Lue uutinen mobiilisivustolla

Linux-käyttöjärjestelmiin pujahti haavoittuvuus

5.7.2007 08:23 (päivitetty 12:12) Gnu-kirjastosta on löydetty haavoittuvuus, jota hyväksikäyttämällä paikallinen käyttäjä voi suorittaa mielivaltaisia komentoja korotetuin oikeuksin, kertoo Viestintäviraston tietoturvayksikkö CERT-FI.

Gnu C (glibc) on linux-käyttöjärjestelmien systeemikutsut määrittelevä keskeinen kirjasto.

CERT-FI:n mukaan kaikki linux-käyttöjärjestelmät ovat haavoittuvia eikä ongelmaan ole rajoitusmahdollisuuksia.

Päivitys: Tähän mennessä Gentoo Linuxissa ongelma on paikattu kirjaston 2.5-r4 -versiossa. Lisätietoja paikasta ja sen käytöstä löytyy Gentoon keskustelualueelta.

IBM:n tietoturvayksikön mukaan myös HP-UX-, Tru64-, AIX-, Irix-, Solaris- ja Wind Riverin BSD-käyttöjärjestelmät ovat haavoittuvaisia.

Lisätietoja löytyy sivuilta
http://xforce.iss.net/xforce/xfdb/35240
http://www.gnu.org/software/libc/libc.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3508

Kalevi Nikulainen toimitus@digitoday.fi

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kommentit (57)

Sivut: 1 2 3 4 5 6

EdellinenSeuraava

Anonyymi

 0  0

Asiaton viesti Lainaa

Miten niin Linux-haavoittuvuus? Kyllä tämä koskee artikkelin http://xforce.iss.net/xforce/xfdb/35240 mukaan lähes kaikkia Unix-pohjaisia käyttiksiä.

JPa 5.7.2007 8:42

Anonyymi

 0  0

Asiaton viesti Lainaa

Niin, siis paikallinen käyttäjä voi saada korotetut oikeudet... Entä sitten? Kaikissa käyttöjärjestelmissä on mahdollista saada pääkäyttäjän oikeudet, jos koneen viereen pääsee näppäilemään. Mikäs haavoittuvuus tämä nyt sitten on?! Voihan sen koneen vaikka ottaa kainaloonkin ja kantaa pois, jos se ei lukkojen takana ole. Varmaan isompi tietoturvariski se on.

Eri asia sitten, jos verkon takaa pääsee käpistelemään.

tajuux 5.7.2007 8:44

Anonyymi

 0  0

Asiaton viesti Lainaa

Mikäs haavoittuvuus tämä nyt sitten on?

Niin just! Mitä turhaan välittämään näistä pienistä tietoturva-aukoista, eihän ne Windowsissakaan mitään haittaa!

hö 5.7.2007 8:49

Anonyymi

 0  0

Asiaton viesti Lainaa

Niin, siis paikallinen käyttäjä voi saada korotetut oikeudet... Entä sitten?

On olemassa järjestelmiä, joissa on paikallisia käyttäjiä, joihin ei välttämättä voi luottaa: esim. yliopistojen koneet. Kotikoneissa tämä reikä on (likimain) merkityksetön ja sitä voi käyttää vain troijalaisissa jotka käyttäjä huijataan ajamaan koneella.

Tuomas Venhola 5.7.2007 8:52

Anonyymi

 0  0

Asiaton viesti Lainaa

Linux 1, Windows 0 .. Tämän bugin kiinni saamiseksi Wintendon tiimi joutuu kyllä pistämään parastaan :)

Jee 5.7.2007 9:00

Anonyymi

 0  0

Asiaton viesti Lainaa

Niin, siis paikallinen käyttäjä voi saada korotetut oikeudet... Entä sitten? Kaikissa käyttöjärjestelmissä on mahdollista saada pääkäyttäjän oikeudet, jos koneen viereen pääsee näppäilemään. Mikäs haavoittuvuus tämä nyt sitten on?! Voihan sen koneen vaikka ottaa kainaloonkin ja kantaa pois, jos se ei lukkojen takana ole. Varmaan isompi tietoturvariski se on.

Eri asia sitten, jos verkon takaa pääsee käpistelemään.

Tuota, tuo tarkoittaa kylläkin sitä, että sisäänkirjautuneet voivat saada oikeudet, ei että pitää olla koneen ääressä. Ihan eri asia. Kannattaa miettiä hetki ennen kuin vetää johtopäätöksiä tämän sivuston uutiskirjoituksista.

- 5.7.2007 9:05

Anonyymi

 0  0

Asiaton viesti Lainaa

Eikös se paikallinen käyttäjä kuitenkin ole sellainen joka oikeasti on siinä koneen ääressä, verkosta kirjautuvia tavataan kutsua etäkäyttäjiksi?

Ongelma tämä tosiaan voi olla julkisten paikkojen koneissa mutta tämähän on ilmeisesti ollu jo pitkään olemassa, kuinka moni teistä on ehtinyt aukkoa käyttää?

eiku PAIKALLINEN 5.7.2007 9:35

Anonyymi

 0  0

Asiaton viesti Lainaa

Paikallinen käyttäjä tarkoittaa kirjautunutta käyttäjää. Ei siinä oteta kantaa kirjaudutaanko esim SSH:lla sisälle vai päätteellä.

Tosin bugin hyödyntäminen varmaan vaatii ohjelmointiosaamista, eli menee hetki aikaa ennenkuin script-kiddiet tekevät helposti hyödynnettävän koodin.

sepeto 5.7.2007 9:45

Anonyymi

 0  0

Asiaton viesti Lainaa

Korjauspäivitys tuli Gentoon vakaaseen jakelutasoon jo pari päivää sitten...

evvk 5.7.2007 9:48

Anonyymi

 0  0

Asiaton viesti Lainaa

Kyseinen ongelma on jo korjattu Gentoon glibc-2.4-r4 ebuildin mukana joka on jo Gentoon Stablessa x86 arkkitehtuurilla ja menossa Stableen myös muilla.

Samuli Suominen, dra 5.7.2007 10:03

Sivut: 1 2 3 4 5 6

EdellinenSeuraava

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.
Lue koko keskusteluetiketti

Bottivarmistus: mitä on viisi ynnä seitsemäntoista?
Syötä vastaus numeroina

Viesti
Vähimmäispituus 30 merkkiä

Nimimerkki
Käytä ainoastaan kirjaimia ja numeroita, välilyönnit eivät ole sallittuja.

Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.

Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.