[Linux-Biella] Vulnerabilità kernel >= 2.6.39 (SUID /proc/pid/mem)
Remotes
webmaster a remotes.it
Dom 5 Feb 2012 15:14:26 CET
Alle 15:14 di domenica 5 febbraio 2012, Daniele Segato ha scritto:
> On 02/04/2012 04:46 PM, Jumping Jack wrote:
> > Un bug di questo tipo, non va detto, mai. Va solo corretto e deve
> > restare segreto, al massimo si possono spingere le varie distro a
> > patchare ma senza specificare il vero motivo.
>
> prima di tutto bisogna differenziare tra un bug che permette di ottenere
> accesso al sistema da remoto ed un bug come questo che permette una
> privilage escalation.
>
>
> nel primo caso la segretezza potrebbe proteggere fino ad un certo punto,
> nel secondo (che è questo caso) la conoscenza è in grado di proteggere
> molto di più...
>
> se conosco il problema posso anche creare delle misure protettive per
> mettermi al riparo fino ad una sua soluzione definitiva
>
>
>
> tornando al primo caso: esiste una differenza tra rendere noto che
> esiste un problema in grado di dare l'accesso, fornendo dei consigli su
> come limitare i danni e fornire i dettagli su come sfruttare il problema.
>
>
> se la vedo dall'altro lato, mi bucano il sistema e perdo dati importanti
> o comunque la cosa mi causa un danno di grossa entità:
> * se nessuno mi ha detto nulla sono incazzato come una bestia e voglio
> farla pagare a chi mi ha tenuto all'oscuro
> * se sono stato avvertito ma ho sottovalutato l'avvertimento e non ho
> preso le precauzioni consigliate sono un cretino e mi sta pure bene
>
>
> Security by obscurity, è già la seconda volta che ti sento sostenere
> questo modus operandis: non funziona!
>
> Così come "il buono" ha scoperto il bug, può scoprirlo un cattivo.
> Tanto più tempo si lascia passare dal momento in cui il cattivo scopre
> il bug per avvertire tutti e tanto più si lascia la gente nella merda.
>
> La mia coscenza non mi permetterebbe di farlo.
>
> > Se chi lo scopre non ha potere allora resta il passaparola ma in quel
> > caso, l'elemento che lo sfrutta è garantito. L'occasione fa l'uomo ladro
> > e quando i soggetti sono tanti i ladri spuntano come funghi.
>
> Credo di aver abbondantemente argomentato qui sopra e se mi hai seguito
> avrai già capito che la tua affermazione "l'occasione fa l'uomo ladro"
> non giustifica la segretezza.
>
> A scanso di equivoci ti faccio presente che se l'occasione fa l'uomo
> ladro l'ignoranza rende l'onesto inerme.
>
> my 2 cent
anche 3, condivido in toto
--
Nicolò "Remotes" Lucia
"the 449257th penguin"
sirremoz a gmail.com
remotes a jabber.linux.it
Maggiori informazioni sulla lista
Linux