Linux pääsi eroon vanhasta vaivasta
14
Avoin käyttöjärjestelmä Linux sai ytimen päivityksen. Se poistaa vähintään viisi vuotta koodissa piilleen haavoittuvuuden, jolla hyökkääjä voi saada pääkäyttäjäoikeudet järjestelmään.
Viestintäviraston tietoturvayksikön Cert-fi:n mukaan ytimen ongelman vuoksi sovelluksen pinomuisti voi kasvaa toisen sovelluksen kanssa jaetulle muistialueelle. Seurauksena toinen sovellus voi muokata ensimmäisen sovelluksen pinomuistia.
Aukko korjattiin Linuxin ytimestä viikko sitten. Tämän viikon tiistaina tutkija hahmotteli hyökkäysmenetelmän (pdf) käyttämällä X-palvelinta, jota usein hyödynnetään graafisten käyttöliittymien esittämisessä Linux-työpöydillä.
The Register -lehti kummastelee, ettei haavoittuvuutta korjattu aikaisemmin, vaikka ongelma oli vuosia tiedossa. Avoimen käyttöjärjestelmän turvallisuutta on usein perusteltu sillä, että kuka tahansa voi muokata lähdekoodia.
Jotkut jakelut
jo suojassa
Haavoittuvia ovat 2.6-sarjan Linux-ytimet, sekä 32- että 64-bittiset versiot. The Register kertoo joidenkin Linux-jakelujen olevan jo vanhastaan suojassa. Esimerkiksi Suse Enterprisen eri versiot korjattiin vuosia sitten.
Eri lähteiden mukaan hyökkäys on mahdollinen vain paikallisesti. Näin sanoo muun muassa Linux-jakelija Ubuntu päivitystiedotteessaan.
Cert-fi:n mukaan haavoittuvuuteen voi hyökätä etäältä. Myös hyökkäystä hahmotellut tutkija toteaa, että etäkäyttö voi olla mahdollista.
Nyt korjatun aukon esitteli ranskalainen Gaël Delalleau vuonna 2004. Suomalaiset ovat tänä vuonna saaneet kunniaa Linuxin ytimen muiden haavoittuvuuksien raportoinnista.
Kommentit (14)
Yhm. Niin siis, no periaatteessa, öh tai silleen tai jotain. Mut aina voi sanoa että kaikki reijät korjataan heti. Öh.
Yhm. Niin siis, no periaatteessa, öh tai silleen tai jotain. Mut aina voi sanoa että kaikki reijät korjataan heti. Öh.
Niin, tuohon aukkoon oli olemassa korjaus. Jostain syystä se otettiin mukaan vain johonkin jakeluun.
Vanha turvallisuusalan sanonta kertoo, että jos koneeseen pääsee fyysisesti käsiksi, niin peli on jo menetetty. Mikään käyttöjärjestelmä ei siitä selviä.
Mitä konkretiaa sä kaipaat?
Käyttistasolla linux on saanut aikaan mullistuksia. Yksi tällaisista on esimerkiksi se, että olen siirtynyt windows 7:sta openSUSE:n käyttäjäksi.
kaikki tietävät linux merkittävyyden muutenkin. Sehän pyörittää valtaosaa maailman käyttöliittymistä ja tietojärjestelmistä. New Yorkin ja Tokion pörssi pyörivät kuulemma Red Hatin avustuksella.
Tuossa nyt alkuun konkretiaa.
Nero, mutta arvostus ainakin Suomessa on vähäistä. Suomessa ei ole yhtäkään suomenkielistä "linux" aiheista lehteä, kioskilta saa monia englanninkielisiä "linux" lehtiä. Nämä suomenkieliset lehdet tuntuu kyllä yli kaiken hehkuttavan Windows 7:ää ja Applen "lumileopardia", aivan satunnaisesti ilmestyy joku kevytsisältöinen linuxjuttu. Luulisi lehtien tuottajien sentään arvostavan enemmän Linus Torvaldsin työtä. Miksi emme saa omaa suomenkielistä Linux-lehteä joka olisi toimitettu ammattitaitoisesti?
Tämä pinovirhe ei ole yksistään "linuxin" huoli. Tämä koskee kaikkea muutakin ohjelmointia, niin käyttöjärjestelmiä kuin sovelluksia. Tämä pinovirheen tuottaminen ohjelmassa on yksi niistä yleisistä virheistä joita ohjelmoijat voivat tehdä. Netissä on julkaistu listaa niistä ohjelmointivirheistä joita jokaisen ohjelmoijan tulisi välttää.