Historias
Slashboxes
Comentarios
 
Búsqueda
Este hilo ha sido archivado. No pueden publicarse nuevos comentarios.
Corregida vulnerabilidad en el núcleo Linux | Log in/Crear cuenta | Top | 61 comentarios | Buscar hilo
Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.

  • De Tiempo y tocinos

    (Puntos:2, Interesante)
    por frewd (12330) el Lunes, 05 Enero de 2004, 20:22h (#250913)
    Ante todo rapidez:

    [Full-Disclosure] Linux kernel mremap vulnerability
    Paul Starzetz security@isec.pl
    Mon, 5 Jan 2004 13:30:32 +0100 (CET)

    The latest 2.4 version of the Linux kernel is: 2.4.24 2004-01-05 13:55 UTC

    despues de realizar la conversion a UTC tenemos que la publicacion en la Full-Disclosure fue a las 11:30:32 UTC y el Kernel 2.4.24 a las 13:55.
    • Re:De Tiempo y tocinos de xose (Puntos:3) Lunes, 05 Enero de 2004, 20:47h
    • Re:De Tiempo y tocinos de pobrecito hablador (Puntos:1) Lunes, 05 Enero de 2004, 21:06h

      • Re:De Tiempo y tocinos

        (Puntos:4, Inspirado)
        por pepitogrillo (10291) el Lunes, 05 Enero de 2004, 23:05h (#250941)


                Lo siento, pero te equivocas en el razonamiento.

                Hay fallos que existen desde siempre, en Linux, Windows y en cualquier software.
                Otro tema es que cuando se conocen se solvente rápido o no.

                Este comentario se refiere al tiempo en que se descubre y se solventa.

                El tema del RPC que explotaba Blaster existe desde la primera versión de Windows NT 4.0 (año 96), pero no descubrió hasta hace pocos meses. Y esto no quiere decir que Microsoft sea lenta, sino que no se descubrió y, por lo tanto, como si no existiera.

                Repito, todo software tiene problemas, unos se conocen y otros no. No puedes arreglar algo que no sabes que existe.

                Saludos.
        [ Padre ]
      • Re:De Tiempo y tocinos de frewd (Puntos:1) Martes, 06 Enero de 2004, 11:25h
    • (no subject) de paranouei (Puntos:1) Lunes, 05 Enero de 2004, 21:57h
      • Re:(no subject) de pobrecito hablador (Puntos:0) Lunes, 05 Enero de 2004, 22:32h
        • Re:(no subject) de pobrecito hablador (Puntos:0) Martes, 06 Enero de 2004, 16:21h
          • Re:(no subject) de pobrecito hablador (Puntos:0) Martes, 06 Enero de 2004, 19:37h
      • Re:(no subject) de pobrecito hablador (Puntos:0) Martes, 06 Enero de 2004, 13:10h

  • Pregunta

    (Puntos:2, Inspirado)
    por pobrecito hablador el Lunes, 05 Enero de 2004, 20:40h (#250915)
    Según Paul , la posibilidad de este compromiso se basa en que el comportamiento del kernel ante una situación de un area corrupta de 0bytes permite predecir el area de memoria que usará y por lo tanto usando cualquier instrucción que encuentre en ese bloque ( por un agujero de memoria en la VMA , memoria virtual ).

    ¿Cómo c*ñ* descubre alguien este tipo de errores? ¿Se topan con ellos por casualidad o les sobreviene una inspiración divina?

    • Puzzle de frewd (Puntos:1) Lunes, 05 Enero de 2004, 21:01h

  • A ver cuanto tardan...

    (Puntos:-1, FueraDeTema)
    por pobrecito hablador el Lunes, 05 Enero de 2004, 21:31h (#250928)
    De momento ya lleva un par de horas editada la noticia y todavia no ha aparecido ningún troll de Microsoft. ¡Que record!

  • Hace falta tener una cuenta local.

    (Puntos:1)
    por Wokkyn (9607) el Lunes, 05 Enero de 2004, 23:08h (#250942)
    Este fallo puede ser mitigado un poco, ya que para poder explotarlo hace falta tener una cuenta local.De esta manera solo los usuarios registrados de esa máquina pueden llegar a privilegios de root.

  • el fallo se detectó hace por lo menos TRES semanas

    (Puntos:1)
    por loki-yo (12388) el Martes, 06 Enero de 2004, 00:34h (#250955)
    este es un extracto del changelog del kernel que uso ahora mismo en mi suse...

    --------------------------------------------------
    * Wed Dec 17 13:00:00 2003 - mantel@suse.de
    - add missing check in mremap

  • vaya mesecitos

    (Puntos:2, Inspirado)
    por vatos (7946) el Martes, 06 Enero de 2004, 00:35h (#250956)
    ( http://barrapunto.com/ )
    Lo dije hace poco, y lo volvere a decir: vaya mesecitos que llevamos.
    Lo que no hay que hacer es criticar a Linux por sus errores o aprovechar para criticar a Microsoft tambien de paso. El software tiene errores y siempre los tendra. Si alguien hace un programa y considera que no puede tener ningun error, casi seguro que se equivoca. Todos los programas tienen errores, que pueden aparecer muy frecuentemente o en casos extremos. Estos ultimos son los mas complejos de detectar, porque o se detectan en correctas baterias de test, o es improbable detectarlos en funcionamiento. Este error es uno de estos.
    El gran problema que tiene Linux frente a Microsoft es que, aunque el kernel haya sido actualizado, no se puede asegurar que todas las distribuciones hayan parcheado inmediatamente su distribucion de manera que mañana todos los administradores puedan descargar un nuevo kernel parcheado. Deberia ser obligatorio que todas las compañias que ofrecen soporte pagado lo tuvieran, porque viven de eso, del soporte, mientras que es mas tolerable que distribuciones que no cobran, como gentoo o debian, tarden algo mas en actualizar. Supongo que gentoo hara la actualizacion casi inmediatamente, pero bueno, seria tolerable que tardaran mas.
    De los que se compilan el kernel no digo nada, porque se lo que nos gusta hacer el make del kernel y ver lo bonito que queda.

  • esfuerzos disgregados, falta de estandares...

    (Puntos:0)
    por pobrecito hablador el Martes, 06 Enero de 2004, 10:46h (#251024)
    Buenas... Opino que deberia hacerse un estandar mejor en linux, arbos de directorios, etc... mas completo, ya que asi las distribuciones se pareceran y solo se diferenciaran en el software incluido, que este sean asistentes, etc... Uno de los problemas es que en linux hay un monton de distribuciones y cada una hace lo que le sale de los... Si se siguiera un standard, habrian menos problemas... Igual puede parecer que no tenga mucho que ver con los fallos de linux, pero yo creo que si, si hubiera menos disgregacion de esfuerzos, y no hicieran que "yo me hago mis modificaciones y alla tu lo que tu haces", pues si ellos colaboraran directamente en los proyectos oficiales en lugar de hacer forks.. Creo que esto iria mucho mejor... Mas estandarizar y menos disgregacion...

  • Lo que es la MANIPULACION informativa.

    (Puntos:3, Interesante)
    por pobrecito hablador el Martes, 06 Enero de 2004, 15:25h (#251090)
    Desde luego, criticais de lo lindo la manipulacion informativa de MS cuando empieza a decir tonterias sobre linux y demas.
    Pero es que sois iguales. Se desubre una muy grave vulnerabilidad del kernel, que afecta a la practica totalidad de las instalaciones linux... y la noticia se reduce a un "Corregida vulnerabilidad en el nucleo de Linux" (redundante por cierto, porque Linux es solo un kernel).
    Solo se ha hecho la correcion para la serie 2.4, las otras dos 2.6 y 2.2 todavia la padecen, luego el titular de la noticia es todo un alarde de desinformacion. Ademas, el que cualquier usuario de cualquier sistema linux pueda ganar privilegios de root, no me parece "grave". Personalmente el sentido comun me dice que como poco es "muy grave".