Updates voor kritieke Linux lekken
Het Poolse ISEC Security Research ontdekte woensdag verschillende lekken in de Linux kernel. Via het eerste lek kan een aanvaller volledige super-user rechten krijgen. Het het tweede lek zorgt ervoor dat een lokale gebruiker zijn rechten kan verhogen en willekeurige code met kernel-level toegang kan uitvoeren. Beide lekken kunnen alleen misbruikt worden door lokale gebruikers met Unix shell toegang. Inmiddels hebben verschillende Linux aanbieders patches beschikbaar gesteld. (Debian, Red Hat, Linux Kernel 2.4.25 en 2.6.3.) (eWeek)
Volgens mij ernstiger dan de laatste M$ lekken
Het doet de community goed en verhoogt het niveau van de
code.
Aan de andere kant, bedrijven zoals redhat die erop staan op
zelf patches te maken voor oudere versies van een product
verlagen het niveau van "trustworthyness computing".
"Linux had veel meer exploits en vurneabilities dan Windows,
dus het is niet veiliger!" Hoofdzakelijk te danken aan redhat.
Reacties:
"Als het geen M$ lek is blijft het hier stil, dit is wel een zeer
ernstige lek. Volgens mij ernstiger dan de laatste M$ lekken"
Tja, het is niet het zwarte schaap, overigens zou het mij niet
verbazen als jij ook lekker meegaat met die discussies.
en linux lokaal.
en linux lokaal.
Als het geen M$ lek is blijft het hier stil, dit is wel een
zeer ernstige lek.
Volgens mij ernstiger dan de laatste M$ lekken
Ernstiger. Even een vergelijking: exploits bij deze lekken
zijn alleen voor lokale gebruikers uit te voeren. Exploits
voor de laatst MS lekken zijn kan je van afstand op alle
aangesloten systemen op het internet misbruiken om die in
je macht te krijgen. Die van MS zijn dus vele malen
ernstiger omdat er makkelijk op grote schaal misbruik van
kan worden gemaakt.
Vergelijk ik nog even de reactietijden: MS deed er 200 dagen
om 1 van de al maanden bekende grote lekken te dichten, deze
Linux lekken zijn woensdag ontdekt en nu al gedicht......
2.4.23, 24 en 25 hebben elkaar vrij snel opgevolgd. Natuurlijk is het goed dat
het snel gefixed wordt, maar het is de laatste tijd wel raak.
voor deze exploit. Toch weer een reden om goed te kijken naar
security patches. (Ja SElinux wordt gedeeltelijk overgenomen
maar is dit genoeg ;)
Als het geen M$ lek is blijft het hier stil, dit is wel een zeer ernstige lek.
Volgens mij ernstiger dan de laatste M$ lekken
Ik relativeer het altijd zo; hoe erg is hiervan de thuisgebruiker in risico.
met Unix shell toegang.
een kwaadwillende als gebruiker binnen kan komen, kan deze
kwetsbaarheid worden geexploiteerd.
Dit zou alleen kritiek worden als de thuisgebruiker zijn webserver of andere
diensten niet geupgrade heeft, want een combinatie van die dingen maakt het
dikwijls voor de crackers mogelijk om binnen te wippen.
Gelukkig hoeven ISPs en eindgebruikers niet 200+ dagen te wachten voordat
het kritieke lek gedicht is, en de crackers de verschillende combinaties van
kwetsbaarheden uit kunnen proberen.
Gelukkig hoeven ISPs en eindgebruikers niet 200+ dagen te wachten
voordat
het kritieke lek gedicht is, en de crackers de verschillende
combinaties van
kwetsbaarheden uit kunnen proberen.
Nee, maar in de een of twee dagen is Jan en alleman al root bij jou,
terwijl bij MS het onder de pet wordt gehouden, totdat er een fix is.
Gelukkig hoeven ISPs en eindgebruikers niet 200+ dagen te
wachten
voordat
het kritieke lek gedicht is, en de crackers de verschillende
combinaties van
kwetsbaarheden uit kunnen proberen.
Nee, maar in de een of twee dagen is Jan en alleman al root bij
jou,
terwijl bij MS het onder de pet wordt gehouden, totdat er een fix
is.
Als jij "jan en alleman" toegang geeft tot je shell ben je heel
anders ingesteld dan een gemiddelde thuisgebruiker.
Professionele shell aanbieders draaien meestal een security
patch over hun kernels heen en die patches zijn meestal in staat
dit soort exploits te voorkomen. Bijvoorbeeld de owl patches in
dit geval.
Ik vindt dat er de laatste tijd snel achter elkaar
veiligheidsfixes komen.
2.4.23, 24 en 25 hebben elkaar vrij snel opgevolgd.
Natuurlijk is het goed dat
het snel gefixed wordt, maar het is de laatste tijd wel
raak.
Dat komt omdat ze redelijk aan het sleutelen zijn met 2.6.
Hetzelfde zag je rond de overgang 2.2 naar 2.4.
Nee, maar in de een of twee dagen is Jan en alleman al root
bij jou,
terwijl bij MS het onder de pet wordt gehouden, totdat er
een fix is.
Niet dus ... wat denk je van de recentelijk uri spoofing bug
in MSIE en hoeveel bedrijven daar de dupe van zijn geworden.
Waaronder de Postbank? Dan gaat het om een bugje van niets
zul je denken, maar met degelijk financiele gevolgen.
Hoe naief kun je zijn ? Security by obscurity is geen
security!!!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?