Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Perjantai, 5.12.2003

Rsync-palvelinohjelmistossa vakava haavoittuvuus

Tiedostojen siirtoon käytettävästä rsync-ohjelmistosta on löytynyt vakava haavoittuvuus. Mikäli hyökkääjät pääsevät hyödyntämään uutta haavoittuvuutta yhdessä Linux-ytimestä äskettäin löytyneen brk-järjestelmäkutsun haavoittuvuuden kanssa, he voivat ajaa kohdetietojärjestelmässä omia ohjelmiaan.

Tietoturvayhtiö Secunia on luokitellut rsync-haavoittuvuuden erittäin kriittiseksi ja yhtiön mukaan haavoittuvuutta on jo käytetty hyväksi murtauduttaessa Internetiin yhteydessä oleviin palvelimiin. Secunia suosittelee rsyncin käyttäjiä päivittämään ohjelmistonsa versioon 2.5.7, johon haavoittuuvus on korjattu.

Lue juttu oma, 5.12.2003 00:01. Lähde: Secunia

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 18 uutta / 18 )
pistettä.
Näytä vain kommentit joilla on vähintään
Pisterajan alittavia kommentteja piilossa.
Pisterajan alittavia kommentteja piilossa.
Pisterajan alittavia kommentteja piilossa.
Pisterajan alittavia kommentteja piilossa.
hanska Re: muhah
hanska, 5.12.2003 08:17:17		 Pisteet: 0
Nyt "Anonyymit kommentoijat" ja nimimerkillä kommentoivat ovat yhtä anonyymejä ja laukovat yhtä typeriä kommentteja.
Eikös se ole vähän anonyymin kommentoinnin idea? Ei nimetä kommentoijaa mitenkään. Kuitenkin kommentoinnin idea ei ole arvostella uutisen järkevyyttä, asian oikeellisuutta vaan tuoda jotain lisää asiaan. Myös hyvä kysymys voi olla joskus paikallaan.

Voithan kirjoittaa viestin alalaitaan nimesi, osoitteesi ja vaikka kengän numerosi neliöjuuren.

Hanska
Erehtyminen on inhimillistä, mutta täydelliseen sekoiluun tarvitaan tietokone
olmari Re: muhah
olmari, 5.12.2003 00:07:51		 Pisteet: 0
Olen samaa mieltä. Totta on että Windowsissa käytännössä kaikki on pultattu niin syvälle käyttikseen että esim IEn haavoittuvuus usein tarkoittaa sitä että koko käyttöjärjestelmä on vaarassa.

Ja totta on että ennen "nykypäiviä" linuxissa on ollu vähän jos ollenkaan sellaisia aukkoja jotka voisivat aiheuttaa vakavan vuodon koko linuxiin. Mutta nyt esimerkiksi tuossa on sellainen aukko, joten ei enää pidä vähätellä että "kun se vain oli sen ohjelman vika", koska nythän tuokin koskee koko käyttöjärjestelmää.
Makaveli Re: muhah
Makaveli, 5.12.2003 00:13:29		 Pisteet: 0
Olen samaa mieltä. Totta on että Windowsissa käytännössä kaikki on pultattu niin syvälle käyttikseen että esim IEn haavoittuvuus usein tarkoittaa sitä että koko käyttöjärjestelmä on vaarassa. Ja totta on että ennen "nykypäiviä" linuxissa on ollu vähän jos ollenkaan sellaisia aukkoja jotka voisivat aiheuttaa vakavan vuodon koko linuxiin. Mutta nyt esimerkiksi tuossa on sellainen aukko, joten ei enää pidä vähätellä että "kun se vain oli sen ohjelman vika", koska nythän tuokin koskee koko käyttöjärjestelmää.
Siis tämä rsync-haavoittuvuus ei sinällään ole mitenkään vakava. Rsynciä kun ei tarvitse ajaa edes roottina. Mutta jos palvelimessa ajetaan myös haavoittuvaa kerneliä, niin asia on täysin eri.
Re: muhah
Anonyymi kommentoija, 5.12.2003 01:33:47		 Pisteet: 0
Siis tämä rsync-haavoittuvuus ei sinällään ole mitenkään vakava. Rsynciä kun ei tarvitse ajaa edes roottina. Mutta jos palvelimessa ajetaan myös haavoittuvaa kerneliä, niin asia on täysin eri.
Ja yleensä rsync vaatii käyttäjätunnuksen koneelle. Anonymous rsync palvelimia on kovin vähän verrattuna esim. ftp palvelimiin.
Pisterajan alittavia kommentteja piilossa.
Re: muhah
Anonyymi kommentoija, 5.12.2003 01:52:26		 Pisteet: 0
Siis tämä rsync-haavoittuvuus ei sinällään ole mitenkään vakava. Rsynciä kun ei tarvitse ajaa edes roottina. Mutta jos palvelimessa ajetaan myös haavoittuvaa kerneliä, niin asia on täysin eri.
Anteeksi... Linux on pyhä. Eihän siinä mitään vakavaa VOI tapahtua... Totuus vain on että näin se tässä tapauksessa ON... Sen enempää mitään käyttöjärjestelmää puolustamatta. Totta on myös että windowsissa tuollaisia vasta onkin, mutta ei tätäkään pidä vähätellä missään nimessä.
No voi jessus! Jos rsynk vaatii autentikoinnin, niin käytännössä tuo local explotti pysyy localina, ellei sitten rsyncin aukko ole nimenomaan sellainen että autentikoinnin pystyy kiertämään (tunnustan etten ole jaksanut ottaa selvää).

Ja toki kaikki aukot on pahasta, eikä niitä kannata kieltää. Mutta realismia matkaan; kuinkahan monta vakavaa aukkoa M$:n järjestelmistä on löytynyt, jos verrataan nykyisten käytössä olevien unixien vastaavaa lukua?
Re: muhah
Anonyymi kommentoija, 5.12.2003 07:05:36		 Pisteet: 0
Mutta realismia matkaan; kuinkahan monta vakavaa aukkoa M$:n järjestelmistä on löytynyt, jos verrataan nykyisten käytössä olevien unixien vastaavaa lukua?
Tiedät itsekkin vastauksen. Tuo riippuu täysin laskutavasta.
Linuxin aukot, kun eivät koskaan ole Linuxin aukkoja vaan aina jonkin muun.
Windowsin aukot ovat taas aina windowsin aukkoja eivätkä minkään muun.
Ja kyllä olen Linuxin käyttäjä.
äölk Re: muhah
äölk, 5.12.2003 09:30:06		 Pisteet: 0
Linuxin aukot, kun eivät koskaan ole Linuxin aukkoja vaan aina jonkin muun. Windowsin aukot ovat taas aina windowsin aukkoja eivätkä minkään muun.

Ja Linuxin ja Linuxissa pyörivien softien aukot kerrotaan aina distrojen määrällä...
Re: muhah
Anonyymi kommentoija, 5.12.2003 18:34:44		 Pisteet: 0
Siis tämä rsync-haavoittuvuus ei sinällään ole mitenkään vakava. Rsynciä kun ei tarvitse ajaa edes roottina. Mutta jos palvelimessa ajetaan myös haavoittuvaa kerneliä, niin asia on täysin eri.
Anteeksi... Linux on pyhä. Eihän siinä mitään vakavaa VOI tapahtua... Totuus vain on että näin se tässä tapauksessa ON... Sen enempää mitään käyttöjärjestelmää puolustamatta. Totta on myös että windowsissa tuollaisia vasta onkin, mutta ei tätäkään pidä vähätellä missään nimessä.
No voi jessus! Jos rsynk vaatii autentikoinnin, niin käytännössä tuo local explotti pysyy localina, ellei sitten rsyncin aukko ole nimenomaan sellainen että autentikoinnin pystyy kiertämään (tunnustan etten ole jaksanut ottaa selvää).
Ja toki kaikki aukot on pahasta, eikä niitä kannata kieltää. Mutta realismia matkaan; kuinkahan monta vakavaa aukkoa M$:n järjestelmistä on löytynyt, jos verrataan nykyisten käytössä olevien unixien vastaavaa lukua?
Aukko.. linuxista löytynyt aukkoo.. hähää.. linuxista löytynyt aukkoo.. hähää.. linuxista löytynyt aukkoo.. hähää.. linuxista löytynyt aukkoo..

Noh eihän se olennaista ole mikä aukko kunhan linuxista löytynyt aukkoo. Ja mikä tärkeintä siitä pääsee huutamaan.

Itse pidin vaarallisempana ssh-aukkoja jotka myös koskettivat muitakin kuin linuxia yksinään.

Turhaan helmiä siolle kuten tarkempaa selitystä tästä aukosta. Ei nämä pennut vielä osaa lukea saati ymmärtäisi mistä on kysymys.
Saltsa Re: muhah
Saltsa, 5.12.2003 16:46:26		 Pisteet: 0
Siis tämä rsync-haavoittuvuus ei sinällään ole mitenkään vakava. Rsynciä kun ei tarvitse ajaa edes roottina. Mutta jos palvelimessa ajetaan myös haavoittuvaa kerneliä, niin asia on täysin eri.
Niin. Silti aukko on kuvattu "erittäin kriittiseksi" ja uutisessa sanottiin myös että sitä on käytetty monta kertaa hyväksi. Ja tuo kernelikin on niin uus, että harva sitä varmaan on päivittänyt, mm. sen takia että aukko on paikallinen, eikä sillä ole kauheasti väliä esim. web-palvelimessa.
janilxx Linuxkin vuotaa
janilxx, 5.12.2003 08:38:36		 Pisteet: +1
Viimeaikoina on yhä enenevässä määrin löytynyt reikiä Linuxista (tai muista kuin Windowseista/Windowssoftista).

Tulipa vaan mieleeni, että mistähän tämä johtuu?
-Linux ei ole enää "pyhä", johon ei saa koskea?
-Pahikset ovat oppineet etsimään Linuxreikiä?
-Windowsin reikien löytämisessä ei ole enää mitään hohtoa?
-Linuxkoodaajat ovat alkaneet etsiä enemmän bugeja koodeistaan?
-Rikollisuus on tullut mukaan suuremmalla voimalla ja uhrikoneita täytyy löytää koko ajan lisää?

Vai mistä johtuu?
Re: Linuxkin vuotaa
Anonyymi kommentoija, 5.12.2003 08:44:15		 Pisteet: +1
Viimeaikoina on yhä enenevässä määrin löytynyt reikiä Linuxista (tai muista kuin Windowseista/Windowssoftista). Tulipa vaan mieleeni, että mistähän tämä johtuu?
Veikkaan, että ylipäätään kaikista on löytynyt enemmän reikiä ja se voi johtua ihan suoraan siitäkin, että
- On enemmän tietokoneita
- On enemmän ihmisiä jotka osaavat käyttää tietokoneita
- On enemmän tietoturvatietämystä

Nämä kaikki kolme lisääntyvät jatkuvasti. Periaatteessa reikien löytyminen on aina hyvä juttu, sillä sen jälkeen kun ne on paikattu on ohjelma taas pykälän verran turvallisempi. Tämä koskee kaikkia järjestelmiä.
Re: Linuxkin vuotaa
Anonyymi kommentoija, 5.12.2003 13:51:49		 Pisteet: 0
Kyllähän Linuxista, tai siinä käytettävistä ohjelmista, löytyy uusia reikiä noin 1-2 kuukaudessa. Suurin osa tosin valkohattujen ansiosta, käsittääkseni. Turha silti kuvitella, että Linux olisi sen turvallisempi, kuin Windows, vaikka sen sellaiseksi saakin säädettyä. Vaatii vaan aikamoista tunettamista ja ihmettelyä ajaa jokaista servuprosessia chrootissa, ids:aa, file integritycheckkiä (ja kun päivityksiä tulee usein monta päivässä, pitää tätäkin päivitellä vähän väliä), firewallin logeja tutkia jne. Kyllä oman linux-pöntön pitäminen turvallisena on kovan työn takana, vaikka korjaukset reikiin löytyisivätkin. Ei tuohon ole resursseja kuin paatuneilla nörteillä ja isommilla yrityksillä, joissa ko. hommaa hoitaa täyspäiväisesti joku jamppa.
Makaveli Gentoon palvelin
Makaveli, 5.12.2003 00:09:22		 Pisteet: +1
Luultavasti juuri tämän haavoittuvuuden takia päästiin myös murtautumaan Gentoo Linuxin rsync.gentoo.org palvelimelle.

Lisää infoa:
http://www.gentoo.org/security/en/glsa/glsa-200312...