[Linux-Biella] Vulnerabilità kernel >= 2.6.39 (SUID /proc/pid/mem)
PaulTT
paultt a bilug.linux.it
Lun 6 Feb 2012 18:45:36 CET
On 05/02/2012 15:14, Daniele Segato 說:
> On 02/04/2012 04:46 PM, Jumping Jack wrote:
>> Un bug di questo tipo, non va detto, mai. Va solo corretto e deve
>> restare segreto, al massimo si possono spingere le varie distro a
>> patchare ma senza specificare il vero motivo.
>
> prima di tutto bisogna differenziare tra un bug che permette di
> ottenere accesso al sistema da remoto ed un bug come questo che
> permette una privilage escalation.
>
>
> nel primo caso la segretezza potrebbe proteggere fino ad un certo
> punto, nel secondo (che è questo caso) la conoscenza è in grado di
> proteggere molto di più...
>
> se conosco il problema posso anche creare delle misure protettive per
> mettermi al riparo fino ad una sua soluzione definitiva
>
>
>
> tornando al primo caso: esiste una differenza tra rendere noto che
> esiste un problema in grado di dare l'accesso, fornendo dei consigli
> su come limitare i danni e fornire i dettagli su come sfruttare il
> problema.
>
>
> se la vedo dall'altro lato, mi bucano il sistema e perdo dati
> importanti o comunque la cosa mi causa un danno di grossa entità:
> * se nessuno mi ha detto nulla sono incazzato come una bestia e voglio
> farla pagare a chi mi ha tenuto all'oscuro
> * se sono stato avvertito ma ho sottovalutato l'avvertimento e non ho
> preso le precauzioni consigliate sono un cretino e mi sta pure bene
>
>
> Security by obscurity, è già la seconda volta che ti sento sostenere
> questo modus operandis: non funziona!
>
> Così come "il buono" ha scoperto il bug, può scoprirlo un cattivo.
:s/può scoprirlo/è molto più probabile che lo scopra
> Tanto più tempo si lascia passare dal momento in cui il cattivo scopre
> il bug per avvertire tutti e tanto più si lascia la gente nella merda.
>
> La mia coscenza non mi permetterebbe di farlo.
gia', come se uno sapesse che l'acqua del pozzo e' avvelenata e non lo
dice a nessuno per non farlo preoccupare.
e' un sob, mica una persona vera.
--
plot e replot di gnuplot
Maggiori informazioni sulla lista
Linux