Taloussanomat

Linux-järjestelmistä löytyi vuosia vanha vakava aukko: Päivitä viipymättä

Kuva: © Kacper Pempel / Reuters

17.2.2016 10:45 Linux-järjestelmistä ja laitteista on löytynyt vakava aukko, joka on ollut koodissa jo vuodessa 2008.

Muun muassa Linux-järjestelmistä on löytynyt virhe, joka antaa hakkereille mahdollisuuden suorittaa etäyhteydellä haittakoodia laitteissa, varoittavat esimerkiksi Viestintävirasto sekä Googlen tietoturvatutkijat. Aukkoa voidaan käyttää hyväksi myös palvelunestohyökkäyksissä.

Haavoittuvuuden käyttämiseen on julkisesti saatavilla koodi, joka todistaa sen olemassaolon järjestelmissä.

Aukon löysivät Googlen ja Linux-jakelija Red Hatin tutkijat. Glibc-kirjaston ylläpitäjät ja useat Linux-jakelijat ovat jo julkaisseet haavoittuvuuteen paikkauksen, ja Viestintävirasto neuvoo asentamaan sen viipymättä.

Haavoittuvuus ilmestyi vuonna 2008 avoimen koodin GNU C eli glibc-kirjastoon, jonka koodia käytetään suurimmassa osassa eri Linux-versioita, palvelimilla sekä tuhansissa itsenäisissä sovelluksissa. Googlen tutkijoiden mukaan aukko löytyy kaikista glibc:n versioista 2.9 jälkeen.

GNU C-kirjaston getaddrinfo-funktiosta löydetty puskurin ylivuotohaavoittuvuus voi pahimmillaan mahdollistaa hyökkääjän ohjelmakoodin suorittamisen kohdejärjestelmässä muokattua DNS-vastausta hyväksikäyttämällä.

Toimintoa käytetään laajasti erilaisissa verkkojärjestelmissä ja -laitteissa.

Aukkoa voidaan käyttää hyväksi esimerkiksi, kun haavoittuvat koneet tekevät kyselyjä hyökkääjän hallitsemille verkkosivuille tai domain-nimipalvelimille. Sen hyväksikäyttö on myös mahdollista silloin, kun hyökkääjä pystyy seuraamaan ja hallitsemaan laitteen ja internetin välistä liikennettä.

Jutun kirjoitti: Digitoday

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kommentit (95)

Sivut: 1 2 3 4 5 6 ... 10
EdellinenSeuraava

Anonyymi
Kertokaa nyt toimittajat minullekin, mistä löytää 2.9:a uudemman version, oman jakelun repoissa uusin on 2.19, ja uusin vakaa on GNU:n sivuilla löytyvä 2.21 => https://www.gnu.org/software/libc/

Taitaa olla Googlella taas kerran versiot hukassa oikein perusteellisesti. Kyseisen bugin hyödyntäminen on aika hankalaa, se on mahdollista ainoastaan saastutetun DNS-palvelimen avulla. Okei, teoriassa se on mahdollista, joten päivittäminen kannattaa, mutta riski on melko olematon.
Anonyymi: ukkoukko 17.2.2016 11:08

Anonyymi
Kysymyksessä tietoturvallinen linux, joka open sourcet on kaikki linux käyttäjät käyneet läpi monasti koska siihen on ollut mahdollisuus.

MUTTA miksi tämä reikä löytyi vasta nyt?

Aikaa on ollut.


Verkkopuolen sorsat ovat aika pienen harrastajajoukon kiinnostuksen kohde. Niitä kehittävät yleensä pelkästään tietoliikenteeseen keskittyneet koodaajat. Ja kuten niin usein käy, kun luet tuttua pienin muutoksin kehittyvää koodia, tulet sokeaksi lukemallesi. Otetaan pätkä koodia, joka on toiminut vuosikausia ongelmitta, eikä oikeasti edes lueta sitä. Niin se tapahtuu.
Anonyymi: ukkoukko 17.2.2016 11:16

Anonyymi
Kysymyksessä tietoturvallinen linux, joka open sourcet on kaikki linux käyttäjät käyneet läpi monasti koska siihen on ollut mahdollisuus.

MUTTA miksi tämä reikä löytyi vasta nyt?

Aikaa on ollut.


Näköjään koodia tosiaan käydään läpi, kuten uutinen mainitsi (Google ja Redhat), joten mikä on ongelma?

Tähänkin aukkoon tuli korjaus nopeasti sen löytämisen jälkeen, toisin kuin tapahtuu esimerkiksi mikkisoftalla.

Käsittääkseni mikkisoftakin kuitenkin korjaa aukot VASTA sitten kun ne on ENSIN löydetty.
Anonyymi: kirotut_mstrollit 17.2.2016 11:17

Anonyymi
Kysymyksessä tietoturvallinen linux, joka open sourcet on kaikki linux käyttäjät käyneet läpi monasti koska siihen on ollut mahdollisuus.

MUTTA miksi tämä reikä löytyi vasta nyt?

Aikaa on ollut.


Siksi, koska tuon reijän hyväksikäyttö ei ole laisinkaan niin suoraviivaista, mitä artikkeli antaa ymmärtää. Pitää ohittaa muutamia ihan toimivia juttuja ennen sitä. Vaan hyvä on, että ovat tuohon paikan tehneet.
Anonyymi: Matkatyöläinen 17.2.2016 11:17

Anonyymi
"Haavoittuvuus ilmestyi vuonna 2008".

Miksi ilmestyi, eli kuka teki muutoksen glibc-kirjastoon?
Anonyymi: NSAmies 17.2.2016 11:19

Anonyymi
Aivan samaa tässä mietin, kuin kommentoija nro 1. Minäkin tunnen monta Linux-uskovaista, mutta tiedän täysin varmasti, että heillä kenelläkään ei ole minkäänlaisia pienimpiäkään mahdollisuuksia löytää tuollaisia reikiä vaikka kuinka monta vuotta tutkisivat.

Tuo avoimen koodin argumentti on aina naurattanut, mutta kohtahan täällä alkaa huutelu joka suuntaan. Räyhätkää rauhassa, minä poistun.
Anonyymi: Anssi 17.2.2016 11:23

Anonyymi
Tähänkin aukkoon tuli korjaus nopeasti sen löytämisen jälkeen, toisin kuin tapahtuu esimerkiksi mikkisoftalla.


Nopeasti?
Aukkohan löydettiin heinäkuussa 2015 (Bugzillassa 13.7.2015), eli korjauksen saamiseen meni yli 7kk.

Kannattaa lukea ne alkuperäiset lähteet.
Anonyymi: Faktantarkistaja 17.2.2016 11:39

Anonyymi
Pääargumentti on siinä että koodia saa VAPAASTI tutkia, muuttaa ja käyttää.

Suljetussa koodissa ei ole minkäänlaista vapautta.


Kuinka moni tietokoneen käyttäjä tätä vapautta oikeasti tarvitsee?

Veikkaan että puhutaan hyvin pienestä käyttäjäryhmästä.

Siksi argumenttina se on melko merkityksetön.
Anonyymi: Sellaistatänään 17.2.2016 11:43

Anonyymi
Huoh mikä uutinen taas. Jeesus, että on vajonnut alas digitoday. Saavat seksuaalista nautintoa tuoda ilmi juuri Linuxin tietoturva ongelmat. Kuten jo aikaisemmin mainittiin niin Windowsissa tämähän ei ole bugi vaan asiaan kuuluva "ominaisuus".

Tuon bugin hyväksikäyttö vaatii jo osaamista. Jos loppukäyttäjä ei ole täysi ämpäri ja tietää mitä tekee niin tuota on vielä vaikeampi hyödyntää. Toki löytyy aina admineita jotka Windows maailman tyyliin ajavat kaikkea root oikeuksilla ja päivittävät järjestelmät sitten kuin jaksavat (tai kun on löysät jo housuissa).

Paljonkohan löytyy Windowsille buffer overflow / heap spray hyökkäksen mahdollistavia bugeja? Niinpä..touche.
Anonyymi: psi0nic 17.2.2016 11:51

Anonyymi
"Haavoittuvuuden hyväksikäyttämikseen on julkisesti saatavilla oleca PoC (Proof of Concept) eli haavoittuvuuden toteen näyttävä ohjelmakoodi."

Että niin laajasti hyväksikäytettt haavoittuvuus. Korjattukin jo.
Anonyymi: Doped_Donkey 17.2.2016 12:00
Sivut: 1 2 3 4 5 6 ... 10
EdellinenSeuraava
Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.
Lue koko keskusteluetiketti
Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.
Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.

Uusimmat uutiset

Digiyesterday


2013

Kolme vuotta sitten

Facebookin käyttäjältä vaaditaan taas pinnaa: Mainosvideot tulevat

31.07.2013 Yhteisöpalvelu Facebook hyödyntää massiivista käyttäjäjoukkoaan yhä uusin tavoin. Loppuvuonna Facebook-surfaajan on totuttava mainosvideoihin, joilla yhtiö kerää päivittäin mittavat määrät dollareita.

.