Bekijk Volledige Versie : Linux Kernel Multiple Vulnerabilities 2.6.x
Voor de gegadigden, vond het wel de moeite waard om onder ogen te brengen.
http://secunia.com/product/2719/
TITLE:
Linux Kernel Multiple Vulnerabilities
SECUNIA ADVISORY ID:
SA14295
VERIFY ADVISORY:
http://secunia.com/advisories/14295/
CRITICAL:
Moderately critical
IMPACT:
Unknown, Security Bypass, Exposure of sensitive information, DoS
WHERE:
From remote
OPERATING SYSTEM:
Linux Kernel 2.6.x
http://secunia.com/product/2719/
DESCRIPTION:
Some vulnerabilities have been reported in the Linux kernel. These
can be exploited by malicious, local users to gain knowledge of
potentially sensitive information or cause a DoS (Denial of Service),
or by malicious people to cause a DoS or bypass certain security
restrictions.
1) Insufficient permission checking in the "shmctl()" function allows
any process to lock/unlock arbitrary System V shared memory segments
that fall within the RLIMIT_MEMLOCK limit.
This can be exploited to unlock locked memory of other processes,
which may result in sensitive information being written to swap
space.
2) A race condition exists in the terminal handling of the "setsid()"
function used for starting new process sessions.
3) Table sizes in "nls_ascii.c" are incorrectly set to 128 instead of
256, which may be exploited to cause buffer overflows and crash the
kernel.
4) A design error in the netfilter/iptables module can be exploited
to crash the kernel or bypass firewall rules via specially crafted
packets.
SOLUTION:
1-2) Secunia is currently not aware of an updated kernel version
addressing the vulnerabilities. Grant only trusted users access to
affected systems.
3) The vulnerability has been fixed in version 2.6.11-rc1.
4) The vulnerability has been fixed in version 2.6.11-rc3.
PROVIDED AND/OR DISCOVERED BY:
1) Michael Kerrisk
3) Ogawa Hirofumi
4) David Coulson
ORIGINAL ADVISORY:
http://www.ubuntulinux.org/support/documentation/usn/usn-82-1
----------------------------------------------------------------------
About:
This Advisory was delivered by Secunia as a free service to help
everybody keeping their systems up to date against the latest
vulnerabilities.
Subscribe:
http://secunia.com/secunia_security_advisories/
Definitions: (Criticality, Where etc.)
http://secunia.com/about_secunia_advisories/
Please Note:
Secunia recommends that you verify all advisories you receive by
clicking the link.
Secunia NEVER sends attached files with advisories.
Secunia does not advise people to install third party patches, only
use those supplied by the vendor.
----------------------------------------------------------------------
Unsubscribe: Secunia Security Advisories
http://secunia.com/sec_adv_unsubscribe/?email=:)
----------------------------------------------------------------------
tsjah, wie gebruikt er nu ook 2.6 op een productie server, tenzij je een desktop distributie draait. De vanilla versie van 2.6.10 zit ook vol security bugs... en dan maar hopen dat jouw distributie patches uit brengt zeker :)
Fedora Core 2
Fedora Core 3
RHEL 4
1e 2 worden veel gebruikt op servers. Misschien is Fedora wel het populairste server-os onder de kleine webhosters met eigen servers.
Verder maakt RHEL4 ook gebruik van de 2.6-kernel.
Volgens mij is de 2.6-kernel niet zo heel buggy meer. Natuurlijk wel erger dan 2.4. Verder is de 2.6-kernel duidelijk sneller dan de 2.4-kernel, al moet dat niet ten koste van security gaan.
Zelf gebruik ik liever ook nog even de 2.4-kernel, maar vol security bugs? Mwuah...
Origineel geplaatst door DennisCitus
Fedora Core 2
Fedora Core 3
RHEL 4
1e 2 worden veel gebruikt op servers. Misschien is Fedora wel het populairste server-os onder de kleine webhosters met eigen servers.
Verder maakt RHEL4 ook gebruik van de 2.6-kernel.
Volgens mij is de 2.6-kernel niet zo heel buggy meer. Natuurlijk wel erger dan 2.4. Verder is de 2.6-kernel duidelijk sneller dan de 2.4-kernel, al moet dat niet ten koste van security gaan.
Zelf gebruik ik liever ook nog even de 2.4-kernel, maar vol security bugs? Mwuah...
Fedora kan hier misschien wel populair zijn, maar als ik dat vertel tegen een systeembeheerder, dan komt die niet meer bij van het lachen. Ik heb het trouwens al eens proberen uit te leggen aan iemand anders dat er mensen fedora op een server gebruikte en hij wou me echt niet geloven tot hij op dit forum kwam :)
Ik zou toch nog altijd voor 2.4 gaan. In 2.6.10 vanilla (dus unpatched, van kernel.org) zitten ongeveer 10 security bugs.
Security gaat nog altijd voor snelheid. Wat ben je met een snellere server als hij even later gehackt wordt ;)
En voor mensen die denken dat ze via PHP geen misbruik kunnen maken van deze scripts, vergeet het maar. Als je iets van exec() toe laat is dat perfect mogelijk
edit: RHEL 4 is eigenlijk ook geen distributie die zich echt op de server markt concentreerd. De reden dat hier 2.6 in zit is vooral voor de desktop gebruikers (redhat op workstations in bedrijven).
Origineel geplaatst door wv-
Fedora kan hier misschien wel populair zijn, maar als ik dat vertel tegen een systeembeheerder, dan komt die niet meer bij van het lachen. Ik heb het trouwens al eens proberen uit te leggen aan iemand anders dat er mensen fedora op een server gebruikte en hij wou me echt niet geloven tot hij op dit forum kwam :)
Ik zou toch nog altijd voor 2.4 gaan. In 2.6.10 vanilla (dus unpatched, van kernel.org) zitten ongeveer 10 security bugs.
Security gaat nog altijd voor snelheid. Wat ben je met een snellere server als hij even later gehackt wordt ;)
En voor mensen die denken dat ze via PHP geen misbruik kunnen maken van deze scripts, vergeet het maar. Als je iets van exec() toe laat is dat perfect mogelijk
edit: RHEL 4 is eigenlijk ook geen distributie die zich echt op de server markt concentreerd. De reden dat hier 2.6 in zit is vooral voor de desktop gebruikers (redhat op workstations in bedrijven).
Toch snap ik dit niet helemaal, ik draai verschillende distro's waaronder zelfs nog een oude rh7.2 . Je distro is niets meer dan een grote verzameling met packages, package management en de schil omheen. Je bent nog altijd vrij om bepaalde services/packages te installeren of te deinstalleren. In hoeverre zal een systeembeheerder nog lachen als ik een kernel opnieuw compile met grsec erin ? Ik vind dit soort uitingen altijd een beetje overtrokken. Hetzelfde als de discussies linux <=> windows of de discussies tussen de distro keuze. Hierbij wordt er altijd een foute vergelijking gemaakt richting de bsd varianten. Men kakelt een hoop maar onderbouwen ho maar.
@Dennis, de snelheid tussen de kernels zullen wij niet zozeer 123 merken, ik denk dat je daar toch meer moet gaan kijken bij de high end gebruikers.
Origineel geplaatst door Mikey
Toch snap ik dit niet helemaal, ik draai verschillende distro's waaronder zelfs nog een oude rh7.2 . Je distro is niets meer dan een grote verzameling met packages, package management en de schil omheen. Je bent nog altijd vrij om bepaalde services/packages te installeren of te deinstalleren. In hoeverre zal een systeembeheerder nog lachen als ik een kernel opnieuw compile met grsec erin ? Ik vind dit soort uitingen altijd een beetje overtrokken. Hetzelfde als de discussies linux <=> windows of de discussies tussen de distro keuze. Hierbij wordt er altijd een foute vergelijking gemaakt richting de bsd varianten. Men kakelt een hoop maar onderbouwen ho maar.
Daar heb je gelijk in, maar fedora is echt gericht op desktop gebruik. Hoe ga je experimentele dingen zoals bijvoorbeeld udev deftig er uit halen als je er niet veel van kent? Hoe ga je packages installeren als fedora geen support meer geeft voor jouw 1 jaar oude 'core'. Als je al een kernel kan compilen, ga je niet meer fedora installeren :) dan ben je die fase voorbij en kies je voor een degelijke distributie (niet dat een kernel compilen moeilijk is).
Je moet dingen gebruiken waarvoor ze gemaakt zijn, fedora is heel leuk op een desktop systeem. Windows XP is ook leuk op een desktop systeem. Windows 2003 server leuk voor op een server, maar niet leuk voor op een desktop systeem, enz. Dit is dus niet zomaar de "distributie X zuigt, Y is beter". Fedora developers zeggen zelf ook dat ze zich richten op desktop gebruik, niet op servers.
Origineel geplaatst door wv-
Daar heb je gelijk in, maar fedora is echt gericht op desktop gebruik. Hoe ga je experimentele dingen zoals bijvoorbeeld udev deftig er uit halen als je er niet veel van kent? Hoe ga je packages installeren als fedora geen support meer geeft voor jouw 1 jaar oude 'core'. Als je al een kernel kan compilen, ga je niet meer fedora installeren :) dan ben je die fase voorbij en kies je voor een degelijke distributie (niet dat een kernel compilen moeilijk is).
Je moet dingen gebruiken waarvoor ze gemaakt zijn, fedora is heel leuk op een desktop systeem. Windows XP is ook leuk op een desktop systeem. Windows 2003 server leuk voor op een server, maar niet leuk voor op een desktop systeem, enz. Dit is dus niet zomaar de "distributie X zuigt, Y is beter". Fedora developers zeggen zelf ook dat ze zich richten op desktop gebruik, niet op servers.
Snap ik, maar ondanks de support van 1 jaar kan hij er prima mee door. Maar helaas zijn de meeste doorsnee hosters niet zo actief met security en het hele gebeuren eromheen.
Tevens denk ik wel dat je mijn punt snapte. Hier wordt de fedora install vooral misbruikt, icm met de kickstart en postscript mogelijkheden zijn er heel veel dingen mogelijk.
bla bla we snappen mekaar :)
Haha geloof dat ik 1 van de "sukkels" ben die hier Fedora op de servers draait. Jemig weer typisch zo'n discussie, van mijn pimel is grote dan die van jou.
Fedora is een prima os (voor het standaard werk), en doet niet onder voor andere OSes, minpuntje is alleen beperkte houdbaarheids datum, maar gelukkig is daar dan fedora legacy....
En dat RHEL niet voor servers is getargeted is ook grote onzin. JUIST om de 2.6 kernel is het een ideaal (serieus) server os. De 2.6 kernel is zo meer schaalbaarder dan de 2.4 kernel. Ander leuke dingen zijn:
- SELinux
- LVM2
Origineel geplaatst door handy
Haha geloof dat ik 1 van de "sukkels" ben die hier Fedora op de servers draait. Jemig weer typisch zo'n discussie, van mijn pimel is grote dan die van jou.
Fedora is een prima os (voor het standaard werk), en doet niet onder voor andere OSes, minpuntje is alleen beperkte houdbaarheids datum, maar gelukkig is daar dan fedora legacy....
En dat RHEL niet voor servers is getargeted is ook grote onzin. JUIST om de 2.6 kernel is het een ideaal (serieus) server os. De 2.6 kernel is zo meer schaalbaarder dan de 2.4 kernel. Ander leuke dingen zijn:
- SELinux
- LVM2
Je bent absoluut geen "sukkels", integendeel, maar ik verwerp juist dat fedora geen fatsoenlijk OS is. In feite zijn ze allemaal hetzelfde, hoop dingen bij mekaar geraapt, flink testen en releasen. Wat betreft die legacy, ik raad je aan niet altijd te wachten op de legacy updates, soms duren ze iets wat lang voordat ze er werkelijk mee op de klippen komen.