:23
    La vedo così: non è grave in quanto può essere sfruttata solamente in locale. Ben altra cosa sono le falle sfruttabili da remoto.
  7. Avatar
    gnulinux866
    18/08/2009 13:52:10
    Ovvio che Secunia la classifichi low, è sfruttabile solo in locale, e bisogna essere Super user, comunque il bug era del compilatore, comunque come spiega l'articolo è stata corretta. Windows7 ha una falla sfuttabile sempre in locale, che non sarà corretta ( http://www.zeusnews.com/index.php3?ar=stampa&cod=10174 ) che se la sommiamo a quella del UAC sempre di Win7 ( http://leo.lss.com.au/W7E_VID_INT/W7E_VID_INT.htm ) ( http://leo.lss.com.au/W7E_VID_DRA/W7E_VID_DRA.htm ) falla che non sarà corretta come spiega Microsoft ( http://guiodic.wordpress.com/2009/06/19 ... windows-7/ ). Che non esista sistema sicuro al 100%, lo sappiamo tutti, ma esistono sistemi sicuri ed altri meno sicuri.
  8. Avatar
    sicup2
    18/08/2009 13:11:44
    Non sono molto d'accordo con la decisione di Secunia di valutare basso il rischio della falla. Un utente con diritti limitati in grado di acquisire privilegi amministrativi (seppur in locale) secondo me è piuttosto grave, soprattutto considerando che si tratta di un problema del kernel di linux presente da anni... Questo dovrebbe far capire che non esistono sistemi sicuri, al di là che si chiamino Windows o Linux, il resto è per lo più propaganda.
  9. Avatar
    gnulinux866
    18/08/2009 07:48:45
    Ok, però è meglio se i link vengono aggiunti all'articolo, così è più chiaro.
  10. Avatar
    Michele Nasi
    17/08/2009 20:22:09
    Non si tratta dello stesso problema. Vedi qui: http://git.kernel.org/?p=linux/kernel/g ... 45cf0f1b98 Inoltre nel dettaglio dell'exploit si legge: "All Linux 2.4/2.6 versions since May 2001 are believed to be affected: - Linux 2.4, from 2.4.4 up to and including 2.4.37.4 - Linux 2.6, from 2.6.0 up to and including 2.6.30.4". Nel documento che hai linkato non c'è infatti alcun riferimento al codice CVE ("Common Vulnerabilities and Exposures) CVE-2009-2692. Altre informazioni: http://web.nvd.nist.gov/view/vuln/detai ... -2009-2692