Problem dotyczy usługi udev, która nie jest nawet składnikiem samego jądra systemu, lecz jest domyślnie włączona w większości wersji 2.6. Linux za pomocą udev tworzy dynamiczne pliki i foldery wejścia i wyjścia (/dev/). Za pomocą spreparowanych komunikatów sieci Netlink osoba z sieci ma możliwość utworzenia własnego pliku, a dalej uzyskania uprawnień roota, czyli administratora po odpowiedniej modyfikacji stworzonego pliku.
W usludze udev został wykryty jeszcze jeden błąd - błąd przekroczenia zakresu liczb całkowitych w funkcji służącej do dekodowania ścieżek. W sprzyjających okolicznościach może to doprowadzić do błędu przepełnienia stery i haker zalogowany do systemu także może przypisać sobie prawa administratora.
Na szczęście dystrybutorzy systemu błyskawicznie odpowiedzieli na wykryty błąd i już opublikowali odpowiednie łatki.
Źródło: heise-online.pl
Komentarze
11Takie nagromadzenie literówek, błędów odmiany nazwy własnej (w mianowniku zawsze jest to Linux, vide http://rjp.pan.pl/index.php?option=com_content&task=view&id=273&Itemid=68) i nie tylko, brak rozróżnienia pomiędzy jądrem systemu a samym systemem operacyjnym - jest dla mnie przerażające :|
Jaki mit, jaki system wolny od zagrożeń?
Jak będziesz pisał w takim tonie o każdym zgłoszeniu związanym z błędami odkrytym w wolnym oprogramowaniu to spodziewaj się więcej takich komentarzy jak flasha44.
Zajrzyj np. na Secunia.com, dzisiaj zgłoszono lekko licząc 20 problemów związanych z bezpieczeństwem, a dotyczących oprogramowania działającego pod Linuksem. Proszę bardzo, masz gotowy materiał na 20 newsów, nie musisz umieszczać mojego copyright.
Zresztą, sam piszesz że udev nie jest składnikiem jądra, więc można mówić o problemie oprogramowania działającego pod kontrolą Linuksa a nie problemie systemu operacyjnego. Czy po wykryciu dziury w sterownikach nVidii pojawi się notka o problemach z bezpieczeństwem Windows czy o problemach sterownika właśnie?
Mniej lania wody i szukania na siłę sensacji w stylu Faktu lub Chipa każdemu wyjdzie na zdrowie :)