Fórum:
Sziasztok!
Tegnap olvastam ezeket:
https://pcforum.hu/hirek/23261/megint-masfel-evtizedes-sulyos-sebezhetosegeket-talaltak-a-linux-ban
https://pcforum.hu/hirek/22066/megint-sulyos-hibat-talaltak-a-linux-ok-biztonsagi-rendszereben
https://pcforum.hu/hirek/20014/elkepeszto-szamu-usb-s-hibat-talaltak-a-linux-ban
Azért ez meglepő, hogy ilyen hibák vannak benne!
Gyorsan frissítettem is 21.1 "Vera"-ra.
Ezt írja ki most a rendszerinfó nekem:
Kernel: 5.15.0-56-generic x86_64 bits: 64 compiler: gcc v: 11.3.0 Desktop: Xfce 4.16.0
tk: Gtk 3.24.23 wm: xfwm dm: LightDM Distro: Linux Mint 21.1 Vera base: Ubuntu 22.04 jammy
Azt szeretném kérdezni, hogy akkor a fent cikkekben felsoroltak közül melyik hibákat orvosolta a 21.1 “Vera”, és melyik biztonsági rések maradtak továbbra is nyitva?
Köszönettel:
Atrasko
Ez nem mind friss hír
Beküldte Atrasko -
Bocsánat, most hogy nézem a cikkek keltezését, látom ezeknek egy része régi bejegyzés. Remélhetőleg már befoltozták a réseket.
De az első cikk tegnapi.
https://pcforum.hu/hirek/25459/elkepesztoen-sulyos-sebezhetoseget-talaltak-a-linux-okban-ilyenre-meg-nem-nagyon-volt-pelda
Értékelés:
Ez nem mind friss hír
Beküldte kimarite -
Az USB-s eszközök a Linux-ot futtató számítógépekhez történő csatlakoztatása "életveszélyes" lehet - derült ki a héten.
Az egyetlen jó hír, hogy kihasználásukhoz elméletileg helyi hozzáférés szükséges a Linux-szal működő masinához - bár pl. a vállalati rendszergazdák nyilván így sem fognak nagyon örülni nekik.
Hogyan csatlakoztatsz egy USB-s eszközt máshogyan, mint helyileg? Gyakorlatilag! :)
Olvasgatom a portált én is, de egy ITCafe vagy HWSW jobban ért a témához azért.
Az a gond ezekkel a cikkekkel, hogy az írójuk mindig ugyanaz, és történetesen a bejelentésre korlátozódik, mármint, ha javítják, az nem kerül közlésre ;). A sudo sebezhetőség is jó régen javítva. A Linux és a Unix rendszereket meglehetősen gyorsan javítják.., a többihez, és önmagához képest is. Amúgy:
Számos olyan sebezhetősége van egy Linux rendszernek,
amik közvetlen hozzáféréssel tetszőlegesen törhető.
De ez elmondható a Windows vagy OSX
és az összes többi rendszerről is.
Értékelés:
Ez nem mind friss hír
Beküldte T.István -
Olvasgatom a portált én is, de egy ITCafe vagy HWSW jobban ért a témához azért.
Jaja, de nem csak ITCafe, vagy HWSW, hanem lásd lentebb is.
Az a gond ezekkel a cikkekkel, hogy az írójuk mindig ugyanaz, és történetesen a bejelentésre korlátozódik, mármint, ha javítják, az nem kerül közlésre ;)
Igen, eléggé személyes beállítottságú stílus, meg felületesség van ezekben, a nagy semmitmondásra koncentrálva. Meg az első esetében, hogy milyen kép van illusztrációként betéve, azt senki nem is veszi észre, mert kevesen értenek hozzá, de kb. mintha egy Windows hibáról szóló cikkbe betennének egy képet a 3.1-es Windowsról. (gondlom mással nem tudtak produkálni működő prezentációt, csak telnettel.)
Egyébként meg szakmai szemmel, és példás részletességgel lehet olvasni a hibáról pl. itt:
https://linuxmint.hu/hir/2022/12/ez-egy-szomoru-szamba
Értékelés:
Khm
Beküldte T.István -
1. sz hír: Hype, ez utal arra, hogy őskövület Telnet-el használ illusztrálásra, ezzel mégis mit akart mutatni, a hiba valóban volt, de ahogy minden ilyent, extrém gyorsan javították is.
A sebezhetőséget szerencsére már júliusban jelentették a Linux fejlesztőinek, akik augusztusban már el is készítették és ki is adták a javítást rá a Linux 5.15.61-es verziójában. Ez azt jelenti, hogy a rendszeresen frissített Linuxok ma már mindig védve vannak a kihasználással szemben - azon telepítések azonban, amikre nem kerültek fel azóta új verziók, bizony keményen törhetők lehetnek a sérülékenység révén.
2. sz. hír: (2020.10) Bluez, 5.9-es kernel (amiben már javítva van), Linux Mint 21 Bulemant használ amúgy és:
A sebezhetőséget a Linux legújabb, a hét végén megjelent 5.9-es verziója ugyan lezárja, de az még az asztali disztribúciók közül is csak kevésben érhető el.
már 6 egységet ugrott a kernel verzió, ez azért elég megbízhatónak mutatkozik. Amúgy a hiba nem a gép oldalán van, hanem olyan beágyazott rendszeres BT kütyüket érint, amilyenekkel nem találkoztam még, pedig elég sok hardvert láttam már.
3. sz. hír: (21. márciusi)
Az egyetlen jó hír a sebezhetőségekkel kapcsolatban, hogy közvetlenül nincs lehetőség távolról történő kihasználásukra, de pl. vállalati környezetben vagy egy másik, távoli sebezhetőséggel kombinálva így is igen súlyos biztonsági fenyegetést jelentenek.
mivan?
Végleges és biztos megoldást kihasználásuk ellen csakis a már javított, 5.11.4, 5.10.21, 5.4.103, 4.19.179, 4.14.224, 4.9.260 és 4.4.260 verziójú kernelekre történő frissítést jelenthet.
Ezen is régen túl vagyunk.
4. sz. hír (2020.02): Sudo hibája, emlékszem, a hírek akkor jelentek meg, amikor már régen kint volt a frissítés.
5. sz. hír (2017)....
>Azért ez meglepő, hogy ilyen hibák vannak benne!
Miért, milyenek kellene benne lenniük? Az nem meglepő, hogy milyen kevés? Windows-nak hetente van tucatnyi javítása. És az nem hír, hogy egyik javítás sem tette működésképtelenné a gépet?
>Azt szeretném kérdezni, hogy akkor a fent cikkekben felsoroltak közül melyik hibákat orvosolta a 21.1 “Vera”, és melyik biztonsági rések maradtak továbbra is nyitva?
Az elsőt leszámítva, amihez még nem jött ki a kernel, veszélyben vagy, ha telepíted a ksmbd-tools-t (alapból nincs benne a Mint-be), és valaki telnettel akar benyomulni a gépedre :-). Ha a tűzfal be van kapcsolva ekkor ennek semmi esélye.
Értékelés:
Khm
Beküldte Atrasko -
Szia!
Köszönöm a részletes válaszodat.
Csak azon lepődtem meg, hogy a legfrissebb hiba kihasználása nem igényel semmit a felhasználótól.
A tűzfal bekapcsolva, a ksmbd-tool nincs telepítve.
Szóval így semmi gond.
Értékelés: