Taloussanomat

Linux-järjestelmistä löytyi vuosia vanha vakava aukko: Päivitä viipymättä

Kuva: © Kacper Pempel / Reuters

17.2.2016 10:45 Linux-järjestelmistä ja laitteista on löytynyt vakava aukko, joka on ollut koodissa jo vuodessa 2008.

Muun muassa Linux-järjestelmistä on löytynyt virhe, joka antaa hakkereille mahdollisuuden suorittaa etäyhteydellä haittakoodia laitteissa, varoittavat esimerkiksi Viestintävirasto sekä Googlen tietoturvatutkijat. Aukkoa voidaan käyttää hyväksi myös palvelunestohyökkäyksissä.

Haavoittuvuuden käyttämiseen on julkisesti saatavilla koodi, joka todistaa sen olemassaolon järjestelmissä.

Aukon löysivät Googlen ja Linux-jakelija Red Hatin tutkijat. Glibc-kirjaston ylläpitäjät ja useat Linux-jakelijat ovat jo julkaisseet haavoittuvuuteen paikkauksen, ja Viestintävirasto neuvoo asentamaan sen viipymättä.

Haavoittuvuus ilmestyi vuonna 2008 avoimen koodin GNU C eli glibc-kirjastoon, jonka koodia käytetään suurimmassa osassa eri Linux-versioita, palvelimilla sekä tuhansissa itsenäisissä sovelluksissa. Googlen tutkijoiden mukaan aukko löytyy kaikista glibc:n versioista 2.9 jälkeen.

GNU C-kirjaston getaddrinfo-funktiosta löydetty puskurin ylivuotohaavoittuvuus voi pahimmillaan mahdollistaa hyökkääjän ohjelmakoodin suorittamisen kohdejärjestelmässä muokattua DNS-vastausta hyväksikäyttämällä.

Toimintoa käytetään laajasti erilaisissa verkkojärjestelmissä ja -laitteissa.

Aukkoa voidaan käyttää hyväksi esimerkiksi, kun haavoittuvat koneet tekevät kyselyjä hyökkääjän hallitsemille verkkosivuille tai domain-nimipalvelimille. Sen hyväksikäyttö on myös mahdollista silloin, kun hyökkääjä pystyy seuraamaan ja hallitsemaan laitteen ja internetin välistä liikennettä.

Jutun kirjoitti: Digitoday

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kommentit (99)

Sivut: 1 2 3 4 5 6 ... 10
EdellinenSeuraava

Anonyymi
Kysymyksessä tietoturvallinen linux, joka open sourcet on kaikki linux käyttäjät käyneet läpi monasti koska siihen on ollut mahdollisuus.

MUTTA miksi tämä reikä löytyi vasta nyt?

Aikaa on ollut.
Anonyymi: turvaton_linux 17.2.2016 11:00

Anonyymi
Kertokaa nyt toimittajat minullekin, mistä löytää 2.9:a uudemman version, oman jakelun repoissa uusin on 2.19, ja uusin vakaa on GNU:n sivuilla löytyvä 2.21 => https://www.gnu.org/software/libc/

Taitaa olla Googlella taas kerran versiot hukassa oikein perusteellisesti. Kyseisen bugin hyödyntäminen on aika hankalaa, se on mahdollista ainoastaan saastutetun DNS-palvelimen avulla. Okei, teoriassa se on mahdollista, joten päivittäminen kannattaa, mutta riski on melko olematon.
Anonyymi: ukkoukko 17.2.2016 11:08

Anonyymi
Kysymyksessä tietoturvallinen linux, joka open sourcet on kaikki linux käyttäjät käyneet läpi monasti koska siihen on ollut mahdollisuus.

MUTTA miksi tämä reikä löytyi vasta nyt?

Aikaa on ollut.


Maksettu trolli ja/tai linuxinpelkääjä taas vauhdissa.

Kaikissa järjestelmissä on reikiä ja yllättäen myös windowsissakin on sellaisia joita ei edes ole vielä "löydetty", vaikka kukaan ei käy windowsin koodia läpi :D

Linuxin aukot tuppaa olemaan aina suuri uutinen, kun taas windowsin aukot on jokapäiväistä kauraa :D

Valitettavasti avoimen koodin todelliset edut jäävät aina varjoon, kun tällaisia asiantuntemattomia kommentteja viljellään keskusteluissa.

Avoimesta koodiat puhuttaessa pitäisi puhua samalla koodin vapaudesta (EI siis ilmaisuudesta).

Free as a speech, not free as a beer.

Avoimuus ilman vapautta ei ole juurikaan parempi kuin suljettu.
Anonyymi: open_and_free_sorsa 17.2.2016 11:11

Anonyymi
Viime viikolla jo savumerkein ja Bongo rummuin tästä kerrottiin Ambomaalla.
Anonyymi: vanhaa_tietoa 17.2.2016 11:13

Anonyymi
Kysymyksessä tietoturvallinen linux, joka open sourcet on kaikki linux käyttäjät käyneet läpi monasti koska siihen on ollut mahdollisuus.

MUTTA miksi tämä reikä löytyi vasta nyt?

Aikaa on ollut.


Verkkopuolen sorsat ovat aika pienen harrastajajoukon kiinnostuksen kohde. Niitä kehittävät yleensä pelkästään tietoliikenteeseen keskittyneet koodaajat. Ja kuten niin usein käy, kun luet tuttua pienin muutoksin kehittyvää koodia, tulet sokeaksi lukemallesi. Otetaan pätkä koodia, joka on toiminut vuosikausia ongelmitta, eikä oikeasti edes lueta sitä. Niin se tapahtuu.
Anonyymi: ukkoukko 17.2.2016 11:16

Anonyymi
Kysymyksessä tietoturvallinen linux, joka open sourcet on kaikki linux käyttäjät käyneet läpi monasti koska siihen on ollut mahdollisuus.

MUTTA miksi tämä reikä löytyi vasta nyt?

Aikaa on ollut.


Näköjään koodia tosiaan käydään läpi, kuten uutinen mainitsi (Google ja Redhat), joten mikä on ongelma?

Tähänkin aukkoon tuli korjaus nopeasti sen löytämisen jälkeen, toisin kuin tapahtuu esimerkiksi mikkisoftalla.

Käsittääkseni mikkisoftakin kuitenkin korjaa aukot VASTA sitten kun ne on ENSIN löydetty.
Anonyymi: kirotut_mstrollit 17.2.2016 11:17

Anonyymi
Kysymyksessä tietoturvallinen linux, joka open sourcet on kaikki linux käyttäjät käyneet läpi monasti koska siihen on ollut mahdollisuus.

MUTTA miksi tämä reikä löytyi vasta nyt?

Aikaa on ollut.


Siksi, koska tuon reijän hyväksikäyttö ei ole laisinkaan niin suoraviivaista, mitä artikkeli antaa ymmärtää. Pitää ohittaa muutamia ihan toimivia juttuja ennen sitä. Vaan hyvä on, että ovat tuohon paikan tehneet.
Anonyymi: Matkatyöläinen 17.2.2016 11:17

Anonyymi
"Haavoittuvuus ilmestyi vuonna 2008".

Miksi ilmestyi, eli kuka teki muutoksen glibc-kirjastoon?
Anonyymi: NSAmies 17.2.2016 11:19

Anonyymi
Aivan samaa tässä mietin, kuin kommentoija nro 1. Minäkin tunnen monta Linux-uskovaista, mutta tiedän täysin varmasti, että heillä kenelläkään ei ole minkäänlaisia pienimpiäkään mahdollisuuksia löytää tuollaisia reikiä vaikka kuinka monta vuotta tutkisivat.

Tuo avoimen koodin argumentti on aina naurattanut, mutta kohtahan täällä alkaa huutelu joka suuntaan. Räyhätkää rauhassa, minä poistun.
Anonyymi: Anssi 17.2.2016 11:23

Anonyymi
Aivan samaa tässä mietin, kuin kommentoija nro 1. Minäkin tunnen monta Linux-uskovaista, mutta tiedän täysin varmasti, että heillä kenelläkään ei ole minkäänlaisia pienimpiäkään mahdollisuuksia löytää tuollaisia reikiä vaikka kuinka monta vuotta tutkisivat.

Tuo avoimen koodin argumentti on aina naurattanut, mutta kohtahan täällä alkaa huutelu joka suuntaan. Räyhätkää rauhassa, minä poistun.


Uskovaisia on lähinnä ms-pellet.

Tosiasiassa avointa koodia kyllä käy läpi tietoturva-ammattilaiset ja sitä käydään läpi myös koneelliseti.

Mutta sehän ei olekaan avoimen koodin pääargumentti, kuten nämä trollit asian haluaa ilmaista.

Pääargumentti on siinä että koodia saa VAPAASTI tutkia, muuttaa ja käyttää.

Suljetussa koodissa ei ole minkäänlaista vapautta.
Anonyymi: ei_suljetulla_osast 17.2.2016 11:36
Sivut: 1 2 3 4 5 6 ... 10
EdellinenSeuraava
Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.
Lue koko keskusteluetiketti
Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.
Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.

Uusimmat uutiset

Digiyesterday

2011

Viisi vuotta sitten

Uutistoimisto: Microsoft vilauttaa tablet-Windowsia ensi viikolla

27.05.2011 Ohjelmistoyhtiö Microsoft aikoo tuoda ensi viikolla ennakkoesittelyyn Windows-käyttöjärjestelmän, joka on suunniteltu taulutietokoneille, kertoo uutistoimisto Bloomberg lähteisiinsä perustuen.


2013

Kolme vuotta sitten

Samsungin Espoon-keskus avautuu ensi kuussa – isokenkäiset avajaiset

27.05.2013 Applen pahin vastustaja älypuhelimissa avaa tutkimuskeskuksen Espooseen kesäkuussa.

.