Microsoft julkisti kolme vakavaa Windowsin tietoturvareikää

Kernelin päivitys ei nyt ole ihan yhtä yleistä kuin ms:n patchit. Kerran vuodessa on hiukan eri asia kuin kerran pari kuussa. Mitäs kernelireikää ajattelit muuten käyttää murtautumiseen? Anna ihan reilu kommentti niin nähdään tiedätkö asiasta oikeasti mitään.

Esim java threadissa toisessa ketjussa jaksat väitellä vaikka et tiedä asiasta kommenttiesi perusteella YHTÄÄN mitään. Ohjelmoinnin yleissivistyskin näyttää olevan nolla.

Hirveetä ulinaa kun pitää buuttailla konetta.

http://www.debian.org/security/2002/
Jos katsotaan vaikka vuoden 2002 päivityksiä, niin yksikään noista ei vaadi buuttaamista.

Ei kerneliä tarvitse päivittää joka kerta kun uusi versio julkaistaan, vanha pelaa senkin jälkeen oikein hyvin. Kernelissä on harvemmin ollut noita reikiä, viimeksi taisi olla joku DOS:in mahdollistava. Kerran vuodessa kuullostaa ihan hyvältä arviolta, ei ehkä niinkään usein.

Tuotantoserverin reboottaaminen ei välttämättä ole kovin houkuttelevaa, enkä minä huvikseni tätä työasemaakaan sammuttele kun ei kiinnosta sulkea niitä miljoonaa ohjelmaa jotka milloinkin on auki.

Ninkö, taitaa olla Linux peeloilla false sense of security...

Laskekaapa huviksenne tuosta frekvenssiä ja reikien määrää eri järjestelmissä...

http://www.cve.mitre.org/cve/downloads/full-cve.ht...

aika yllätävää että 'turvallinen' Linux on kovin kovin reikäinen ja kaikki reiät vielä todellisten 'ammattilaisten' etsittävissä ja hyödynnettävissä :)

Ja tarkennuksena, että Linuxia EI tarvitse uudelleenkäynnistää tai sammutella muuten kuin kerneliin liittyvien päivitysten yhteydessä.

-...paitsi että yleensä niiden demoneiden ja muiden palveluiden etsiminen / pysäyttäminen / päivittäminen / uudelleen käynnistäminen vie reilusti enemmän aikaa kuin WInkkarin käynnistys.

Firman W2003 serverin käynnistys napista vie login ruutuun -> kone käyntiin asti vie (nopealla kirjoittajalla) noin 40 sekunttia.

Linux proxyn alasajo ja uudelleen käynnistys (silloin kun se ei ala tarkistamaan levyä virheiden takia!!!) vie 4,5 min.

Mikset laita sitä proxyä wintoosaan jos se on niin paljon parempi.

-On tulossa seuraavaksi työn alle, siirrytään (luojan kiitos) Linux + Apache purkkaviritelmästä Win2003 + IIS6:een. Testikäytössä ollut jo tuon linkkarin rinnalla rajatulla käyttäjämäärällä, ja toimii kuin unelma verrattuna Linuxiin.

Viime keväänä jo vaihdettiin kaikki Linux -tiedostopalvelimet pois niiden epävakauden ja hitauden takia. Noin 100 yhtäaikaistä käyttäjää, ja kone oli kuin tervassa. Kunnes yleensä lopuksi kaatui(vat) kokonaan.

Yhdistettiin 3 linkkarin tiedostopalvelinta yhdeksi 2003 palvelimeksi, ja kone ei ole kertaakaan hidastunut /kaatunut, vaikka käyttäjien määrä on keväästä kasvanut 180:een!!!!

Oli viimeinen kokeilu meitin firmassa Linux "käyttikselllä".

Kylläpäs sitä nyt kehutaan. Miten on mahdollista, että useat suuret sivustot pyörittävät onnistuneesti apassia jollain *BSD:llä tai GNU/Linux:lla? Olisiko kenties ylläpidon syytä?

Kylläpäs sitä nyt kehutaan. Miten on mahdollista, että useat suuret sivustot pyörittävät onnistuneesti apassia jollain *BSD:llä tai GNU/Linux:lla? Olisiko kenties ylläpidon syytä?

Ottaako noin koville havaita, Windows ympäristön menneen eteenpäin (NT4 ajoista), kun te pyöritte hiekkalaatikollanne, aukomassa päätänne tuotteen ominaisuuksista, ylläpidosta, arkkitehtuurista jne. joista ette tiedä. ?

Niin ja tiedoksi Linux peeloille, ei NT konettakaan tarvitse käynnistää, mikäli päivitys kohdistuu muualle kuin systeemin ytimen toimintoihin. Valitettavasti vain MS liitti selaimen hiukan liian tiiviisti käyttöjärjestelmään, se on ongelma joka kyllä hoituu :)

Toiseksi montako päivitystä on tullut Linuxiin ja sen ytimeen... heh

Oikein hyvä että se on mennyt eteenpäin - kehityksen kelkassa on pysyttävä...edes jotenkuten ;)

Hoituu vai? Hyvä! Tässä muutama kuukausi sittenhän tuli ilmoitus että erästä IE:n SSL-aukkoa ei voitu paikata kun selain oli liian tiiviisti integroitu Windowsiin - koko käyttis olisi pitänyt päivittää...

Toivon mukaan tarpeeksi monta :) Totta kai joka käyttiksessä on bugeja, puutteita ja suoranaisia reikiä. Linuxin bugit tavataan paikata sitä mukaa kuin niitä löytyy, ja monet uudet ominaisuudet siirretään tuotantokerneleihin sitä mukaa kuin ne valmistuvat, siksi päivitysten suuri määrä. Ylläpitäjän harkittavaksi jää mitkä päivitykset ovat tarpeellisia.

Kaikki päivitykset eivät suinkaan koske kernelin ydinosaa: suuri osa kernelistä on mahdollista kääntää moduleiksi, jotka voi päivittää lennosta, jolloin edes kernel-päivitys ei välttämättä vaadi boottia. Ainoastaan boottiin tarvittavat ajurit on pidettävä itse kernelissä.

Mainittakoon että pahimpiin turva-aukkoihin on tullut korjaukset parissa tunnissa aukon havaitsemisen jälkeen.

Käytännössä ei mitenkään :)

Search 'Windows'
There are 244 CVE entries or candidates that match your search.

Search 'Linux'
There are 347 CVE entries or candidates that match your search.

Search 'Linux Kernel'
There are 51 CVE entries or candidates that match your search.

Search 'Windows and Sun'
There are 6 CVE entries or candidates that match your search.

Search 'Linux and Sun'
There are 2 CVE entries or candidates that match your search.



Mitä tulee Windowsin RPC aukkoon niin, osataan sitä Linux Peelojenkin leirissä... :)

Name CAN-2003-0464 (under review)
Description The RPC code in Linux kernel 2.4 sets the reuse flag when sockets are created, which could allow local users to bind to UDP ports that are used by privileged services such as nfsd.

Eivätkä nämäkään mitään harmittomia aukkoja ole...

Name CAN-2003-0550 (under review)
Description The STP protocol, as enabled in Linux 2.4.x, does not provide sufficient security by design, which allows attackers to modify the bridge topology.

Name CAN-2003-0418 (under review)
Description The Linux 2.0 kernel IP stack does not properly calculate the size of an ICMP citation, which causes it to include portions of unauthorized memory in ICMP error responses.

Name CAN-2003-0248 (under review)
Description The mxcsr code in Linux kernel 2.4 allows attackers to modify CPU state registers via a malformed address.

Name CAN-2003-0364 (under review)
Description The TCP/IP fragment reassembly handling in the Linux kernel 2.4 allows remote attackers to cause a denial of service (CPU consumption) via certain packets that cause a large number of hash table collisions

Name CAN-2002-0570 (under review)
Description The encrypted loop device in Linux kernel 2.4.10 and earlier does not authenticate the entity that is encrypting data, which allows local users to modify encrypted data without knowing the key.


Niin ja vielä pohtimisen aihetta niile, jotka uskovat Sunin, IBM:n tai you name it yhtiön tuotteen olevan vähäisen ongelma frekvenssin valossa turvallisempi, niin voin valottaa ettei käytännössä ole. Näiden firmojen tuotteiden ongelmat vain eivät tule niin helposti julkisuuteen. Reiät paikattan 'kaikessa hiljaisuudessa'.

Unixeissa palvelut käynnistää bootissa init. Osa käynnistettävistä palveluista on määritelty inittabissa (/etc/inittab, näistä käynnistetään jokaiselle sisääntulevalle yhteydelle oma prosessi), osa rc.*-tiedostoissa (BSD-tyyli) tai -hakemistoissa (System V -tyyli, useimmissa Linuxeissa) (näistä käynnistetään yksi prosessi kustakin, joka hoitaa loput).

Jos ylläpitäjä on osannut asiansa, Linuxissa kaikki palvelut löytyvät joko inittabista tai hakemistosta /etc/init.d (tai /etc/rc.d/init.d), jossa jokaista palvelua kohden on yksi skripti, jolla palvelu voidaan käynnistää, sammuttaa, uudelleenkäynnistää yms. Bootissa automaattisesti käynnistyvät palvelut on määritelty runlevelin mukaisiin /etc/rc0.d - rc6.d -hakemistoihin, joissa on linkit init.d-hakemiston skripteihin. Eli niitä ei tarvitse erikseen etsiä, ja uudelleenkäynnistys menee vakiomuotoisella komennolla.

Esim. ssh-palvelun asetustiedoston uudelleenlataus muutosten jälkeen:
/etc/init.d/sshd reload

ssh-palvelun uudelleenkäynnistys ohjelmiston päivityksen jälkeen:
/etc/init.d/sshd restart

Webbipalvelimen pysäytys:
/etc/init.d/httpd stop
Käynnistys:
/etc/init.d/httpd start

Jos ylläpitäjä on tehnyt elämänsä vaikeaksi sirottelemalla käynnistys- ja pysäytysskriptejä sinne sun tänne, manuaalisesti ajettaviksi, se on hänen oma vikansa. Vaikka olisi kysymys mistä tahansa in-house-kötöstyksestä. Noita skriptejä nimittäin *voi* tehdä itsekin, ja valmiista voi ottaa mallia :)

Silloin se lienee hyvin ylläpidetty (vastikään asennettu?). Hieno homma!

Mutta ei kai serveriin tarvitse sisään logata jotta bootti menisi loppuun? Vai käsitinkö minä nyt väärin? Mitä siinä pitää kirjoittaa? (kysyy utelias :)

Jos Unix-kone rupeaa tarkistamaan levyä, se on sammutettu väkisin tai joku on sotkenut sammutusskriptit, jolloin kone ei syystä tai toisesta merkkaa levyä puhtaaksi. Syy voi olla esim. se, että jotakin levyä ei saada umountattua, koska jokin prosessi pitää sitä varattuna, koska sammutusskriptiä ei ajeta.

Jos bootti kestää muuten kauan, voi olla että kone on yksinkertaisesti tehtäväänsä liian hidas tai siinä on jotakin vikaa: jokin palvelu konfiguroitu pieleen, palveluiden käynnistysjärjestys väärä (kysellään nimipalvelua ennen kuin verkko on kunnolla pystyssä tms.)...

Oli käyttis- tai laitealusta mikä tahansa, homma menee pieleen jos sitä ei ylläpidetä kunnolla, mihin tuo kuvauksesi kyllä vahvasti viittaa.

Uutta käyttöjärjestelmää käyttöönotettaessa *PITÄÄ* kouluttaa myös ylläpitäjät. Linuxia ei voi ylläpitää niin kuin Windowsia eikä Windowsia niin kuin Linuxia. Siksi MS-käyttiksiä käyttäneelle talolle saattaa MS-käyttis olla jatkossakin järkevin vaihtoehto siitä yksinkertaisesta syystä, että sitä osataan ylläpitää. (Minut varmaan lynkataan tästä... :) Huonosti ylläpidetty käyttis (mikä tahansa) on riesa ja tietoturvariski.

--js, Unix-ylläpitäjä vuodesta 1997--

(Toinen anonyymi) ja silloinkin vain jos päivitys koskee kerneliin "monolliittisesti" käännettyä palvelua. Aika paljon voi haluttaessa laittaa moduuleihin joita voi päivittää/sammuttaa/käynnistää ilman että täytyy buutata konetta.

Hieman jaksaa ihmetyttää tuo windoze hemmojen vinkuna - meillä on viisi debian servua (levypalvelin, cvs, firman asiantuntijajärjestelmä, tietokanta, intranet, backup, palomuuri, sähköpostipalvelin, julkinen webbipalvelin, yms) + joka kooderilla oma linukka palvelin jossa voi testata softamuutoksia varsinaisen build serverin siitä häiriintymättä.

Ei noita koneita buuttailla. Depsulle sanotaan vaan että "päivity" ja se on siinä. En tohi edes ajatella miten toi toimis/maksais windoze maailmassa.

-Outoa, mutta joka ainoa suurempi päivitys joka ollaan tuotantokäytössä oleviin HP/UX ja AIX5.1 palvelimiin ajettu suosittelevat VAHVASTI koneen boottia päivityksen jälkeen.

Mutta hienoa että sun makkarin nurkassa oleva "tehokäyttö" boxi ei tartte...heh.

Tosin ei vissiin Ladaakaan pidä viedä usein huoltoon turboahtimen ongelmien takia. On se sitten niin paljon parempi kuin 959 Porcshe.

Ja näitä ei ikinä ikinä sammuteta? Jos teillä on muuten suojattu järjestelmä, ei sinne mikään hyökkäys pääse kuitenkaan. Joten sitten buutataan sen sovitun huoltokatkon aikana. Vai mitä?

Niin ja moisessa 24/7-ympäristössähän levypalvelimen virkaa hoitanee kuitenkin NAS, joten eipä ne jaot mihinkään katoa, vaikka sen ekskankeen tai muun siitä buuttaakin. Ja yleensä moisissa järjestelmissä on myös klusterointi, jolloin voi buuttailla koneita toiminnan häiriytymättä jne jne. Viikottainen huoltoikkunakaan ei ole ennenkuulumatonta muissa yrityksissä.

No niin.. eli siis aika siisti homma kun teidän windows servereitä ei tarvi buutata... viimeksi noin vuosi sitten buutattu.. Eikun hetkinen.. tarviihan niitä buuttailla. Et puhunutkaan winkkarista.

Koko ajan ja ainoastaan ollut puhe windows tuoteperheestä ja tällöin on _varauduttava_ siihen että joutuu parikin kertaa viikossa buuttimaan vaikka todellisuudessa tälläinen on todella harvinaista. Eikö asia ole näin?

Minkä ihmeen takia ensin selitetään siitä kun "käyttäjät huutaa kun joudun taas buuttimaan sen tuotannon koneen kun tuli Microsoftilta se uusi päivitys".... Sitten seuraavassa kohdassa kerrotaankin että "ei meillä mitään winkkaria käytetä niissä".
Ei tässä missään vaiheessa ole ollut muusta kuin Microsoftin ihanista tuotteista kyse. Kommentoin ainoastaan siihen että yritys ei ole mielestäni ammattitaitoinen mikäli ei ole osannut järjestelmäänsä fiksulla tapaa rakentaa. Jos _ei_ ole varaa buuttia konetta pahimmillaan useaan kertaa viikossa niin siinä tapauksessa ammattitaitoinen väki ymmärtää laittaa sinne serveriä pyörittämään jonkin muun käyttöjärjestelmän kuin windows. Imeisesti vain tässä sinua edeltäneen kommentoijan firmassa näin ei ole osattu tehdä.

No, minä olen se edellinen anonyymi, ja samoilla linjoilla kanssasi.

Aivan. Itsellänikin on duunin koneeseen rajoitetut oikeudet, yrittävät rassukat standardoida firman työasemia tuolla mikrotukipuolella. En siis asentele mitään itse, enkä myöskään päivittele mitään itse. Jos jossain meinataan, että "laitetaan käyttäjille rajoitetut oikeudet mutta pistetään ne päivittämään windows itte", niin kyllä on melkoista blondilogiikkaa.

Se toinen kirjoittaja kertonee, mikä on se tarve, johon tuolla lailla rajoitettuja oikeuksia tarvitaan. Vai onko kyse siitä, että win-käyttäjähallinta ei tue järkeviä rajoituksia?

Toimii luultavasti jossain paikassa, jossa työntekijät ovat "tavallisia" työntekijöitä eli käyttävät vain tekstinkäsittelyä, taulukkolaskentaa ja vastaavia. Sitten kun sama tungetaan taloon, jossa on koodaajia, niin luultavasti tulee itku ja hammasten kiristys.