Přihlásit se

Tisíce linuxových programů i celé distribuce nejspíše trpí kritickou chybou

Můj názor  |  zobrazit i odpovědi (trvale)  |  řadit od nejstarších Komentáře nyní řadíme od nejnovějších.
Tímto odkazem můžete řazení změnit.  |  nových názorů: 71

Názory k článku

avatar
koubavit
11. 04. 2016 08:13

Programátoři jsou jenom lidi nejsou to bohové!

Souhlasím  |  Nesouhlasím  |  Odpovědět
kozec
19. 02. 2016 08:13

" Starší software napsaný pomocí problematické knihovny si totiž nese chybu ve svém vlastním kódu, a pokud jej už nikdo neudržuje, bude napadnutelný i nadále."Vy tu naozaj o pocitacoch viete lajno

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
Petr Galansky
19. 02. 2016 01:08

REAKCE na jednoho z nejlepších IT bezpečnostních techniků Jakuba Čížka na zive.cz.>"trpí posledních osm let kritickou chybou CVE-2015-7547 "
nahlaseno july, 2015
"https://sourceware.org/bugzilla/show_bug.cgi?id=18665"
Takze podle vas je rok 2023.>"..vyvolat přetečení zásobníku..Potenciálně obrovské riziko ... a tak dále a tak dále. ... do hledáčků útočníků, kteří dostali novou zajímavou zbraň...Kauza svým potenciálem připomíná chybu Heartbleed..."Vzdaleny pocitac na mem vyvola "buffer overflow" Pokud to neni osetreno odstreli to cast nebo cely program (Jak bylo uvadeno). Vzhledem k tomu, ze zadny (skodlivy) kod na osetreni teto vyjimky neprovozuji(napr. onen ukazkovy pythnon script) tak me to neohrozi.
Podle vasi dusevni diagnozi zrejmne jste "root". Závěr: Vašeho talentu je tady na živě.cz škoda a nebo naopak, díky vám úroveň IT gramotnosti zde vytrvale klesá.

Souhlasím  |  Nesouhlasím  |  Odpovědi (5)Zavřít odpovědi  |  Odpovědět
avatar
AIbert Winter (AI Wintermute)
18. 02. 2016 19:23

Co tak na to koukám, tak už je to opravené. Pokud má někdo aktivní automatické instalace bezpečnostních aktualizací:"Like any security patch, it has been patched in all supported versions of Ubuntu. It's pushed through both the security and updates repos for desktop installations. You just need to update in your normal way. If you have automatic updates turned on, this should install automatically."http://askubuntu.com/questions/735825/which-ub... ... případně ofiko stránky:
http://www.ubuntu.com/usn/usn-2900-1/... The problem can be corrected by updating your system to the following package version:Ubuntu 15.10: libc6 2.21-0ubuntu4.1
Ubuntu 14.04 LTS: libc6 2.19-0ubuntu6.7
Ubuntu 12.04 LTS: libc6 2.15-0ubuntu10.13 Takže oprava se týká dokonce i celkem letité verze 12.04.

Souhlasím  |  Nesouhlasím  |  Odpovědi (1)Zavřít odpovědi  |  Odpovědět
IT support
18. 02. 2016 11:48

Vzhledem k tomu, že v Linuxových distribucích je téměř vše dynamicky linkované, tak stačí aktualizovat tu knihovnu a vyřeší se tím i starší programy. To naopak ve Windows s jejich statickým linkováním jsou takovéto chyby pěknej průšvih.
Navíc v linuxových distribucích se opravy vydávají téměř okamžitě. Už když o tom začaly předevčírem vycházet články (Živě opět s křížkem po funuse), mi dorazila aktualizace s opravou. A že nejsou aktualizované různé krabičky? - hezkou ukázka, jak to dopadne, když se do toho začne montovat komerční sektor. Ale třeba moje krabičky s OpenWRT kvůli úspornosti ve výchozím stavu glibc nepoužívají a možná to tak bude i v těch ostatních.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Jan Smetana
18. 02. 2016 09:31

"nejspíše trpí" .. aha, tak jo. Co zvolit trochu jistejsi formulaci?
(ony tisice jinych programu nejspise trpi jinou kritickou chybou)

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
nymfomanka
18. 02. 2016 01:35

a jak že dojde k tomju přetečení?

Souhlasím  |  Nesouhlasím  |  Odpovědi (1)Zavřít odpovědi  |  Odpovědět
Yeezey
18. 02. 2016 00:56

Celej linux je kritická chyba

Souhlasím  |  Nesouhlasím  |  Odpovědi (4)Zavřít odpovědi  |  Odpovědět
Odpadlík
17. 02. 2016 20:49

To, že je Linux shit ví každý už dávno. To, že tam není nalezeno tolik chyb je dáno jenom tím, protože je nehledá tolik lidí jako na Windows, když Linux má tak mizivá procenta zastoupení. Kdyby se na to zaměřilo jako na Windows, tak se tam takových chyb najdou jistě desítky tisíců, ostatně co taky čekat po SW, které zpravuje komunita, že ano?

Souhlasím  |  Nesouhlasím  |  Odpovědi (12)Zavřít odpovědi  |  Odpovědět
madloki
17. 02. 2016 20:23

No, je potreba si uvedomit, co presne hrozi, alespon teoreticky.Problem je, kdyz se nekdo pripoji k memu serveru, a ja se z nejakeho stupidniho duvodu pokusim k IP, ktera se ke mne pripojila, zjistit pomoci PTR i jeho hostname. V tu chvili majitel IP je schopen zajistit, ze dotaz pujde na DNS server, ktery drzi reverzy pro jeho IP, a ten lze vhodne upravit. Cili utocnik zpusobim svym prichozim spojenim na vzdalenem serveru (jehoz DNS server nemusi byt ani nijak napaden) aktivaci zakerneho kodu, protoze spravce ma zapnuty nejaky PTR.Proc, proboha, bych neco takoveho mel mit nakonfigurovano ?
Host.allow na hostname - to bych byl idiot. Logovani - neduveryhodne, nespolehlive, zdrzujici. Overovani na SMTP - ne, beru domenu z mail from a porovnavam IP s MX, pripadne se ptam na TXT pro domenu. Napadne nekoho neco smysluplneho ? Kdysi to defaultne delaly nektere verze FTP serveru, ale ftp se snad uz temer ani nepouziva.Opacnym smerem je relevantni utok proveditelny takto - chci komunikovat na nejake hostname, a podvrzeny DNS server mi misto "A" vrati CNAME zaznam s vhodnym obsahem. Vsimnete si toho "podvrzeny DNS server".To je seriozni problem, protoze spousta cilovych hostname je predvidatelna (pool.ntp.org atp.) a pritom treba ani uzivatel workstation si niceho nevsimne (pokud na fake DNS udelam treba pool.ntp.org jako domenu, a cokoliv jineho forwarduju na realny DNS). Vyhnout se tomu, ze musim napadnout DNS server, ktery ma obet nakonfigurovan, bych u toho NTP byl schopen pomoci CNAME.Cili zkusim vyrobit NTP server s fake stratum a spostou IP + CNAME zaznamu vedoucich na DNS ktery mam pod kontrolou, idealne s nizkym TTL. NTP nabidnu pres pool.ntp.org, sleduju zurnal, a az kdyz mam podle logu zajimavou navstevnost, mohu na definovanou dobu nebo pomoci DNS view jen pro vybrane cile pripravit na svem DNS serveru pro vybrane CNAME hodnoty, ktere zpusobi preteceni zasobniku tomu, kdo se muj CNAME pokusi v danou dobu resolvovat.Cili minimalne teoreticky to pouzitelne je, na nevhodne konfigurovany server i vzdalene, nebo na servery i klienty pomoci nejake public sluzby a'la pool.ntp.org + CNAME odkazujicich postupne az na muj server - ale musim pockat, az na mne sami zkusi pristoupit.

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
esondra
17. 02. 2016 20:08

Houmr se snaží udělat flejm a senzaci. Byl by to celkem normální článek kdyby se držel pouze faktů a nevnášel do toho svoje moudra.

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
dolph1888
17. 02. 2016 18:28

Žádné krabičky nepoužívám a modemy mám vždy na "khábl". Nemám žádný WiFi modem (nemají tu možnost). Další zařízení také nemám, TV hloupé (sám již nevlastním, řešením je USB krabička, kterou lze odpojit). Tablety a chytré mobily jsou i s Winy / iOS a těch se držím. Ubuntu mám 2x pracovně, ty mašiny on-line nejsou vůbec. Takže mám pro strach uděláno. A kdyby kdokoliv napadl např. mašinu na net, no prosím a co? Data na ni nejsou tajná, jsou ze 100% zálohována a některá dokonce archivována. To je starostí.

Souhlasím  |  Nesouhlasím  |  Odpovědi (2)Zavřít odpovědi  |  Odpovědět
Roddney
17. 02. 2016 18:22

Ten článek je psanej silně negativně. Ano, nic bez chyby neexistuje, ale vyznělo to jako že linuxové distribuce mají snad problém být aktualizované. Pokud jde o Ubuntu, tak v systému už mám nainstalovanou opravu. U Microsoftu leckdy taková rychlost oprav nebyla. A to zaslouží kritiku oprávněně, na to, že je to placený, licencovaný produkt.

Souhlasím  |  Nesouhlasím  |  Odpovědi (2)Zavřít odpovědi  |  Odpovědět
karlos00x
17. 02. 2016 18:05

// jedná se o průběžně aktualizovaný OS.Co to je za bulvarni a lŽivý žblecht?

Souhlasím  |  Nesouhlasím  |  Odpovědi (1)Zavřít odpovědi  |  Odpovědět
avatar
Martin Sršeň
17. 02. 2016 18:02

Šokuje ma že názov článku neznie "Linux obsahuje kritickú zranitelnosť". Nieje totiž zvykom že autori článkov na zive poznajú rozdiel medzi Linuxom a niečim čo sa spolu s Linuxom "len" používa.Ako príklad si spomínam na článok o zranitelnosti GRUBu:
http://www.zive.cz/bleskovky/nejjednodussi-h... ...

Názor byl 3× upraven, naposled 17. 02. 2016 18:10

Souhlasím  |  Nesouhlasím  |  Odpovědět
kolega007
17. 02. 2016 17:49

Vážně? ... Btw knihovny se již nějakou dobu linkujou ... Takže pokud jsou systémy v udržovatelném stavu, stačí jednoduše nějaká forma aktualizace ... Problém je pouze na straně VÝROBCŮ, kteří s prodejem ruší zájem o zařízení ... V rychlosti si MS nezadá (když jsme u těch kopanců). Cannonical již patch dávno uvolnil :) Dávno víme, že Linux nemáte tady na živě rádi. Pokud máte nutkavou potřebu to stále připomínat, prosím :)

Souhlasím  |  Nesouhlasím  |  Odpovědi (5)Zavřít odpovědi  |  Odpovědět
avatar
Adam Schubert
17. 02. 2016 17:10

No pruserova chyba to tedy je, rekl bych ze i vetsi nez tolik omyvany heartbleed co se zasazeneho kodu tyce, ale faktor zneuzitelnosti bude menci protoze je treba komunikovat s upravenym DNS serverem... Takze musite byt na stejne siti jako cil utoku, napadnout DHCP server a nastavit jinou IP DNS serveru... pokud ma cil utoku staticky zapsanou IP DNS serveru tak smolik
A nebo napadnout nejaky velmi pouzivany DNS server... to by mohla byt celkem sranda... Trochu zajimavejsi cteni:
https://sourceware.org/ml/libc-alpha/2016-02/msg... ...

Názor byl 2× upraven, naposled 17. 02. 2016 17:26

Souhlasím  |  Nesouhlasím  |  Odpovědi (3)Zavřít odpovědi  |  Odpovědět
Anna Kortová
17. 02. 2016 17:05

Takze chyba neni v Linuxu, ale v GNU. RMS nebude mit radost.

Souhlasím  |  Nesouhlasím  |  Odpovědi (5)Zavřít odpovědi  |  Odpovědět
avatar
Jirka Vejražka
17. 02. 2016 16:51

Ty pokusy of flame jsou v clanku cilene?"Ačkoliv se často vysmíváme Windows a některým chybám, se kterými se museli v Microsoftu vypořádat, jedná se o průběžně aktualizovaný OS."Opravdu? Rekl to nekdo tem desetitisicum bankomatu bezicim na Windows 95 a Windows XP, PC zobrazujicim jizdni a letove rady na letistich a nadrazich atd. atp. ? V cem je rozdil?

Souhlasím  |  Nesouhlasím  |  Odpovědi (11)Zavřít odpovědi  |  Odpovědět
Zasílat názory e-mailem: Zasílat názory Můj názor





Doporučujeme

Dubnový Computer

Aktuální číslo časopisu Computer

Jak používat VR k práci

Megatest 18 levných monitorů

Test lokátorů s Bluetooth

Průvodce nákupem RAM

Kupte si časopis nebo předplatné

O webu


AVmania.cz

Proč si předplatit Netflix? Třeba kvůli těmto filmům. Všechny mají dabing nebo české titulky

AVmania.cz

Nejlepší postapokalyptické filmy. Krvavý konec lidstva vážně i nevážně na 30 způsobů

SportRevue.cz

Tohle jsou přítelkyně a ženy (ex)pilotů Formule 1. Kdo má doma největší kočku?

Blesk.cz

Student a jeho známkující učitel? Odborník na řeč těla odhalil, co prozradila schůzka Fialy a Bidena

Reflex.cz

Dusno kolem AfD, Bystroňova aféra je jen špičkou ledovce. Spojence má i u nás, nejblíže je Okamurova SPD

Reflex.cz

Prezident NKÚ Kala: Úřady slouží spíš úředníkům než občanům. Byrokracie funguje jako za Rakouska-Uherska

Živě.cz

Ředitel Pentagonu pustil politikům dosud nevysvětlené video o UFO. Ukázal, co jeho úřad vyšetřuje

Živě.cz

Vědci vytipovali lokality, které mohou očekávat rekordní vlny veder způsobené klimatickou změnou

Auto.cz

Nová Mazda CX-80 oficiálně: Vlajková loď značky je prodloužená CX-60

Auto.cz

Kolaps přenosové sítě? V Německu je k tomu i kvůli ekologii blízko