[Linux-Biella] Vulnerabilità kernel >= 2.6.39 (SUID /proc/pid/mem)

Dom 5 Feb 2012 15:33:45 CET


On 05/02/2012 15:14, Daniele Segato wrote:
> On 02/04/2012 04:46 PM, Jumping Jack wrote:
>> Un bug di questo tipo, non va detto, mai. Va solo corretto e deve
>> restare segreto, al massimo si possono spingere le varie distro a
>> patchare ma senza specificare il vero motivo.
>
> prima di tutto bisogna differenziare tra un bug che permette di 
> ottenere accesso al sistema da remoto ed un bug come questo che 
> permette una privilage escalation.
>
>
> nel primo caso la segretezza potrebbe proteggere fino ad un certo 
> punto, nel secondo (che è questo caso) la conoscenza è in grado di 
> proteggere molto di più...
>
> se conosco il problema posso anche creare delle misure protettive per 
> mettermi al riparo fino ad una sua soluzione definitiva
D'accordo ma non in senso assoluto, dipende da cosa succede e da chi si 
attiva prima (per correggere o sfruttare).
>
>
>
> tornando al primo caso: esiste una differenza tra rendere noto che 
> esiste un problema in grado di dare l'accesso, fornendo dei consigli 
> su come limitare i danni e fornire i dettagli su come sfruttare il 
> problema.
>
>
> se la vedo dall'altro lato, mi bucano il sistema e perdo dati 
> importanti o comunque la cosa mi causa un danno di grossa entità:
> * se nessuno mi ha detto nulla sono incazzato come una bestia e voglio 
> farla pagare a chi mi ha tenuto all'oscuro
> * se sono stato avvertito ma ho sottovalutato l'avvertimento e non ho 
> preso le precauzioni consigliate sono un cretino e mi sta pure bene
E se un dipendente esperto ma bastardo sfrutta il bug per un sisteama 
catena che va a compremettere un grande sistema e magari nessuno ne 
accorge se non quando è troppo tardi? Non vorrei forse farla pagare a 
chi ha detto del bug al tizio in questione?

>
>
> Security by obscurity, è già la seconda volta che ti sento sostenere 
> questo modus operandis: non funziona!
Non funziona perchè a volte, o anche spesso, viene sfruttato a proprio 
favore. E' un'altro problema, si tratta delle mele marce che ci sono sia 
da un lato che dall'altro, generalmente, anche se non sempre, io sono 
per seguire il male minore piuttosto che il benficio maggiore. 
Ovviamente dando per scontato che il bene "pulito" non ci sia.
>
> Così come "il buono" ha scoperto il bug, può scoprirlo un cattivo.
> Tanto più tempo si lascia passare dal momento in cui il cattivo scopre 
> il bug per avvertire tutti e tanto più si lascia la gente nella merda.
Il cattivo scopre il bug, il cattivo e solo lui usa il bug. Il buono 
diffonde il bug molti cattivi possono agire prima che il bug venga 
corretto. E' sempre relativo.
>
> La mia coscenza non mi permetterebbe di farlo.
La mia invece mi fa valutare quale sia il male minore o i problemi gravi 
che una notizia può generare. Ovviamente non i problemi che a un 
politico saltino le chiappe, perchè il vero danno, di solito, è causato 
da questi elementi che hanno potere.
>
>
>> Se chi lo scopre non ha potere allora resta il passaparola ma in quel
>> caso, l'elemento che lo sfrutta è garantito. L'occasione fa l'uomo ladro
>> e quando i soggetti sono tanti i ladri spuntano come funghi.
>
>
> Credo di aver abbondantemente argomentato qui sopra e se mi hai 
> seguito avrai già capito che la tua affermazione "l'occasione fa 
> l'uomo ladro" non giustifica la segretezza.
Da sola assolutamente no, però è una basa per valutare se la segretezza 
è una opzione importante o meno.
>
> A scanso di equivoci ti faccio presente che se l'occasione fa l'uomo 
> ladro l'ignoranza rende l'onesto inerme.
Certo, infatti qualcuno sostiene che la gente non dovrebbe sapere nulla 
così nessuno fa niente di fuori dalla norma. Che è sbagliatissimo, tanto 
quando il permettere a tutti di fare tutto.

JJ