Portál AbcLinuxu, 5. května 2025 13:02

Bezpečnostní audit procps-ng, 7 bezpečnostních chyb

Společnost Qualys zveřejnila výsledky bezpečnostního auditu procps-ng, tj. balíčku s příkazy free, kill, pgrep, pidof, pkill, pmap, ps, pwdx, skill, slabtop, snice, sysctl, tload, top, uptime, vmstat, w a watch. Nalezeno bylo 7 bezpečnostních chyb (CVE-2018-1120, CVE-2018-1121, CVE-2018-1122, CVE-2018-1123, CVE-2018-1124, CVE-2018-1125 a CVE-2018-1126). Dvě z nich jsou zneužitelné k lokální eskalaci práv. Příslušné záplaty jsou již k dispozici v upstreamu.

19.5.2018 09:00 | Ladislav Hagara | Bezpečnostní upozornění


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

20.5.2018 10:06 Odin
Rozbalit Rozbalit vše Re: Bezpečnostní audit procps-ng, 7 bezpečnostních chyb
Odpovědět | Sbalit | Link | Blokovat | Admin
Mam jen par pripominek k teto hagarovine:

Sluselo by se predstavit projekt procpsng tak, aby neznaly ctenar vedel, o co se jedna. Zde vidi, ze byl udelan audit, ktery vygeneroval 7 cve. Mame zde dokonce i odkazy na tyto chyby, ale nevime, v jakem vlastne programu se nachazeji. Mozna, ze jedna veta popisujici zamereni projektu by byla prinosnejsi nez odkazy na vsechy ty chyby.

Dale mam pripominky k terminum jako lokalni eskalace prav a upstream. Jsem sam, komu toto prijde jako przneni nasi krasne cestiny?

20.5.2018 14:34 marmax
Rozbalit Rozbalit vše Re: Bezpečnostní audit procps-ng, 7 bezpečnostních chyb
Ano, alespoň jednu větu ohledně projektu by si to opravdu zasloužilo - je to nějaký okrajový/hobby projekt, nebo běžná součást distribucí apod.

Termíny "lokální eskalace práv" a "upstream" jsou IMHO v pořádku (technický slang?) ;)
20.5.2018 15:39 V.
Rozbalit Rozbalit vše Re: Bezpečnostní audit procps-ng, 7 bezpečnostních chyb
Běžný admin tuší, že se jedná o něco na správu procesů (toho, co běží v paměti). Gentooista se koukne třeba sem i bez klikání na odkazy.
Google pro hledání "man procps" vrátí tohle a co vidim dole ... ano, procps-ng.
Ke zbytku bez komentáře, eskalace dělá "něco navíc". O vazbě upstreamu a developerů se toho taky pořád mele furt dost.
20.5.2018 18:00 Ladislav Hagara | skóre: 105 | blog: Ride the Raven
Rozbalit Rozbalit vše Re: Bezpečnostní audit procps-ng, 7 bezpečnostních chyb
OK, doplnil jsem ", tj. balíčku s příkazy free, kill, pgrep, pidof, pkill, pmap, ps, pwdx, skill, slabtop, snice, sysctl, tload, top, uptime, vmstat, w a watch".
20.5.2018 18:05 ewew | skóre: 40 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: Bezpečnostní audit procps-ng, 7 bezpečnostních chyb
Odpovědět | Sbalit | Link | Blokovat | Admin

Pekne

Ďalšia ukážka častích chýb softvéru. Pritom niektoré veci sa dajú ľahko ošetriť. Alebo nie ?

Root v linuxe : "Root povedal, linux vykona."

Založit nové vláknoNahoru


ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.