[Linux-Biella] Vulnerabilità kernel >= 2.6.39 (SUID /proc/pid/mem)

[Marco Vallini]

On 02/04/2012 04:52 PM, Federico "Darkmagister" Pietta wrote:
> On 04/02/2012 16:46, Jumping Jack wrote:
>> Oppure qualcuno ha preferito sfruttarla per un po' o magari è anche
>> stata creata apposta.
>> Anche perchè il tizio che avrebbe scoperto la vulnerabilità per quale
>> motivo lo ha fatto se non tentanto un hacking del sistema?
>
> o magari stava studiando determinate cose e ha deciso di usare il kernel
> linux per il suo studio, scoprendo che c'è un problema.
>
>> Di solito queste cose funzionano che X scopre o crea qualcosa lo usa suo
>> piacimento, poi dà un aiuto a Y per arrivare a ciò che già conosce, così
>> appare scoperto per caso e anche se si prova fare un collegamento non si
>> trova.
>
> na non sempre direi...
>
>> Un bug di questo tipo, non va detto, mai. Va solo corretto e deve
>> restare segreto, al massimo si possono spingere le varie distro a
>> patchare ma senza specificare il vero motivo.
>
> questa è una puttanata da software proprietario, facciamo finta di
> niente, il mondo non deve funzionare così, io avviso chi di dovere
> appena si ha la cura essendo un bug pericoloso pubblico un bello studio
> a riguardo, queste cose vanno dette.
>
> non bisogna insabbiare le cose, bisogna far conoscere come stanno veramente.
>

si, secondo me, la cosa migliore sarebbe: avviso i responsabili e le 
distro principali poi:
A. se può essere patchato in fretta (tipo pochi giorni) lo faccio e poi 
lo dico pubblicamente dopo che le patch sono disponibili

oppure

B. in alternativa se non si trova in fretta la soluzione va cmq detto, 
pubblicando eventuali circostanze in cui il bug nn si verifica, in modo 
da fornire info precise su come arginare problemi in attesa della 
soluzione...