Encontrada falha grave de segurança no Linux – Ainda sem correção

Por: Carlos Cardoso em 13/02/08 na(s) categoria(s): Linux, Segurança

O bug permite -apenas- que um usuário comum obtenha status de root. Foi demonstrado em Debian, Fedora, Ubuntu e imagina-se que funcione em outras distros.

Não é uma alegação qualquer, há inclusive código-fonte com o exploit. Ainda não há nenhuma correção disponível, apenas alguns quebra-galhos, que estão causando mais problemas ainda. Segundo um dos membros da lista do Debian:

these “hotfixes” are so completely wrong, it’s not even funny.you’re playing russian roulette with the return value.

É um bom momento para os freetards enfiarem a cabeça na areia dizendo “não há problema algum, isso é só terrorismo e FUD da mídia burguesa”, enquanto secretamente cruzam os dedos rezando para São Stallman pedindo que 1 – os hackers não invadam muitos servidores usando o bug e 2 – os programadores que EFETIVAMENTE fazem o Linux consigam resolver logo o problema, para que eles (os freetards) voltem a dizer o quanto o Linux é invulnerável, lindo maravilhoso e perfeito. Como o Mac OSX.

Fonte: Linux Watch, via Fake Steve Jobs

[atualização] já há correção disponível. Agradecemos aos freetards que foram tão ágeis em apontar esse fato e tão eficientes em enfiar a cabeça na areia fingindo que o bug não existia, não divulgando-o em primeiro lugar. Muito bom, rapazes, continuem assim.

Mais textos de Carlos Cardoso | Site | Twitter

Roniuj

Oba, isso vai ser divertido!

………………r o n i u j ………………………..
http://pietra@hotmail.com Anônimo

E agora ? Vão migrar o meiobit para um xserve ?

http://www.contraditorium.com Carlos Cardoso

OS/2 rodando PowerWeb.

tomboderider

Excelente!

g1.globo.com/tecnologia
mknun

Tenho lido o meiobit diariamente nos últimos 2 meses. E dessa vez resolvi comentar.

Isso foi ironia né?

carloshp

[quote=mknun]Tenho lido o meiobit diariamente nos últimos 2 meses. E dessa vez resolvi comentar.

Isso foi ironia né?[/quote]

Não. Foi mais uma barriga do nosso prezado Cardoso. Better luck next time, dude…

—
Tecnologia deve ser o meio, não o fim.
tomboderider

Vc le o meiobit a 2 meses e ainda nao sabe quando é uma ironia?

realemnte é preciso colocar tags de ironia pra galera entender.

g1.globo.com/tecnologia

http://sites.google.com/site/flavioamieiro/ Flávio Amieiro

Aí é que tá, agora eu não sei se esse update que veio hoje corrige de maneira satisfatória ou não o problema…

Eu não quero ficar brincando de roleta russa com a segurança aqui…

EDIT: só pra não falar pela metade: não tenho nem certeza de que é o mesmo sploit, mas como é no vmsplice também, achei que fosse a mesma.

:wq
pedrocpneto

Já há correção no kernel 2.6.24.2 desde o dia de seu lançamento: 11 de fevereiro.

Ser Geek
//Aposenta Stallman
Yaten

Não é por nada, mas isso irá fazer muitas pessoas chorarem.
Odin

Cheguei a ficar com medo
jrstravino

No Ubuntu foi corrigido pela atualização automática no dia 12 pela manhã…
Não precisou rezar pro Santo Stallman nem esperar pelo post atrasado do Cardoso.

Ubuntu Security Notice USN-577-1 February 12, 2008 linux-source-2.6.17/20/22 vulnerability CVE-2008-0600

http://www.ubuntu.com/usn/usn-577-1

Até os FUDS estão mais lerdos que os updates do Linux…
Ok meu lado Freetard falou mais alto, não resisti…

Tecnologia Livre

carlosaluisio

É isso aí. se é no Windows, leva um mês para vir uma atualização de segurança, que é capaz de abrir mais portas ainda…

Isso é Linux, isso é Ubuntu !

Natchan2008

Mal descobriram a brecha e já corrigiram???

Parece o seriado Prison Break!!!

______________________________
“Votei no Meio Bit como melhor blog de tecnologia!”

jrstravino

Pois é, mais rápido que baixar o episódio s03e12 do Prison Break e mais rápido do que escrever um artigo no 1/2 bit.

Tecnologia Livre

gustavoasfernandes

Mas para o OS perfeito, rapidez nunca é demais, sendo livre e ainda perfeito, deveria ter sido corrigido antes de ser descoberto, afinal, o mundo é livre e perfeito haaha

jrstravino

O time de segurança do ubuntu está trabalhando nisso, usando uma tecnologia no estilo Minority Report.
Em breve vamos corrigir os bugs antes de serem descobertos não se preocupe, kkkk

Tecnologia Livre
tomboderider

MEU DEUS! como pode ter sido corrigido antes de ser descoberto? viagem no tempo? bola de cristal? cartomante? Isso desafia as leis da fisica/espaço-tempo/continuum!

=D

g1.globo.com/tecnologia

julianzanella

Qualquer um dos métodos que você citou a pessoa vai ter descoberto antes de corrigir, pra corrigir sem descobrir, só se o programador corrigiu sem querer, tava fazendo uma coisa e corrigiu outra sem nem se tocar

jrstravino

Pra quem ficou triste pelos milhares de servidores linux que NÃO foram invadidos por um bug no kernel, deixo uma pequena dica de como destruir seu Ubuntu ou seu Mac OSX com um simples comando:
“sudo rm -rf /”

(Não tentem crianças o estrago é enorme e fatal)

Vejam o video:
http://br.youtube.com/watch?v=wWOjmvWPRvQ

Já o Cardoso pode testar o comando no terminal do Mac dele sem problemas…

Tecnologia Livre

Gilberto Martins

Cardoso usa MAC ?
Então ele usa Unix tb !!!

===
Blog: Livre e Social

http://www.contraditorium.com Carlos Cardoso

Também o CACETE. EU uso Unix, os linuxeiros não. Esses Linux baunilhas que o pessoal usa não são POSIX. O OSX é.

carloshp

[quote=Carlos Cardoso]Também o CACETE. EU uso Unix, os linuxeiros não. Esses Linux baunilhas que o pessoal usa não são POSIX. O OSX é.[/quote]

Depois quando eu digo que usuário da Apple se acha a última bolachinha do pacote não acreditam…

—
Tecnologia deve ser o meio, não o fim.

hamacker

Pois é, ultima bolacha do pacote e a única com sabor UNIX com cereja em cima .
jesus

Mac é pra designer!
é muito fru fru
http://ceticismo.net Pryderi

[quote=jesus]Mac é pra designer!
é muito fru fru[/quote]

Que nome se dá aos Beryl’s da vida ou os Compiz Fusion?
Joaquim Uchôa

Termo retirado de 3 usuários Linux hoje de manhã (incluíndo a mim): não servem para uso cotidiano, é só para ficar brincando mesmo.

Tenho instalado no meu notebook só para uso em apresentações (mas aí é hora do show).

Ginux: http://www.ginux.ufla.br/
http://geek.comopiniao.com.br glhleite

Taí uma opinião técnica

em_Face
VicVega

Sem dizer que a última bolachinha do pacote normalmente está quebrada.

–
“apt-get is currently not installed.
You can install it by typing ‘apt-get install apt’”

luctimm

Pô Cardoso, o título é importante, mas na prática, até o NetBSD é mais Unix que o Mac OS X.
Gilberto Martins

Olá Cardoso.

Não sei se te considero preconceituoso, ou o que o valha. Mas vamos lá que seja.

1 – “Esses Linux” : Só há um Linux, o qual sequer é sistema operacional

2 – “Linux baunilhas”: vai saber o que se passo em sua fértil imaginação pra falar isso …

3 – “Não são POSIX”: Os SO baseados em Linux usam o padrão LSB, o qual se baseia em POSIX, e o estende. Traduzindo, vai além. Em outras versões, segue o POSIX, e faz algo mais. Aliás, além da POSIX, é baseado também na Single Unix Specification.

Se algo pesa contra a LSB é o fato do não reconhecimento pelo IEEE, mas como POSIX é aberto, e foi seguido, os sistemas operacionais baseados em LSB são parcialmente compatíveis com POSIX.

Mas, … qual é a grande vantagem de ser 100% compatível com POSIX e/ou LSB ? Mais uma garantia de interoperabilidade e portabilidade. Uma recompilação em geral resolve isso.

===
Blog: Livre e Social

neyfrota

******* quanto odio no coracao hehehe

nao tem mod pro GTA pra ficar matando freetards nao? hehe tipo matar com espada de samurai, bazuca.. ou mesmo ficar do alto do predio dando uma de sniper heheh! eu desestresso fazendo riot no gta, correndo feito louco no burnout… ou tentando street fight com aqueles tapetes de danca no lugar do controle (fica dificil pra caralho… mais pela bagunca que pela funcionalidade)

http://ney.frota.net

tomboderider

Deve ter algum mod q transforme todos em pinguins.

g1.globo.com/tecnologia
Conqueror

Assim como deveria ter um mod para acabar com os wintards :p. Gente que prega que o SO da MS é magnífico e sem problema algum é tão repugnante quanto aqueles que martelam que “só o Linux salva”.

——————————

Campanha Play Ogg

http://www.contraditorium.com Carlos Cardoso

Eu não acredito que alguém fale isso da MS.

http://megalopolis-blog.com Fabiane Lima

Pode acreditar, eles existem.

Megalopolis

http://geek.comopiniao.com.br glhleite

Que falam que o Windows é perfeito? Acho dificil encontrar. Eu por exemplo sou um Windows fanboy porque sou pobre e preguiçoso, o que me deixa apenas uma escolha. Daí a falar que é perfeito vai um caminho longo.

Dificilmente alguém gosta do SO da MS por gosto gooosto mesmo, ou entao eu nao conheço pessoas suficientes =D

em_Face
http://melinka.net Rocky

Cara, eu amo Windows mesmo, é o melhor SO na minha opinião, mas ele nem de longe é perfeito, alias nunca vai existir SO perfeito. Apesar que pra mim SO não faz diferença consigo trabalhar perfeitamente em qualquer um dos 3 grandes, na verdade SO deveria ser o de menos pro usuário, afinal todos tem o mesmo fim e fazem a mesma coisa.

_____________________

Muita Pimenta para sua vida!
hamacker

Como não existe OS perfeito, e o MAC OS X ?

Pense bem, ele é UNIX, os outros não são.
http://melinka.net Rocky

Veja um post um pouco abaixo sobre o Leopard 10.5.2 e você verá, eu fiquei sem teclado e touchpad no meu MacBook, não sei se o que foi, provavelmente esqueceram de instalar o campo de distorção da realidade quando comprei meu mac…

_____________________

Muita Pimenta para sua vida!
luctimm

Um amigo que ganhou um macbook de natal está com o mesmo problema…
http://flavors.me/naio21 OMGWTFBBQ

Peso de papel caro, hein?
http://geek.comopiniao.com.br glhleite

Eu já vi o Tiger travar 3 vezes em dez minutos, precisando de boot nas 3.

em_Face
http://megalopolis-blog.com Fabiane Lima

São raros, mas existem, já topei com eles, e juro, não são nada melhores que Apple fanboys e Linux fanboys.

Megalopolis
Lord Bode

Melhor que isso só Windows Fanboy
do tipo linux e mac é ruim pq não sei usar ¬¬
renanfernandes

No http://www.baboo.com.br tem milhares de pessoas assim
http://blog.cobline.com Cobalto

No baboo não tem “pessoas”, só bots do msn =D

GeekBrasil.net
Devil May Cry 4, Comparação PS3 x Xbox360
http://ceticismo.net Pryderi

O Baboo é freqüentado por seres humanos? :O

Gilberto Martins

[quote=Carlos Cardoso]Eu não acredito que alguém fale isso da MS.[/quote]

Prova inegável do teu bom humor negro.

===
Blog: Livre e Social

Gilberto Martins

Cardoso, apesar das ironias ofensivas, tenho que reconhecer, e tal vez até fazendo uso da mesm a forma de escrita: você é um fogueteiro frustado, pois comemora o que já não é.

[quote=Cardoso]O bug permite -apenas- que um usuário comum obtenha status de root. Foi demonstrado em Debian, Fedora, Ubuntu e imagina-se que funcione em outras distros.[/quote]

Quando é dado o reforço ao “apenas” me parece que você quer ressaltar que este é um bug perigosíssimo para um SO que é dito como “muito ou bastante seguro”. O site securityfocus traz lista atualizada de coisas deste nível de comprometimento (acesso privilegiado remoto ou não). Interessantemente, o SO campeão em vulnerabilidades não é um Unix. Comparei o Windows XP com o RedHat e a diferença é pra lá de interessante. Veja vc mesmo:

Para consultar o Windows escolha as seguintes opções:

Vendor: Microsoft

Title: Windows XP

Version: Não alterar

Resultado: 4 páginas de vulnerabilidades encontradas.

Para consultar a Red Hat escolha as seguintes opções:

Vendor: Red Hat

Title: Red Hat Enterprise ES 3.0 Standard for x86

Version: Não alterar

Resultado: 0 páginas de vulnerabilidades encontradas.

Vamos rever: Escolhi duas empresas que produzem SO voltados para o ambiente empresarial. Não especifiquei versão. O Security Focus NÃO É FOCADO EM NADA QUE NÃO SEJA SEGURANÇA, logo não me parece parcial, ao menos até onde eu tenha visto, e tenho certeza que você sabe disto e até conhece o site. Com isso posto, gostaria que você me respondesse OBJETIVAMENTE, sem nenhum volta, ou conversa fiada: COMO SE EXPLICARIA ISTO ?

Por favor, não esqueça que estou falando de SISTEMAS OPERACIONAIS COMERCIAIS.

[quote=Cardoso]Não é uma alegação qualquer, há inclusive código-fonte com o exploit[/quote]

Ainda no Security Focus, escolha qualquer uma das vulnerabilidades de Windows, e encontrarás páginas de Exploits. Algumas delas tem exploits, enquanto outras não. Algumas delas precisam ser compiladas (se estiverem disponíveis em C, por exemplo) outras são interpretadas (se estiverem disponíveis em Python, por exemplo). E daí ? qual a grande novidade disto ? serve para os Lammers ? a maioria deles sim. E daí ? Ainda não entendi qual a grande surpresa/novidade/inovação/segredo por trás disso.

[quote=Cardoso]É um bom momento para os freetards enfiarem a cabeça na areia dizendo “não há problema algum, isso é só terrorismo e FUD da mídia burguesa” …[/quote]

É muito difícil entender o que se passa em mentes semelhantes à sua, pois repetem o mesmo mantra, quase s empre os recheando de palavras de ironia e descaso. Talvez usando o mesmo método eu consiga me expressar de tal forma que seja até mais conveniente, ou convincente. Me responda com dois ou três links de sites confiáveis de usuários/comunidades de sistemas operacionais baseados em Linux, onde se encontre esta postura de negação da realidade. Já disse antes, e vou repetir, pois pode ser que pessoas com esta visão obtusa só consigam ler o que escrevem ignorando qualquer outra coisa contrária. Esta fração foi copiada de Linux Advocacy HowTo

# Give credit where credit is due. Linux is just the kernel. Without the efforts of people involved with the GNU project, MIT, Berkeley and others too numerous to mention, the Linux kernel would not be very useful to most people.

# Don’t insist that Linux is the only answer for a particular application. Just as the Linux community cherishes the freedom that Linux provides them, Linux only solutions would deprive others of their freedom.

# There will be cases where Linux is not the answer. Be the first to recognize this and offer another solution.

As tuas afirmações se aplicam a pessoas que desconhecem o que realmente é Software Livre, e infelizmente cometem atos incorretos. Infelizmente, parecido com muitos que fazem o mesm em diversos assuntos, você generaliza, fazendo com que todos sejam “farinha do mesmo saco” Isto acontece em qualquer agrupamento social. São os extremistas. Por conta disto, por exemplo, as torcidas organizadas de times mineiros podem ser extintas. Elas são ruins? Creio que não. Mas algumas pessoas ali são. Isto acontece na MS, na RH, na SUN, na escola, no trabalho, etc .

Pensei que você sabia disto. Pelo menos o Freetard aqui sabe.

===
Blog: Livre e Social

webmaster

Ok, pelo menos feche as tags de italic que você deixou em aberto.

Gilberto Martins

Ok, foi mal …

===
Blog: Livre e Social

Conqueror

O termo freetard que ele usou está correto, pois se refere somente àqueles que negariam o bug. Porém, a forma que ele escreveu dá a impressão de que todo usuário Linux é um freetard, o que não é verdade.

——————————

Campanha Play Ogg

http://www.contraditorium.com Carlos Cardoso

Longe disso, os que efetivamente desenvolvem o Linux não são freetards, 99% dos usuários corporativos não é, muito menos o Linus em si.

O motivo da revolta é que QUALQUER bug ou problema em Windows ou Mac gera um monte de mensagens na caixa de sugestões de matérias no MeioBit, mas NENHUM bug de linux é enviado, os freetards ADORAM fingir que esses bugs não existem.

Vide quando um servidor da Debian foi invadido e mesmo assim tentaram minimizar.

paiva.thiago

o que eu escrevi aqui não era pra ficar aqui, já está mais abaixo hehe

Storm

Ôloco até o Junior irmão da Sandy comenta aqui?

Daniel Fonseca Alves

Eu vi o bug, mas não noticiei ou falei foi mais por costume.
Um bug deste não demora nem 2 dias e já está resolvido.

Pode me chamar de mau acostumado .

Ps:

Pode falar o que vc quiser cardoso mas desta vez te pegaram com a calça na mão.
hamacker

CC disse “O motivo da revolta é que QUALQUER bug ou problema em Windows ou Mac gera um monte de mensagens na caixa de sugestões de matérias no MeioBit, mas NENHUM bug de linux é enviado, os freetards ADORAM fingir que esses bugs não existem.”

Não é contraditório voce dizer isso depois que um “freetard” informa-o de que já há correção? Se enviam a correção, o bug foi assumido, se enviam a correção é obvio que não deram uma de avestruz. Diga-se de passagem, essa coisa de avestruz esconder a cabeça é coisa de desenho animado, já diria um certo padre “isso non ecxsist!”.
renanfernandes

Ja parou pra pensar que o Meiobit nao eh o lugar preferido dos usuarios Linux?
Eles ja tem o br-linux de sobra pra isso

Lord Bode

Claro, aqui é só pra quem é usuário de OSX e Windows.

Quer apostar que quase a metade dos membros aqui é usuário linux?!?!?
PS. Mesmo utilizando tb outro sistema operacional.
luctimm

Eu sou usuário Linux, por quê?
http://flavors.me/naio21 OMGWTFBBQ

Tudo bem, o importante é ter saúde! }:)

v1r3d

Agora você se enrolou, 99% das pessoas usam Windows!
Agora o caso do MAC é claro, imagine alguém encontrar um Bug em algo perfeito? é claro que tem que virar noticia.

http://www.flickr.com/photos/lfamorim lf.amorim

Rs… não precisa procurar muito não.

Gilberto Martins

Olá Cardoso.

Por favor, mande o link onde foi tentado minimizar isso.

Saudações

===
Blog: Livre e Social

http://www.contraditorium.com Carlos Cardoso

Vamos lá:

1 – Que diabos tem a ver o Windows com uma falha no Linux? O Windows ser uma peneira torna o Linux menos vulnerável, faz com que ele não seja invadido? Eu respondo: Não. Então pare de usar esse argumento “acharam uma falha no Linux? Windows tem também”. Isso não dá ipobe mais.

2 – Quanto à gravidade da falha, lamento, mas as listas estão em polvorosa e o próprio Linux Watch (vai, chama de FUDeiros, vendidos, etc) usou a chamada “Major Linux security hole found”. que parte de “Major Linux security hole found” você não entendeu?

3 – A Estratégia do Avestruz não vai levar vocês muito longe, meu caro. O Mercado não gosta de empresas que ESCONDEM falhas de segurança.

http://www.fabiocardoso.com.br Fabião

“Major Linux security hole found” você não entendeu?

Eles têm dificuldade com o ‘hole’. É complicado saber sem nunca ter visto um.

Petição para que a Microsoft deixe de fabricar o Windows

Fabio’s BSOD Generator

http://www.contraditorium.com Carlos Cardoso

HUAHUAHUAHUHAUHUAHUAUHAHUAUHAHUAUHAUUAH
Daniel Fonseca Alves

Pelo menos a gente não fica com o “hole de segurança” aberto toda hora para qualquer um entrar .
Gilberto Martins

Olá Fabio.

Para um mal intencionado, teu comentário tem duplo sentido. Não penso deste jeito, mas algum “fanboy” poderia dizer:

“Claro que nunca vimos um. Como um SO tão quase perfeito como o Jupiterix Mega Hiperbólico teria um hole ?”

Não penso desta forma, mas “a bola foi deixada quicando”, e alguem poderia a ter chutado.

===
Blog: Livre e Social

http://www.fabiocardoso.com.br Fabião

É um comentário que deve ter uns 972 sentidos diferentes.
Aliás, foi feito exatamente pra isso. Não esquenta.

Petição para que a Microsoft deixe de fabricar o Windows

Fabio’s BSOD Generator

Gilberto Martins

1) Windows ou Linux, ambos são softwares e por isso estão e sempre estarão sujeitos a falhas de desenvolvedores, as quais devem ser identificadas e corrigidas. O grande diferencial da MS e dos desenvolvedores de Software Livre é a quantidade de técnicos envolvida neste processo e o tempo de espera para liberação de uma correção. É meio perda de tempo ficar comemorando os fracassos deste e daquele sistema operacional. O teu problema é que você anuncia os erros de softwares FS/OS com o mesmo sentimento que você expressa no ponto 1 do teu texto.

2) Mais uma vez… Qual/Quais listas estão em polvorosa ? onde está o link ? é apenas uma questão de balizar teu texto
com fontes que afirmem o que vc fala.

3) Mais uma vez, de novo e novamente: QUEM está fazendo isso ? Ou este é o mantra que temos que aceitar pela insistência ?

===
Blog: Livre e Social
http://www.flickr.com/photos/lfamorim lf.amorim

Solaris teve uma falha igual a essa.

Camargos

Ola Gilberto,

Dá uma olhada aqui: http://secunia.com/product/2535/?task=statistics

São 400 (quatrocentos) alertas de vulnerabilidade para o RedHat Enterprise Linux ES 3.

Lembrando que você comparou um SO Enterprise para servidores, com um SO para desktop voltado para o usuário doméstico.

Mais uma coisa, o XP foi lançado em 2001, já se foram 7 anos.

Aproveite e verifique as falhas de segurança do Windows 95, este site mostra que ele é mais seguro que o Windows XP Professional, com certeza dá pra levar a sério estas estatísticas.

Gilberto Martins

Olá Camargo.

=_=_=_=

[quote=Camargos]São 400 (quatrocentos) alertas de vulnerabilidade para o RedHat Enterprise Linux ES 3.[/quote]

Na mesma página, se encontra uma recomendação entitulada Secunia Advisory Statistics (All time), do qual vou extrair algumas partes relevantes a seguir:

PLEASE NOTE: The statistics provided should NOT be used to compare the overall security of products against one another.

Secunia advisories often cover multiple vulnerabilities. Consequently, the number of advisories issued for a product does not always reflect the number of security issues that have been disclosed.

This is counted AFTER removing duplicates generated by Linux distributions, issues in beta software, and what Secunia considers non-issues and fake issues that our competitors and other security vendors often write about.

Additionally, the number of Unpatched vulnerabilities for a product may be affected by the fact that certain products (product bundles) consist mostly or solely of third party software (such as Linux distributions).

Em outras palavras, seria necessário fazer as devidas separações nos bastante detalhados relatórios da Secunia. Motivo pelo qual prefiro o Security Focus. Isso em nada desabona quem quer que seja. Apenas minha preferência se apóia na abordagem empregada.

=_=_=_=

[quote=Camargos]Lembrando que você comparou um SO Enterprise para servidores, com um SO para desktop voltado para o usuário doméstico.[/quote]

O Windows XP não foi desenvolvido para o usuário doméstico. Não pelo menos em parte.
Aqui no Baboo segue a seguinte explicação:

Depois do Windows 3.11 veio o Windows 95, super moderno com visual totalmente diferente, lembra? Só que ele era todo para micros “caseiros” (clientes é o termo certo). Então, eles lançaram o modelo para servidores, o NT! Sim, o Windows NT é um Windows para servidores, que é bem mais estável que o 95 ou 98, e pode ser configurado para servers..

Pra você não ficar perdido, depois dele veio o 98, que era uma versão nova do 95, mas ainda cliente… Então lançaram o Me, que é a evolução (…) do 98, ainda pra cliente, e o 2000 que era a evolução do NT, com toda sua estabilidade, e desenvolvido para servidores (2000 Server e Advanced Server) e para desenvolvedores (2000 Pro), mas não propriamente para clientes..

Depois tb lançaram o XP! Então veio o XP Home, que é mais para casa, o XP Pro, que é mais para desenvolvedores ou pra quem quer mexer com rede (…) e agora estão desenvolvendo o Windows .net! O Windows .net é a evolução do 2000, só para servidores, e com as melhoras que o XP trouxe!

Também a Wikipedia resume o seguinte:

NT was the first fully 32-bit version of Windows, whereas its consumer-oriented counterparts, Windows 3.1x and Windows 9x, were 16-bit/32-bit hybrids. Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Home Server, Windows Server 2008 are based upon the Windows NT system

=_=_=_=

[quote=Camargos]Aproveite e verifique as falhas de segurança do Windows 95, este site mostra que ele é mais seguro que o Windows XP Professional, com certeza dá pra levar a sério estas estatísticas.[/quote]

Creio que isto é uma brincadeira, pois há muito mais elementos e tecnologias do XP sobre os quais foram denunciadas falhas que simplesmente não existem no 95.

===
Blog: Livre e Social

luctimm

Desculpa, você errou num aspecto:

O Windows NT 3.51, NT 4 Workstation, 2000 Professional e XP Professional não são feitos para desenvolvedores, mas sim para estações de trabalho corporativas (workstations). O Windows XP Home é doméstico, e sequer entra em domínio, é o sucessor do ME.

Gilberto Martins

Olá luctimm.

O texto que você cita foi retirado do fórum do Baboo como estava lá, e no fórum o autor do texto fala de desenvolvedores ou pra quem quer mexer com rede, e não apenas para desenvolvedores.

E uma correção, o NT 3.51 era o SO que desempenhava o papel do servidor de uma rede. Lembro inclusive que quando vi pela primeira vez o próprio em funcionamento foi no EDIS da Petrobrás (RJ), no 9º andar, há muito tempo. Os clientes eram Windows 3.11.

Mas concordo com você em que o Windows XP Home Edition é o mesmo Professional, com a exata diferença de não poder “entrar” em domínios.

===
Blog: Livre e Social
luctimm

Ainda discordo. O Ms Windows não é um sistema operacional ideal para quem quer trabalhar com rede, apesar de várias soluções da Microsoft serem relativamente interessantes ao que se propõem: Active Directory é uma delas. O nível do texto é meio baixo, não cola isso de novo…

E se você não conhece o MS Windows, o NT 3.51 também tinha versão Workstation e Server. O Windows 3.11 não era sistema operacional, mas só um gerenciador de janelas em cima do DOS. E nem pilha TCP tinha por padrão.

O WIndows XP Home também deixa de fora outros recursos interessantes e importantes, como a área de trabalho remota. Se bem que, no MS Windows XP Professional ela também é super limitada, e é necessário uns crackzinhos para habilitar todas as funcionalidades – ou seja, para permitir vários logins ao mesmo tempo. Claro, logística da Microsoft, mas não incapacidade do sistema.

jwjosefy

Eu acho totalmente rídiculo, irreal e infantil medir o nível de segurança de um sistema qqr pela qtd de vulnerabilidades.

É EXATAMENTE a mesma coisa que eu dizer que os EUA são mais pobres que o Brasil porque sua dívida externa é maior !!!! ABSURDO TOTAL !!!!

Gilberto Martins

Olá jwjosefy

[quote=jwjosefy]Eu acho totalmente rídiculo, irreal e infantil medir o nível de segurança de um sistema qqr pela qtd de vulnerabilidades.[/quote]

Este não foi meu obje tivo em momento algum, se foi entendido deste jeito, se faz necessário uma releitura do meu post.

Me ative ao fato do Carlos Cardoso usar o “apenas” para enfatizar a periculosidade de um bug descoberto no firefox. Daí, fiz citações a relatos de vulnerabilidades dos dois SO, mas sem o objetivo de marcar este ou aquele como melhor ou pior. Entre estas vulnerabilidades estão diversos tipos, incluindo os citados no post original do Carlos Cardoso.

===
Blog: Livre e Social

bortolotto

Carlos Cardoso disse:
Encontrada falha grave de segurança no Linux – Ainda sem correção

…

Agradecemos aos freetards que foram tão ágeis em apontar esse fato e tão eficientes em enfiar a cabeça na areia fingindo que o bug não existia, não divulgando-o em primeiro lugar. Muito bom, rapazes, continuem assim.

—

Agora você “forçou a barra” Cardoso!
Ou você está simplesmente apoiando a estratégia de FUD dos “patrocinadores” ou cometeu um erro de principiante.
Bastava procurar no Google que você iria verificar que não ocorreu ocultação do bug. Ele foi divulgado/oficializado no site do NIST/NVD em 12/02/2008 e já estava sendo providenciado um patch em 10/02/2008 conforme podemos ver na lista de discussão, que é pública, do Kernel.

cafuin

Deixa, é muita vontade de falar mal.

Vai ver uma gang fantasiada de Tux reconheceu o Cardoso naa Campus Party e deus uma surra nele, daí tá mais revoltadinho que de costume.

heuahuehaheueaae.

carloshp

[quote=cafuin]Deixa, é muita vontade de falar mal.

Vai ver uma gang fantasiada de Tux reconheceu o Cardoso naa Campus Party e deus uma surra nele, daí tá mais revoltadinho que de costume.

heuahuehaheueaae.[/quote]

Na verdade deve ser revolta de ainda não ter terminado de baixar os mais de 300Mb do ultimo “patch” pro OSX… Mas tudo bem, porque ele é POSIX-Compliant! Então é natural que os patches sejam do tamanho do ego dos iTards.

—
Tecnologia deve ser o meio, não o fim.

Daniel Fonseca Alves

Num fala isto não, ele vai falar dos 250Mb de atualização do Ubuntu.

Claro que num vai nem lembrar das atualizaçãoes do Quicktime .

http://melinka.net Rocky

Ontem quando terminei de instalar o Ubuntu estava em 285mb os pacotes de atualização.

_____________________

Muita Pimenta para sua vida!
http://megalopolis-blog.com Fabiane Lima

Putz, instalei o Ubuntu no sábado, tinha 180MB de atualizações. Depois disso, toda vez que pipocava a janelinha, eu fechava.

Megalopolis
Daniel Fonseca Alves

Abandonou o Fedora ?
http://megalopolis-blog.com Fabiane Lima

Abandonei. Ubuntu tem mais pacotes, mais informação, mais repositóriso, enfim.

Megalopolis
Weber

Essa é uma desvantagem do apt-get, em vez de baixar apenas os arquivos que foram modificados de uma versão para outra, ele baixa o pacote inteiro! Ou seja, se o OOo tem apenas uma correção de bugs em poucos arquivos, o apt-get irá baixar TODO OOo. O sistema de pacotes RPM parece ser mais esperto nesse ponto, no entanto as experiências que tive com resolução de dependência no Mandriva foram traumatizantes.
TheDarkMaster

Graças à deus me livrei dos Apt-get e RPMs da vida.
hamacker

É que o Ubuntu não é UNIX, senão seriam apenas 28,5MB
http://www.contraditorium.com Carlos Cardoso

Eu não QUERO me lembrar das atualizações do Quicktime. Mais uns 60MB essa semana… sem contar atualizações de segurança.

Conqueror

Ora, o estilo de escrita dele é justamente para causar irritação, gerar discussões e aumentar a audiência do site. Já ouviu aquela história “falem mal, mas falem de mim”? É mais ou menos por aí.

——————————

Campanha Play Ogg

zeromaisum

Parece até criança querendo atenção…
http://flavors.me/naio21 OMGWTFBBQ

[quote=Conqueror]“Ora, o estilo de escrita dele é justamente para causar irritação, gerar discussões e aumentar a audiência do site. Já ouviu aquela história “falem mal, mas falem de mim”? É mais ou menos por aí.”[/quote]

Essa aí não é a Fabiane não?

tomboderider

Realmente, a carapuça q o Cardoso descreveu serviu direitinho. Nenhum freetard alardeoou a existencia da falha de segurança. Dias sem uma mençao do problema. Se é microsoft: aparece em todos os jornais do mundo no dia seguinte. Se é linux: “psiiiuuu! alguem pode ouvir…”

g1.globo.com/tecnologia

http://www.oitobits.net viniciusfs

Se vocês fossem menos retardados e acompanhassem o mundo e não apenas o MeioBit já teriam sabido da falha e da correção antes do Cardoso pegar o bonde andando e tentar fazer graça. Inclusive, no feed o br-linux no rodapé do MeioBit saiu a notícia, até os retardados que só acompanham esse site tiveram a chance de saber.
Wallacy

Mais foi noticiado até no BR-LINUX.
http://br-linux.org/2008/bug-permite-que-usuarios-locais-tenham-acesso-de-root/

Se vocês não lêem mídia especializada em Linux já é outra estória… E como entre o tempo de “descoberta” e solução geralmente é muito pequeno, outros “tipos” mídia mal tem “tempo” de publicar, pois geralmente tem coisas mais importantes para falar primeiro.

Agora sobre o Windows já é outra historia, uma falha no XP ou no Vista por exemplo, como não possuem um ciclo de atualização de kernel como o do Linux, qualquer noticia é semelhante a “problema que você irá conviver até que saia um novo Windows”, ainda mais considerando que muitos são piratas e não terão as correções via Windows Update.

É assim que a banda toca… Dois pesos, duas medidas…

—–
Para aquele que controla o próprio pensamento, todo o resto se torna simples jogo de crianças…
Gandhi.
hamacker

Funciona assim, se é Windows ou Apple é publicado em tudo que é mídia. Se é Linux, BSD e *UNIX* só em mídia especializada.

É o preço de ser famoso.

Eu acompanho vários sítios de tecnologia, e os que tem custume de acompanhar CERT, eWeek e outras fontes ficou sabendo não apenas dessa noticia do post, mas também muitas outras tambem. Nem tudo tem que vir para o meiobit, por exemplo :

* apesar de várias atualizações o bug “Zero Day” do MSEXCEL continua sem correção desde 2004.

* A Sun compra a empresa que desenvolve o VirtualBox.

Não é trabalho do meiobit publicar tudo o que acontece lá fora, os editores fazem o que podem e o que é interessante publicar. Voce é que precisa diversificar um pouco mais.

tomboderider

“Funciona assim, se é Windows ou Apple é publicado em tudo que é mídia. Se é Linux, BSD e *UNIX* só em mídia especializada.”

Exato. E acho muito errado isso.

Um problema grave e sério no linux devia sair na reuters/EFE/AP, não como forma pejorativa, mas como forma de alertar os administradores de rede. Afinal 90% das espresas serias tem um servidor/roteador/sejalaoqfordeimportante em linux.

Se o proprio linux não passar esta imagem de SO sério e que tem noticias sérias em mídia séria, ninguem olhará pra ele.

Tem problemas? Gritem a 7 ventos! Foi resolvido superrápido? Gritem mais ainda!

g1.globo.com/tecnologia

tiagojax

bug no linux ! to com medo

O windows é que é bom nunca tive um probleminha sequer com ele !!
http://wektabyte.blogspot.com/ Yoshio

“Encontrada falha grave de segurança no Linux…

…[atualização] já há correção disponível”

Quase bocejei de preocupação…. zzzZZZ

Assinatura de impacto: Meia lua pra frente + soco ou Meia lua pra trás + chute
http://melinka.net Rocky

Isso é sacanagem comigo, no dia que migro pro pinguin descobrem um BUG desses ¬¬

_____________________

Muita Pimenta para sua vida!

hamacker

Desencana.
provavelmente já há correção disponivel para a distro escolhida. Se escolheu Ubuntu já está lá, e se for ubuntu e tiver espaço livre sobrando dá uma passada no meu blog, lá tenho uma receita passo-a-passo para tornar a distro mais completa.

http://melinka.net Rocky

Vou dar uma olhada sim, apesar que o Unbuntu do meu desktop é só pra navegar na NET e ficar baixando os torrents.

_____________________

Muita Pimenta para sua vida!

hamacker

Para torrents eu recomendo o transmission, é leve e descomplicado. Mas se voce ainda tem simpatia pelo utorrent, ele roda 100% com o wine.

http://melinka.net Rocky

Ma verdade eu amo o Azureus, como é feito em Java roda normalmente no pinguin

O uTorrent não serve pra mim que sou Hard-User, presciso das opções avançadas do Azureus.

_____________________

Muita Pimenta para sua vida!
hamacker

Eu acho um tiro de canhão para matar mosquito, mas se voce acha ele melhor então use. tenho taxa de downloads de torrents populares de seriados no talo de minha conexão, e uso o transmission. Se for experiementa-lo não esqueça de habilitar o repositório “backport” pelo próprio synaptic, lá voce tem versões mais novas desses programas.
v1r3d

Transmission não funciona com todos os trackers de torrent, como por exemplo Bitsoup ou RevolutionTT
hamacker

Todos que usei funcionou.

Claro que alguns requerem autenticação, mas isso voce faz no browser antes de iniciar o download pelo transmission, senão dá server error ou algo do genero.

Uso o transmission não por causa deste ou aquele tracker, uso ele por ser simples e não roubar tanto %CPU. Tem cliente de torrent por aí que deixa o sistema uma lesma manca.
v1r3d

Todos que você usou, não quer dizer que funcione com todos.

Transmission é banido de alguns trackers privados.
hamacker

Sabe dizer o porquê ?
v1r3d

Ele tem bugs que permitem Fake Seed.
Quando o cliente reporta o quanto o peer upou no caso do tranmission pode ser sniffado e modificado para reportar quano o cara queira. Assim o cara faz 10000Pentabytes de upload em minutos.
hamacker

Mas isso tem que ser quebrado, ou ele é naturalmente assim.
Digo isso porque por aqui o funcionamento dele parece normal.

Senão me engano inclusive vai virar padrão no proximo Ubuntu 8.04.
Caravana

Sim, ele já é cliente torrent padrão nos Alphas do Hardy.
http://melinka.net Rocky

É que eu não sou simplesmente donwloader, eu sou seeder de mais de 500 torrents, logo preciso de algo com um controle maior. Sem falar que uso muito trackers privados e o Azureus lida muito bem com eles.

_____________________

Muita Pimenta para sua vida!
hamacker

Existe opções com servidor web, acho que fica até melhor porque voce pode consulta-los de casa e se quiser conclui adicionar e remover. O lado bom do servidor web é que voce não fica preso a uma sessão ou manter ela aberta por tempo indefinido. Eu tenho a politica de deixar semeando o final de semana inteira, durante a semana só até completar 1:1 e depois corto fora. Talvez se eu tivesse um exaustor e ventuinha mais silencioso eu deixasse mais tempo, enfim é assim que eu deixo.

http://www.oitobits.net viniciusfs

Cardoso, você precisa ser mais rápido. Quando postou a notícia o erro já havia sido corrigido. Os caras debugam e fazem código mais rápido do que você acompanha seus feeds.

Sobre divulgar, só porque você viu tarde não significa que foi divulgado. Da próxima vez alguém da lista de desenvolvimento do kernel liga no seu celular, OK?

Alias, a notícia saiu no MeioBit através dos links vindos do br-linux.org no dia 11/02.

you fail but thanks for trying.
Wallacy

Nem queria comentar pois alardar uma falha dessas é forçar a barra, já apareceu piores, até porque é uma falha em no vmsplice, e nem todos tem ele habilitado… E ninguém disse que não era uma falha. FATOS são FATOS.

Agora só a titulo de curiosidade, existem muitas “falhas” que não são necessariamente bug, mano-a-mano, cara-a-cara, …etc.. com o pc, muitos usuários avançados conseguem criar usuários com privilégios no em muitas distribuições Linux, essa “técnica” é ensinada até nos cursinhos da vida por ai… Eu mesmo vivo fazendo isso nos laboratórios da faculdade(debian), assim como também faço nas instalações do Windows(2000,xp), usando o mesmo conceito… Em fim, existem falhas e falhas, é bom saber separa cada “tipo”.

—–
Para aquele que controla o próprio pensamento, todo o resto se torna simples jogo de crianças…
Gandhi.

laertesss

Verdade, se o cara entende e tem acesso local a uma máquina com linux e um liveCD, já era!!!

Também é interessante as notificações de falhas encontradas em diversos aplicativos que é publicado na Linux Magazine todo mês.

Caso empresas com servers Linux se sintam ameaçadas, vão em frente, migrem para outro SO!

[]‘s

Stormbringer

Opensource é assim… como as entranhas estao lá, pra qualquer um ver e achar falhas, elas tambem estão expostas pra qualquer um tapar o buraco… O processo é tão rápido que pega de surpresa blogueiros apressados em fazer humor.

Diferente de sistemas de codigo fechado, que uma falha pode ficar escondida por anos sem ninguem ver… mas ela está lá, e se o J.Random Hacker for do tipo introspectivo, nao divulga, e usa apenas em benefício próprio, eheheh.

/***************/

Quer Games online, Xadrez e diversao?

Route10-games – http://www.route10.com.br
meirellez

Volta e meia tem um bug pra nego pegar root no linux. Ainda bem que não são muito frequentes… O último que eu tive conhecimento foi do redhat.

———————————
Só a mudança é permanente.
Puro Osso

Musiquinha para o Cardoso.

O Raul perguntou, você não acertou.Pegue o seu banquinho e saia de mansinho.
zhushazang

Um tempo atras eu PERGUNTEI e fui punido com banimento. Mas eu ainda ACHO que rola um jabá por fora pro Cardoso assumir essa postura que ele auto intitula FREETARD. Mas na boa, quem acompanha os posts dele em outros fóruns comentou que ele não deve ser levado a sério. Por isso galera, desencanem e parem de dar audiência a esse famoso site por causa dele.

“Quanto mais eu observo o trânsito nas ruas mais tenho certeza que humanos devem ser extintos” – Zhu Sha Zang

http://www.contraditorium.com Carlos Cardoso

E eu ACHO que se você não demonstrar provas da sua acusação será banido. Aliás acho não, tenho certeza.

zhushazang

Ops, achar não é acusar, logo não preciso provar nada. Não tem nada haver uma coisa com a outra. Por favor não me bane, eu gosto de comentar seus posts absurdos quando eles o são.

T+

“Quanto mais eu observo o trânsito nas ruas mais tenho certeza que humanos devem ser extintos” – Zhu Sha Zang

flancox

É inegável que polêmicas ajudam a levantar a audiência…
paiva.thiago

Acho que os bitolados xaropes freetards precisam reler alguns comentários…

[quote=Carlos Cardoso]é que QUALQUER bug ou problema em Windows ou Mac gera um monte de mensagens na caixa de sugestões de matérias no MeioBit, mas NENHUM bug de linux é enviado, os freetards ADORAM fingir que esses bugs não existem.

Vide quando um servidor da Debian foi invadido e mesmo assim tentaram minimizar.[/quote]

Se algum desses fanboys reclamarem pra mim um dia que o linux não consegue ser popular, que todo mundo usa o windows e mimimi responderei apenas como: Vc com sua chatice entra fácil na lista dos responsáveis por isso

QQQ????????

Gilberto Martins

Olá Thiago

[quote=paiva.thiago]Vc com sua chatice entra fácil na lista dos responsáveis por isso[/quote]

Comentários como os seus não justificam absolutamente coisa nenhuma, acrescentando coisa nenhuma ao imenso vazio que é a massa de opiniões do tipo “é por que eu quero que seja”.

Seria interessante que você argumentasse com alguns links, livros citações, etc para mostrar que os tais “fanboys” realmente tem ou não razão.

Saudações

===
Blog: Livre e Social

paiva.thiago

(e viva o atraso)

E que mimimi heinhô? Vc é desse jeito que disse aí em cima, é?

Atrapalha sem dúvida! Pô, vc vê um cara bitoladaço, que leva o sistema operacional que usa como uma religião, e vc acha que isso não assusta uma pessoa qualquer? a gente já ta acostumado a ver essas bizarrices, mas nem todo mundo está!

E também a glorificação que os freetards fazem com distros mais ‘complexas’: Muita gente trata slackware como deus e menosprezam ubuntu/kurumin, pelo simples fato que os 2 últimos são simples de usar….

Aí recomendam uma distro complicada pra um cara, q já ta acostumado com windows mexer… aííí complica mais ainda…

Enfim, essas fanboyzices que me fazem concluir que a distância entre um freetard, um fanático religioso, um membro de torcida organizada e um tr00 é quase nula

QQQ????????

tales.775

opa..
é como o Cardoso disse “apenas” o que uma falha, que ja foi resolvida enquanto que temos alguns Sistemas, que tem muito mais falhas..

mais admito fiquei com medo….
heheh

AbraçãO
ravencj

Cara que incrível, quando a Fabiane postou aquele post com o BSOF do Casino, não vi nenhum baba-ovo da MS e do Windows xingando ninguém.
E isso já era previsto, foi só falar de uma falha de segurança do linux que muito freetard fica revoltadinho e xinga mesmo.

Senhores quando vão aprender a se comportar como gente? Gostam do sistema? Tudo bem, não precisam ser agressivos, só gostem dele. Não tentem pregar as qualidades do sistema como se fosse a salvação da humanidade, é só a droga de um sistema operacional kct! =)

laertesss

Droga não kra… não chame o Linux de droga!! heheheh

eu uso Linux mas trabalho com os Windows.

ravencj

Hahaha sabia que alguém ia responder isso! Mas tá valendo (bom humor pelo menos!) =D

Daniel Fonseca Alves

Num tem ninguém xingando não, tamos mais é zoando.

Foi engraçado ver o Cardoso postar a notícia “chamativa” e logo após ser obrigado a corrigí-la usando uma desculpa mea boca do tipo, “eu não cai no buraco não foram vcs que não me avisaram que não tinha buraco ali”.

Storm

O cara que chamou todo mundo de retardado não foi xingamento?

Daniel Fonseca Alves

Freetards é o que então ?

Para mim tá todo mundo zoando, mesmo pq se for para levar a sério o teríamos que pegar o “saco” para o Cardoso .

Storm

Verdade, já postaram xingando… mas xinguem só o Cardoso pô!hehe

Greencard

O pessoal aqui precesa relaxa mais,sair um pouco da frente
do pc…rs

NewUser

É tudo doido!

Só quem é cego não percebe a gravidade da falha. Eu uso Linux o tempo todo, mas ainda enxergo falhas de segurança.

Todo mundo fala que Windows tem falhas isso e aquilo, mas ninguém explica direito como explorar.

hamacker

Enxergar falhas é coisa de gente inteligente. SÓ enxergar falhas é doença.

NewUser

Vamos lá pessoal, acessem o milw0rm.com baixem o código em C.
Leiam (afinal é Open Source) e entendam o ataque.

Vejam:

felipe@host:~$ cd c

felipe@host:~/c$ kwrite linux_local_root_exploit.c

felipe@host:~/c$ gcc -o exploit.bin linux_local_root_exploit.c -static -Wno-format

linux_local_root_exploit.c:289:28: warning: no newline at end of file

felipe@host:~/c$ ./exploit.bin

———————————–

Linux vmsplice Local Root Exploit

By qaaz

———————————–

[+] mmap: 0×0 .. 0×1000
[+] page: 0×0
[+] page: 0×20
[+] mmap: 0×4000 .. 0×5000
[+] page: 0×4000
[+] page: 0×4020
[+] mmap: 0×1000 .. 0×2000
[+] page: 0×1000
[+] mmap: 0xb7fb8000 .. 0xb7fea000
[+] root

root@host:~/c#

Daniel Fonseca Alves

Seria bom verificar se a falha persiste mesmo após aplicar a correção que foi dita acima.

Tonny

kkkkkkkkk!!!!!!!!!

Exploit pra linux tinha de ser assim mesmo: Baixe o código fonte, compile, execute, se ferre. Se der problema, leia o readme. Realmente, muito facil de pegar um administrador desprevinido………

marcospmr

Este exploit é para no caso de você já possuir acesso ao micro com uma conta sem recursos e escaloná-los, virando root.

Podendo ser local ou remotamente.

Sim, é bem útil. XD

Mas existem outras formas de fazer escalonamento de direitos no linux, sem necessitar de exploit. XD

luctimm

init=/bin/bash também é falha de segurança do Unix?

Joaquim Uchôa

Não. Primeiro que isso só é possível se existe acesso físico ao equipamento e se o bootloader (lilo ou grub) não possuir senha. Isso tem mais a ver com segurança física em si que com qualquer SO. Uma vez que se tenha acesso físico, coloca-se um liveCD por exemplo e obtém-se acesso. Tem senha na BIOS? Existem programas para remover a senha ou mesmo o tradicional retirar a bateria.

É por esses e outros motivos que nenhum servidor pode ser considerado seguro sem segurança física. Conheço casos reais de ex-funcionário demitido que pegou o HD do servidor (com dados dos clientes) antes de sair da empresa.

Então isso não é falha de segurança do Linux, qualquer SO a que se tenha acesso físico é passível de acesso, a não ser que tenha seu sistema de arquivos criptografado e com senha bem forte.

Ginux: http://www.ginux.ufla.br/

luctimm

Pois é, o exploit também necessita de acesso à máquina (não necessariamente físico), SSH por exemplo. Achei que foi muito barulho em cima de muito pouca coisa. O sudo mesmo é muito pior que isso…

PS: Só atualizo o kernel do meu Fedora 8 64 bits quando o 2.6.24 entrar no repositório. Ainda estou “vulnerável” e nem aí pra isso.
hamacker

Porque o sudo ?

Acho-o o mecanismo mais pratico para rodar programas de forma mais segura.
luctimm

É um saco de configurar, e se você autoriza um “rm” para determinado usuário, até um “sudo rm -rf /” é permitido. Simplesmente desativo, quando eu preciso do root para coisa simples, prefiro su -c “comando” ou simplesmente logo em root.

Usei o Slackware 10.2 como root em todo o período de sua existência e também nuncative problemas.
hamacker

O sudoers é bastante flexivel, eu por exemplo uso em minha rede para permitir que um script que roda na mao do usuário faça um formatar unidade de USB, se o user trocar o parametro o comando nao roda. Eu usei o sudoers no Conectiva e não larguei mais, pode não ser a ferramenta adequada para usuario final, mas para administradores é o nirvana. Finalmente é possivel deixar algumas coisas na mão de alguns estagiários por aqui. .

Mas funciona assim, se não quer nenhuma flexibilidade nao use o sudoers, mas também não dê acesso ilimitado para um usuário nem tente mudar um bitmasq de um arquivo, porque pode funcionar para aquele usuário, mas abre outras brechas.

Ads_X

para o pessoal da teoria das correções rapidas, o bug foi descoberto no dia 03/12/2007… ups.. lá se foi a teoria de correções a velocidade da luz…

hamacker

É isso mesmo.
Falhas de segurança são descobertas em listas de discussão. Os programadores geralmente tem acesso à esta. Apesar de associarem exploit a coisa de adolescente verme, o exploit normalmente é criado pelos próprios programadores para demonstrar a falha. Uma coisa que se discute é publicar falhas antes da correção, visto que as listas são publicas e indexadas pelo google para facilitar porque alguém pode vir a se beneficiar de sua publicação e criar um exploit antes da publicação da correção, mas na maioria dos casos, o exploit é enviado depois da correção.

Um exploit é legitimo, não é ilegal. Se não fosse por eles voce perceberia se seu sistema é vulnerável ou não. Geralmente estão em formato C e voce compila no próprio computador.

gustavoasfernandes

Ter coisa mais importante para noticar, é noticar coisas relevantes e não um sistema que não tem nem 1%?Seria isso?
PauloBotelho

Dane-se qual o mais seguro mais bonito mais eficiente sistema operacional do universo.

O melhor SO é aquele que me dá emprego hoje. (No caso, aqui no trampo tem os 4.)
aroldao

O Stallman não vai pedir pros hackers não invadirem muitos servidores por um simples motivo.

a vulnerabilidade é LOCAL.

isso é, o usuário precisa ter um tipo de acesso prévio no sistema para compilar e executar o exploit.

Isso é uma “escalada de privilegio” e não uma invasão.

incestuoso.blogspot.com
Neco

http://it.slashdot.org/it/08/02/10/2011257.shtml

saiu isso dia 10

Não pirateio programas. Só copio emprestado.
v1r3d

Queria saber de onde veio toda essa raiva ressentida do cardoso contra os freetards, viva e deixe viver… ou é algo só para ganhar mesmo audiência?

E outra os hard-freetards não comentam aqui porque eles usam navegador Lynx
reverson

isso aqui parece o programa do ratinho na versão nerd…

http://ceticismo.net Pryderi

Vamos fazer DNA no Cardoso?

luciocorrea

Levando em consideração que você postou isso hoje (13 de fevereiro), e as correções saíram dia 11, você só quer inflamar mesmo

http://kerneltrap.org/Linux/Patching_CVE-2008-0600_Local_Root_Exploit
luciocorrea

Ah, e inclusive as atualizações já estavam disponíveis pro debian (sid) no mesmo dia:

$ uname -a
Linux sherlock 2.6.24-1-686 #1 SMP Mon Feb 11 14:37:45 UTC 2008 i686 GNU/Linux

$ ./CVE-2008-0600_Local_Root_Exploit
———————————–
Linux vmsplice Local Root Exploit
By qaaz
———————————–
[+] mmap: 0×0 .. 0×1000
[+] page: 0×0
[+] page: 0×20
[+] mmap: 0×4000 .. 0×5000
[+] page: 0×4000
[+] page: 0×4020
[+] mmap: 0×1000 .. 0×2000
[+] page: 0×1000
[+] mmap: 0xb7d77000 .. 0xb7da9000
[-] vmsplice: Bad address

e nada de root

Abraços
TheDarkMaster

Eita… Nem deu tempo de eu me informar sobre o problema e já saiu correção (estava brigando com o SO do celular ontem)
J-MD

[quote=Carlos Cardoso] “2 – os programadores que EFETIVAMENTE fazem o Linux consigam resolver logo o problema, para que eles (os freetards) voltem a dizer o quanto o Linux é invulnerável, lindo maravilhoso e perfeito. Como o Mac OSX.”[/quote]

Permita a minha interpretação: “[...]Como os Apple fanboys também costumam dizer que o Mac OSX é.”
TheDarkMaster

Off-topic: O Mac OSX é um sistema maravilhoso… Até o momento que ele engolir o meu CD e se recusar à devolver, ou associar um conteúdo do mesmo ao programa errado

Sério, acho que os Macs começam à falhar quando eu chego perto demais, porquê nunca consegui ver um funcionando à pleno. O último que tentei mexer era o “abajur” (Mac no qual o gabinete era a base e um “tubo” de metal conectava ele ao monitor e era o suporte do monitor) estava com um problema ao que parece “irrecuperável” que o vendedor da loja estava tentando resolver. Se eu chegar perto do Mac do Cardoso acho que o negócio queima hehehe
marck

Uma coisa é fato, falhas no windows causam mais dores de cabeça aos usuários do que as falhas do linux. 85%(ou mais)de pcs no mundo usam windows……então……
Acho……. que são linux-users que criam vírus , trojans e etc…… para o sistema do BILL, só para zoar.

*tô satisfeito com meu suse. Ta 10.

Wallacy

E vai ter um grande evento Hacker para tentar hacker o Vista, o Leopard e o Linux daqui alguns dias….

—–
Para aquele que controla o próprio pensamento, todo o resto se torna simples jogo de crianças…
Gandhi.

luctimm

Ahh, se eu fosse doente por segurança eu usaria OpenBSD… Não ligo pra falhas assim no Linux, ninguém usa minha máquina mesmo! Acho que o sensaaionalismo feito em torno disso (pra qualquer SO) é, na maioria das vezes, maior do que a falha de segurança em si. Exceto casos como o WMF, quem lembra? Curti de vários winusers naquela época…

davidkwast

E a falha do .ANI? Uma biblioteca moh velha sendo levada de um Windows pro outro pegou ate o Vista recém lançado.

Reverse engineering techniques to find security bugs: A case study of the ANI
http://www.contraditorium.com Carlos Cardoso

WinNuke era o canal do sucesso.

sombriks

ei, alguém sabe dizer se esse bug maluco (sorry cardoso, o fonte que você postou não dá os -I -L -D pra terminar a compilação…) tem a ver com a antiiiga reza acerca dos processadores com vários cores?

lembro que é uma bandeira antiga dos *BSD, na opinião do Linus “é totalmente irrelevante” e quanto aos 90% restantes do ambiente de sistemas operacionais nem sequer sabemos se também são afetados.
http://sinot.wordpress.com linux.rafa

Parabéns Cardoso. Conseguiu o que queria… porém não contava com a rapida solução… É meu caro. Pego com as calças na mão!

AHAHAHAHAHAHA

“informação é tudo”

luctimm

legal, né campeão?

http://br.groups.yahoo.com/group/ChannelTI/ JulianaPrado

Oi

Isso acontece para muitos que o Linux não é tão inabalável assim

Juliana Prado Uchôa

luctimm

Juliana, quando a falha foi notficada já existia a correção!
Wallacy

O irônico que dependendo do ponto de vista o efeito foi exatamente ao contrario…

Uma falha que necessita de acesso físico (algo normal em SOs), e uma correção veloz…

—–
Para aquele que controla o próprio pensamento, todo o resto se torna simples jogo de crianças…
Gandhi.

rafaeldelrey

Acompanho o rss do meio-bit desde Dezembro, mas soh me registrei hoje (e escrevi esse comentario) por causa do Cardoso. Seus artigos sobre os freetards e similares sao muito legais. Parabens, cara.
http://vinicius.soylocoporti.org.br viniciusandre

E o Windows?

Login

Meio Bit - Notícias, Dicas, Internet, Informática, Tecnologia, Downloads

Encontrada falha grave de segurança no Linux – Ainda sem correção

Acompanhe o Meio Bit

Newsletter

Últimas do Fórum

Ajuda para escolher uma camera! (2)

Que tal esse tablet ? (6)

Conheca a opiniao dos brasileiros a respeito do novo iPad (1)

nokia e63 acesso ao loja ovi (1)

Primeiras impressoes sobre o Diablo III (2)

Meio Bit © Copyright 2006-2010