Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Csak csendben, csak halkan...

2009.04.12. 13:19 | buherator | 2 komment

eax@HUP

A nemrég kiadott 2.6.29.1-es linux kernelben Felix von Leitner egy érdekes commit-ot talált.

A CIFS kliens kódjában található, szerényen csak "memory overwrite fix"-ként emlegetett változtatás egy potenciálisan távolról, ring0 kódfuttatásra kihasználható biztonsági hibát javít.
A hibás kódrészlet már a git-ben megtalálható legelső verzióban, a 2.6.12-rc2-ben is jelen van, így az érintett felhasználók köre meglehetősen széles lehet.

Workaround-ként érdemes egy időre felhagyni a CIFS share-ek használatával, mivel úgy tűnik, hogy a javítás is javításra szorul.

A full-disclosure listán jó kis flame alakult ki az elsunnyogási kísérlettel kapcsolatban, néhányan egyenesen a Microsoft 2002-es állapotait vélik felfedezni a Linus Torvarlds által kinyilatkoztatott "nyilvánosságrahozatali politikában": Ennek lényege nagyjából annyi, hogy a biztonsági javítások is csak egyszerű javítások, melyeket a lehető leggyorsabban ki kell adni, ezért nincs idő mindenféle előzetes bejelentgetésekre, miután pedig a hiba javításra került, már nincs is miről beszélni...

Ezzel kapcsolatban nem tudom kihagyni, hogy belinkeljem ezt a prezentációt (thx dnet), melyet Crispin Cowan adott elő a tavalyi Smoocon-on. Crispin fejlesztette többek között a linuxos AppArmor biztonsági szoftvert, most pedig a Microsoft alapvető biztonsági megoldásaiért felelős részlegén dolgozik. Ebben az előadásban (melyet ezen a videón is megtekinthettek) arról beszél, hogy milyen pozitív és negatív tapasztalatai vannak azok után, hogy betekintést nyert mind a nyílt-forrású közösség, mind a Microsoft biztonsággal foglalkozó berkeibe. Tanulságos olvasmány - főleg ha elvonatkoztatunk a Jeff Jones-féle hibastatisztikáktól :P

Kis lemaradásban vagyok a világ eseményeihez képest, de dacolva a húsvéti evészetek és ivászatok örömeivel, igyekszem behozni magam, stay tuned...

Címkék: microsoft linux bug crispin cowan

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.