Project Zero optužuje Linux distribucije da ostavljaju korisnike tjednima izložene poznatim ranjivostima kernela.
Sigurnost
- 8 navika iznimno sigurnih radnika na daljinu
- Kako pronaći i ukloniti špijunski softver s telefona
- Najbolje VPN usluge: Kako se uspoređuju prvih 5?
- Kako saznati jeste li uključeni u povredu podataka -- i što učiniti sljedeće
Jann Horn, istraživač Google Project Zero koji otkrio Meltdown i Spectre CPU mane, ima nekoliko riječi za održavatelje Ubuntua i Debiana: povećajte svoju igru na spajanju sigurnosnih popravaka kernela, ostavljate korisnike izloženima tjednima.
Rog ranije ovog tjedna objavio je "ružnu eksploataciju" za Ubuntu 18.04, kojoj je "potrebno oko sat vremena da se pokrene prije nego što otvori root shell".
Greška u jezgri je greška u poništenju predmemorije u upravljanju memorijom u Linuxu koja je označena kao CVE-2018-17182, prijavljena održavateljima kernela u Linuxu 12. rujna.
Osnivač Linuxa Linus Torvalds to je popravio u svom uzvodnom kernelu
drvo prije dva tjedna, impresivno brz jedan dan nakon što je Horn prijavio problem. I za nekoliko dana to je također popravljeno u uzvodnim stabilnim izdanjima kernela 4.18.9, 4.14.71, 4.9.128 i 4.4.157. Postoji i popravak u izdanju 3.16.58.VIDJETI: Kako pronaći datoteke u Linuxu pomoću grepa: 10 primjera (besplatan PDF)
No Horn ističe da neke distribucije Linuxa ostavljaju korisnike izloženima potencijalnim napadima jer ne reagiraju dovoljno brzo na često ažurirana uzvodna stabilna izdanja kernela.
Čim se zakrpa usvoji u uzvodnom kernelu, zakrpa se objavljuje i u tom trenutku napadač bi je mogao upotrijebiti za razvoj exploita, objašnjava Horn.
Međutim, krajnji korisnici distribucija Linuxa nisu zaštićeni dok svaka distribucija ne spoji promjene iz uzvodnih stabilnih jezgri, a zatim korisnici instaliraju to ažurirano izdanje.
Između te dvije točke, problem također postaje izložen na javnim listama za slanje e-pošte, dajući distribucijama Linuxa i potencijalnim napadačima priliku da nešto poduzmu.
"Sigurnosni problem najavljen je na oss-security mailing listi 2018-09-18, s CVE dodjelom 2018-09-19, čime je potreba za isporukom novih distribucijskih kernela korisnicima jasnija", Horn napisao u postu Project Zero objavljenom u srijedu.
Ali kao što je primijetio, od srijede Debian stable i Ubuntu izdanja 16.04 i 18.04 nisu riješili problem, a najnovije ažuriranje kernela dogodilo se otprilike mjesec dana ranije. To znači da postoji razmak od nekoliko tjedana između propusta koji se javno objavi i popravaka koji stignu do krajnjih korisnika.
"Debian stabilan isporučuje kernel temeljen na 4.9, ali od 2018-09-26, ovaj kernel je posljednji put ažuriran 21.08.2018. Slično tome, Ubuntu 16.04 isporučuje kernel koji je bio zadnje ažuriranje 2018-08-27. Android isporučuje sigurnosna ažuriranja samo jednom mjesečno", primijetio je.
"Stoga, kada je sigurnosno kritičan popravak dostupan u uzvodnom stabilnom kernelu, još uvijek može potrajati tjednima prije nego što popravak stvarno bude dostupan korisnicima -- osobito ako se sigurnosni utjecaj ne objavi javno."
VIDJETI: 20 brzih savjeta za lakše umrežavanje u Linuxu (besplatan PDF)
Međutim, projekt Fedora bio je malo brži, gurajući popravak korisnicima 22. rujna.
Canonical, britanska tvrtka koja održava Ubuntu, od tada je odgovorio na Hornov blog, i kaže da bi popravci "trebali biti objavljeni" oko ponedjeljka, 1. listopada.
Malo je vjerojatno da će ovo biti posljednja greška u jezgri koju su istraživači Project Zero pronašli, osim ako Ubuntu i drugi Linux distribucije skupe svoje djelovanje na uzvodnim popravcima kernela, mogu očekivati da će ih se ponovno prozivati i sramotiti.
"Vremenska traka popravka pokazuje da je pristup kernela rješavanju ozbiljnih sigurnosnih grešaka vrlo učinkovit u brzom postavljanju popravka u git glavno stablo, ali ostavlja prozor izloženosti između vremena kada je uzvodni popravak objavljen i vremena kada popravak stvarno postane dostupan korisnicima -- a ovaj vremenski prozor je dovoljno velik da napadač u međuvremenu može napisati eksploataciju kernela," napisao je Horn.
Prethodno i povezano izvješće
Cisco: Linux kernel FragmentSmack bug sada utječe na 88 naših proizvoda
Ciscov popis proizvoda s nedostatkom odbijanja usluge Linux kernela raste.
Linux na Windows 10: Pokretanje Ubuntu VM-ova je postalo puno lakše, kaže Microsoft
Ubuntu VM sada se mogu pokrenuti iz Hyper-V Quick Create i koristiti RDP za poboljšani način rada sesije.
Što se događa ako pokušate ukloniti svoj kod iz Linuxa?
Pravni stručnjaci koji poznaju Linux iz prošlosti i sadašnjosti raspravljaju o ovom zamršenom pitanju licenciranja otvorenog koda.
Novi Linux 'Mutagen Astronomy' sigurnosni propust utječe na distribucije Red Hat i CentOS
Red Hat tim osigurava ublažavanje, obećava ažuriranja kernela.
Korisnici sustava Windows 10 Enterprise sada će dobiti podršku sličnu Linuxu
Povinujući se pritisku administratora poduzeća, Microsoft je ponovno produljio svoj ciklus podrške za Windows 10. Današnje najave učinkovito stvaraju verziju dugoročne podrške sličnu Linuxu za korisnike koji plaćaju nadogradnje za Enterprise.
Čak ni Linus Torvalds ne razumije potpuno Linux kernel
U opsežnom intervjuu na Open Source Summitu, Torvalds je govorio o programerima, Linuxu i razvoju otvorenog koda.
Linus Torvalds i Linux kodeks ponašanja: 7 razotkrivenih mitova
Ne, programeri koji protestiraju ne uklanjaju kod iz Linuxa; nema čistki politički nekorektnih programera Linux kernela. I Linus Torvalds se vraća.
Kako instalirati Windows 10 u VM na Linux stroju TechRepublic
Naučite kako instalirati Windows 10 na svoje Linux računalo pomoću isporučenog licencnog ključa na unaprijed sastavljenim sustavima i dobijte savjete o tome kako smanjiti količinu sistemskih resursa koje koristi Windows.
Kako odabrati distribuciju Linuxa za svoje staro računalo CNET
Želite uskrsnuti ili transformirati prijenosno ili stolno računalo? Postoji mnogo verzija Linuxa koje možete izabrati, a sve su besplatne (i izvrsne). Evo kako odlučiti koji je pravi za vas.