Historias
Slashboxes
Comentarios
 
Búsqueda
Este hilo ha sido archivado. No pueden publicarse nuevos comentarios.
Corregida vulnerabilidad en el núcleo Linux | Log in/Crear cuenta | Top | 61 comentarios | Buscar hilo
Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.

  • De Tiempo y tocinos

    (Puntos:2, Interesante)
    por frewd (12330) el Lunes, 05 Enero de 2004, 20:22h (#250913)
    Ante todo rapidez:

    [Full-Disclosure] Linux kernel mremap vulnerability
    Paul Starzetz security@isec.pl
    Mon, 5 Jan 2004 13:30:32 +0100 (CET)

    The latest 2.4 version of the Linux kernel is: 2.4.24 2004-01-05 13:55 UTC

    despues de realizar la conversion a UTC tenemos que la publicacion en la Full-Disclosure fue a las 11:30:32 UTC y el Kernel 2.4.24 a las 13:55.
    • Re:De Tiempo y tocinos de xose (Puntos:3) Lunes, 05 Enero de 2004, 20:47h
    • Re:De Tiempo y tocinos de pobrecito hablador (Puntos:1) Lunes, 05 Enero de 2004, 21:06h

      • Re:De Tiempo y tocinos

        (Puntos:4, Inspirado)
        por pepitogrillo (10291) el Lunes, 05 Enero de 2004, 23:05h (#250941)


                Lo siento, pero te equivocas en el razonamiento.

                Hay fallos que existen desde siempre, en Linux, Windows y en cualquier software.
                Otro tema es que cuando se conocen se solvente rápido o no.

                Este comentario se refiere al tiempo en que se descubre y se solventa.

                El tema del RPC que explotaba Blaster existe desde la primera versión de Windows NT 4.0 (año 96), pero no descubrió hasta hace pocos meses. Y esto no quiere decir que Microsoft sea lenta, sino que no se descubrió y, por lo tanto, como si no existiera.

                Repito, todo software tiene problemas, unos se conocen y otros no. No puedes arreglar algo que no sabes que existe.

                Saludos.
        [ Padre ]
      • Re:De Tiempo y tocinos de frewd (Puntos:1) Martes, 06 Enero de 2004, 11:25h
    • (no subject) de paranouei (Puntos:1) Lunes, 05 Enero de 2004, 21:57h

  • Pregunta

    (Puntos:2, Inspirado)
    por pobrecito hablador el Lunes, 05 Enero de 2004, 20:40h (#250915)
    Según Paul , la posibilidad de este compromiso se basa en que el comportamiento del kernel ante una situación de un area corrupta de 0bytes permite predecir el area de memoria que usará y por lo tanto usando cualquier instrucción que encuentre en ese bloque ( por un agujero de memoria en la VMA , memoria virtual ).

    ¿Cómo c*ñ* descubre alguien este tipo de errores? ¿Se topan con ellos por casualidad o les sobreviene una inspiración divina?

  • Hace falta tener una cuenta local.

    (Puntos:1)
    por Wokkyn (9607) el Lunes, 05 Enero de 2004, 23:08h (#250942)
    Este fallo puede ser mitigado un poco, ya que para poder explotarlo hace falta tener una cuenta local.De esta manera solo los usuarios registrados de esa máquina pueden llegar a privilegios de root.

  • el fallo se detectó hace por lo menos TRES semanas

    (Puntos:1)
    por loki-yo (12388) el Martes, 06 Enero de 2004, 00:34h (#250955)
    este es un extracto del changelog del kernel que uso ahora mismo en mi suse...

    --------------------------------------------------
    * Wed Dec 17 13:00:00 2003 - mantel@suse.de
    - add missing check in mremap

  • vaya mesecitos

    (Puntos:2, Inspirado)
    por vatos (7946) el Martes, 06 Enero de 2004, 00:35h (#250956)
    ( http://barrapunto.com/ )
    Lo dije hace poco, y lo volvere a decir: vaya mesecitos que llevamos.
    Lo que no hay que hacer es criticar a Linux por sus errores o aprovechar para criticar a Microsoft tambien de paso. El software tiene errores y siempre los tendra. Si alguien hace un programa y considera que no puede tener ningun error, casi seguro que se equivoca. Todos los programas tienen errores, que pueden aparecer muy frecuentemente o en casos extremos. Estos ultimos son los mas complejos de detectar, porque o se detectan en correctas baterias de test, o es improbable detectarlos en funcionamiento. Este error es uno de estos.
    El gran problema que tiene Linux frente a Microsoft es que, aunque el kernel haya sido actualizado, no se puede asegurar que todas las distribuciones hayan parcheado inmediatamente su distribucion de manera que mañana todos los administradores puedan descargar un nuevo kernel parcheado. Deberia ser obligatorio que todas las compañias que ofrecen soporte pagado lo tuvieran, porque viven de eso, del soporte, mientras que es mas tolerable que distribuciones que no cobran, como gentoo o debian, tarden algo mas en actualizar. Supongo que gentoo hara la actualizacion casi inmediatamente, pero bueno, seria tolerable que tardaran mas.
    De los que se compilan el kernel no digo nada, porque se lo que nos gusta hacer el make del kernel y ver lo bonito que queda.

  • Lo que es la MANIPULACION informativa.

    (Puntos:3, Interesante)
    por pobrecito hablador el Martes, 06 Enero de 2004, 15:25h (#251090)
    Desde luego, criticais de lo lindo la manipulacion informativa de MS cuando empieza a decir tonterias sobre linux y demas.
    Pero es que sois iguales. Se desubre una muy grave vulnerabilidad del kernel, que afecta a la practica totalidad de las instalaciones linux... y la noticia se reduce a un "Corregida vulnerabilidad en el nucleo de Linux" (redundante por cierto, porque Linux es solo un kernel).
    Solo se ha hecho la correcion para la serie 2.4, las otras dos 2.6 y 2.2 todavia la padecen, luego el titular de la noticia es todo un alarde de desinformacion. Ademas, el que cualquier usuario de cualquier sistema linux pueda ganar privilegios de root, no me parece "grave". Personalmente el sentido comun me dice que como poco es "muy grave".

  • Re:A ver cuanto tardan...

    (Puntos:1, Interesante)
    por pobrecito hablador el Lunes, 05 Enero de 2004, 23:33h (#250945)
    Yo soy uno de los que seguramente calificas como troll (o califican,porque en gran medida los moderadores aqui te califican segun de que lado estes,no segun lo que digas).
    Me parece realmente acojonante que ahora os "quejeis" (o te quejes) de los trolls de microsoft,cuando un altisimo porcentaje de vosotros mete cizaña contra m$ por el mero echo de meterla,por ir de way,etc
    Y en este caso concreto de meter cizaña sobre los bugs ajenos ( si fuese un bug de m$ ya me imagino como estaria el percal ) ,pues quizas no haya mas "trolls microsoft" por aqui porque ,al menos en mi caso,no me dedico a "vivir" de los errores de los demas,ni a estar mirando constantemente lo que hace para decir "otro fallo de kernel de linus,juajuajua son la oxtia estos linuserox XDDDDD" . ale
    [ Padre ]

  • Re:A ver cuanto tardan...

    (Puntos:1)
    por termi (10245) el Martes, 06 Enero de 2004, 07:55h (#251003)
    A mi,me gustaria preguntar a todos estos paladines de mocosoft si han pagado la licencia de su "flamante" Güindows Xpes.No,claro, seguro que defenderan a capa y espada lo bueno que es, lo estable, pero seguro que no han pagao, lo tiene pirateao. Nosotros, por lo menos, tenemos nuestras maquinas legales, gracias al trabajo de toda una comunidad a la cual estamos orgullosos de perteneder. Compartimos el conocimiento,nos ayudamos y no esperamos hacernos ricos, solo aprender y mejorar. Los Bugs, son inevitables y por otro lado necesarios para avanzar. Solo que a nosotros un parche no nos cuesta un paston. Simplemente nos o bajamos de internets.... A ver si todos estos defensores del esclavismo del güindows, empiezan a pagar las licencias. A ver si entonces les parece tan bueno.
    [ Padre ]

  • Re:esfuerzos disgregados, falta de estandares...

    (Puntos:3, Interesante)
    por Penetrator (5932) el Martes, 06 Enero de 2004, 12:30h (#251061)
    Mmmhh... Estoy de acuerdo en que muchas distros van a su bola, y que habría que estandarizar más. En realidad, ya existe un estándar (http://www.linuxbase.org), pero todavía no lo respetan demasiado. De todas formas, no creo que el hecho de seguir o no unos estándares tenga algo que ver con la seguridad. ¿De verdad crees que este fallo es debido a eso? Si es así, explícate mejor, porque yo no lo veo.

    ¡Ah! Y en cuanto a lo de "disgregar esfuerzos", yo prefiero llamarlo "libertad de elección". Me gusta poder elegir entre Gnome o KDE, me gusta poder elegir entre Mplayer o Xine, me gusta poder elegir entre OpenOffice y KOffice, me gusta poder elegir entre... en fin, que me gusta. Y gracias a la GPL no se duplican tantos esfuerzos, porque una buena idea implementada en un programa se puede pasar al de la "competencia" sin mucho esfuerzo.

    -
    --
    La belleza está en el interior (Jack el Destripador)
    [ Padre ]

  • Re:esfuerzos disgregados, falta de estandares...

    (Puntos:1)
    por Icarus (9954) el Miércoles, 07 Enero de 2004, 03:30h (#251237)
    ( http://blackspiral.org/ | Última bitácora: Miércoles, 03 Diciembre de 2003, 19:23h )

    ¿Te refieres a algo similar a POSIX [pasc.org]?

    De todas formas yo tampoco entiendo muy bien qué tiene que ver la estandarización de las distribuciones con la seguridad del kernel. No nos olvidemos que el fallo afecta directamente al núcleo, no a alguna aplicación aparte. Y en el núcleo, pese a haber forks y pese a que algunas distros lo parcheen al gusto, la base es la misma sobre la que está trabajando todo cristo.

    Y desde luego, yo no cambio la libertad de elección que tengo ahora con los distintos sabores de linux y esas pequeñas diferencias entre distribuciones que se ajustan en cada momento a tus necesidades por nada del mundo. ¿No está precisamente ahí la gracia?. Para usar todos lo mismo, pues usemos microsoft. Bueno, en este caso, la alternativa libre, debian según tengo entendido, ¿no? ;).

    Un saludo
    --

    --
    Icarus
    "It's not a bug, it's a feature!"
    [ Padre ]
  • 2 respuestas por debajo de tu umbral de lectura actual.