V Linuxu byla objevena díra. V systému je už sedm let a hackeři ji teď aktivně využívají

Nejspíš tím bylo myšleno něco na způsob reverse SSH či netcat reverse shell.

Za to linux je tak dobrý, že je na těch desktopech pro řadu lidí nepoužitelný i po 20 letech .Jinak by mě zajímalo, jestli ty aktualizace vyjdou stejný den i u komerčních distribucí se supportem. Aby mohl člověk poskytovat záruky, tak to musí taky otestovat, což chvíli trvá.

Obvykle ano, rozdil byva tak okolo dvou dnu (t.j. nijak zasadne se to nelisi od nekomercnich dister, ktere si hraji na stable vetev).

A to za tak krátkou dobu zvládnou otestovat, že daná oprava nezpůsobila problém někde jinde?

To ich už nezaujíma Neraz som musel skrývať aktualizácie, ktoré mi rozdrbali súčasti Ubuntu

BTW. macOS ma od roku 2011 jinou implementaci SMB protokolu (chtel bych rict ze vlastni, ale nejak jsou v tom zavrtani lidi s mailovkama @freebsd.org). Zkratka od te doby nepouzivaji implementaci ze samba.org.
Kazdopadne to na veci nic moc extra nemeni (tim spis, kdyz se dle jejich tvrzeni "bohate inspirovali" od samba.org . Takze ta chyba muze byt i tam).

ano, nadpis v clanku je nepresny, ma prilakat citatelov

"na odborném webu"

trpi touto chybou aj samba pre ine unixy? AIX, SOLARIS, HPUX, FREEBSD...?

Podle popisu chyby ano. Zasaženy jsou všechny *nix based systémy, takže by se dalo opravdu říci, že toto opravdu není problém Linuxu.

toto je uz profesionalna informacia :)

Trpí tou chybou Windows?

Obecně je nedůležité ukazovaní prstíků na tu či onu jednu chybu, přičemž dochází virtuálnímu přeměřování pindíků fanoušků z té či oné strany barikády.Windows trpí stovkami jiných chyb. Ostatně jako každý jiný rozsáhlý systém.

Nejdulezitejsi je ale doba mezi objevenim a opravou nejake chyby.U open-source je to jednoduche, chybu muze fixnout naprosto kazdy, proto je tato doba u open-source nejkratsi.U closed-source jsou lidi odkazani na uzke apolecenstvi lidi, kterym to logicky trva daleko dele, viz Microsoft.

Tak slovní spojení "naprosto každý" je taková oblíbená mantra, kterou považuji za mylnou.Nějaká rozumná oprava bude při takových složitostech poplatná spíše omezené skupině lidí. Na druhou stranu je zřejmé, že časy MS a komunitních skupin jsou někde jinde ve prospěch komunit. MS je moloch, kde valnou část času schlamstne celý proces opravy a deploymentu jako takový.

Pokial niekto chybu objavi, tak ju obvykle nahlasi autorom a pocka nejaky cas, aby mohli opravit. Az potom ju zverejni. Takze doba opravy nemusi byt kriticka a ohanat sa jednym udajom bez kontextu je zavadzajuce. A co sa tyka MS, ak chyba neni kriticka, tak si dava nacas. Ak je kriticka, tak reaguje rychlo, dokonca nedavno zverejnil opravu aj pre uz nepodporovane XP. Urobil vynimku.

Lzes, v OS projektech se nemusi cekat na autora, pokud kdokoli uverejni opravu, muze ji kdokoli pouzit.To jsi tak zaostaly, ze stale nevidis tu vyhodu, ze u OS projektu nejsi limitovan kroky nejakeho softwaroveho molocha, kteremu to prokazatelne VZDY trva dele nez komunite??Ale kulovy vyjimku, tu opravu meli davno hotovou kvuli XP POS Ready, bylo to pro ne jen zaskrnuti jednoho okynka navic, tak z nich nedelej hrdiny.

ty si zase naivny. Ak nahlasis chybu, musi sa najst niekto, kto sa tomu bude venovat. To je jedno, ci ide o closed ci opensource. Alebo si myslis, ze im len tak hocikto chybu opravi a rovno aj spravi novy balik ;(

Jde o množství lidí, kteří se tomu mohou věnovat

a v pripade pocitacov a platformy Windows je toto mnozstvo najvyssie.

Tak jinak...Na svete je X miliard lidi, ikdyby jen jedine promile z nich umelo/chtelo/dokazalo fixnou chyby v OS projektech, je to furt nekolikanasobek lidi, co zamestnava MS.

To je hodně odvážná představa. Lepší by bylo aby jste ji podrobil nějakému rozumovému bádání.Zkuste začít tím, že do zcela největšího OS projektu přispívá "pouhých" 1500 vývojářů kde valnou část commitů tvoří korporátní zaměstnanci. Počet zaměstnanců MS bude zhruba o dva řády vedle. A ne dolů

Názor byl 1× upraven, naposled 12. 06. 2017 20:20

Když tedy jste tak v obraze, které části Windows se aktivně věnuje 1500 vývojářů?

V Open Source dost casto tu chybu fixne i Microsoft, protoze uz je docela dlouho jednim z nejvetsich prispevovatelu do Open Source kodu...

hocikto, tak ako hocikto moze nahlasit chybu vo Windows.

A za jak dlouho od nahlaseni to MS fixne??? Rozhodne za delsi dobu, nez to stihne open-source komunita.Dokazes tu najit nejakej clanek o Linuyove chybe, co nebyla fixnuta v dobe vydani clanku?

Ale, ale, kdybys tak nekecal..
Microsoft totiz do Linuxu prispiva jen tim, co sam potrebuje implementovat diky Hyper-V.Ale jo, dam ti sanci. Ukaz mi kus kodu co nesouvisi s cimkoli co MS potrebuje a opravili to.

"Naprosto každý" je ale nesmysl, který nemůže fungovat. Je problém, aby každý mohl změnit cokoliv (většinou se posílají patche, který někdo musí zkontrolovat a pak zamítnout nebo přidat). Jak je známo, tak každá změna a oprava jedné chyby může způsobit jinou chybu, čím složitější systém, tím je to horší.Open source projekty si asi často moc nelámou hlavu nějakými zárukami a nikdo reálně nezaručuje, že po každé změně to bude pořád fungovat. Nějaké oficiální verze vyjdou jednou za čas, noční buildy s opravami si člověk může stahovat každý den, ale záruka funkčnosti žádná, takže pro reálné použití to nebude dobrý nápad.U korporací to prochází náročnějším testováním a i tak občas něco uteče. To je taky důvod, proč trvá, než se vydá nějaká oprava, i když je to změna na pár řádků. Jak to vypadá třeba u těch komerčních distribucí Linuxu s placeným supportem nevím, ale taky nevěřím tomu, že se každá oprava chyb dostane k zákazníkům třeba do 24 hodin. Poskytovat záruku prostě znamená i to, že to člověk důkladně otestuje a to prostě chvíli trvá.

Rád bych požádal ty co nesouhlasí aby mi tu chybu ukázali v tom Linuxu, když v něm Samba není :)

a ta Samba sa robi pre aky system?

Naviac, kto by si taku blbost, ako je samba instaloval? Pouziva to niekto?

Ano.
Cim byste ji nahradil?

Zalezi na pouziti. DLNA, NFS, FTP(S) a hlavne SSH(FS) jsou vsechno alternativy co se daj pouzit misto SMB.

To teda je důležité, protože objevena mohla být už dávno předtím než byla oficiálně zveřejněna. Přece nemůžete vědět, zda některý z hackerů tuto chybu nezneužíval už dříve.

Ve vsech systemech jsou chyby ktere hackeri zneuzivaji drive nez se na tu chybu oficialne prijde. Pokud je to alespon v povedomi hackeru rozsirena chyba ktere se casto vyuziva tak se na to prijde celkem rychle uz jen z toho duvodu ze si nekdo vsimne ze se v jeho siti deje neco divneho."Problem" je ze kdyz se v Linuxu objevi chyba, da se snadno dohledat od kdy tam je. Zatim co u Windows se v lepsi pripade dovite jen co to bylo za chybu a ze byla opravena.

To víš, hlásná trouba MS. Ta si velice ráda do Linuxu kopne.

Text "zamrzol si ?" je chyba jak vrata?
Mám štěstí, že používám Win10, kde mám NTFS systém.

a hybu openssl preco dobrovolnici neopravili? Bola tam roky

Opravili. Dokonce velmi rychle. Microsoft naopak opravy odsouvá nebo ignoruje...

Opravili, ale kolko tam bola, napriek zverejnenym zdrojakom. To mi vysvetli.

Píšete nesmysly.

Nevím jestli vždy. Já mám počítač koupený v září 2016 :)

Ano jsem linuxak a ano mam rad stary hardware, tenkrat se ty veci delaly zkratka jinak. Mam stary ThinkPad na kterem je radost psat, pral bych si mit stejne kvalitni klavesnici na mem pracovnim ntb (ktery je pul roku stary a jesou na nem Linux a vse funguje jak ma).

Úplně mimo. Ve tvém příspěvků není jediná pravdivá věta.

To je fakt. Nemam ovladac pro nejnovejsi USB gadget na masaz kouli. Za to mam ale oproti Windows o 30 % rychlejsi maven build projektu. Zivot je otazkou priorit...

Obrovske mnozstvo linuxovych masin bezi na virtualnom hardwari vo VMkach vo firemnom prostredi

Těžko. Na co by těm firmám byly? Ve firmách kralují Windows. Linuxy se používají ve firewallech (a VMWare používá starý RedHat jako OS pro chod administrativní konzole).

To zijes nekde v devadesatych letech, ne? Ve firmach kraluje Linux od dob kdy vytlacit komercni UNIXy (I kdyz i ty se jeste nekde drzej). Na woknech bezi tak maximalne Exchange ci Sharepoint... Pokud myslis naky malicky firmicky o par lidech, tak tam si mozna Windows vystaci, ale jakakoli vetsi firma ma jako aplikacni servery a DB server temer vzdy Linux.
A RedHat ve VMWaru uz taky neni spousty let.

Jak kde, třeba v Applu to jejich náboženství prosazují i ve vlastní firmě, takže tam je těžké prodat software pro Windows.Myslím, že dneska mladší firmy budou mít klidně i Lnuxy, starší budou udržovat ty systémeny na Windows, protože je jednodušší platit údržbu toho, co funguje, než to migrovat s rizikem, že se to rozsype. V Německu nějaké město taky se slávou přemigrovalo na Linux a po pár letech se vrátili k Windows.

Aneb zranitelnosti v Linuxu opravdu jsou, ale pro jistotu nezapomeneme plivnou na okna. Co kdyby na to náhodou někdo zapomněl .

V článku se píše, že našli hromadu počítačů, kde oprava nainstalovaná nebyla, tudíž vaše reakce na aktualizace je uplně mimo mísu.

Pristup k zdojakom je uz obohrana pesnicka, je to teoria, u ktorej bolo viackrát dokazane, ze neplati. Kolko chyb v opensource bolo najdenych napriek tomu, ze zdrojaky boli k dispozicii? Napr. v openssl. Kolko ludi je schopných siahodlhe zdrojaky precitat a objevit v nich chybu? Mnoho z nich tam bolo roky a nikto si nic nevsimol. A co ked sa autori o opensource produkt prestanu starat? Aj to sa stava. Na vela chyb sa pride nahodou a nie skumanim zdrojakov. Zárukou bezpecnosti produktu je podpora vyrobcu a siroka uzivatelska zakladna.

Existuje mnoho důvěryhodných studií, které dokazují že otevřením zdrojáků se počet chyb dramaticky (tj. řádově) sníží. Platí to jak pro jádro Linuxu, tak pro další podobné projekty, např. Chrome (Chromium), ale i zmíněné openssl - zrovna to má specifický přístup jeho vývojářů, a proto vznikl projekt libressl, což by bez dostupných zdrojáků nešlo. Podobně třeba Android (uvědomte si, že bombasticky uváděné "chyby" mají prakticky nulový reálný dopad, i když Androidů je mnohem více, než třeba Windows).

Důvěryhodné studie. Výsledky jsou přesně takové, za jaké jsou ti, kteří studie dělají, placeni...Otevřený kod je jen placebo, pokud není záruka, že ho někdo často a pravidelně kontroluje. A táto zaruka určitě není standard. Proč by taky ano, zadarmo ani kuře nehrabe...

Motivací může být odměna (např. Chromium a Android od Google) nebo nutnost (do jádra Linuxu přispívá i Microsoft, Cisco, IBM atd) nebo snaha o vylepšení CV (budu-li mít v jádře linuxu, OpenSSL, Firefoxu, ale LibreOffice atd. záznam, že jsem něco přispěl, mohu si říci u pohovoru o zaměstnání o větší peníze). Jakýmkoliv příspěvkem se dostanete mezi top 1% žadatelů o (dobře) placenou práci, zejména kvůli tomu, že si (zde) tolik lidí myslí, že je to k ničemu.

To, ze sa zdrojak spristupni vsetkym, este nic neznamena. 99,99% uzivatelov je to aj tak nanic. Aj vyrobca closedsource pokial ma zaujem, moze dat svoj soft analyzovat bezpecnostnej firme, a spristupnit im aj zdrojaky. Co sa v pripade Windows deje. Nehovorim, ze zverejnenie nema ziadny vplyv na bezpecnost a spolahlivost, len hovorim, ze to nie je to najdolezitejsie. V pripade Windowsu to napríklad prebija mnozstvo uzivatelov, bezpecnostych firiem ale aj hackerov, ktori vsetci sa o Windows zaujimaju :) a takato velka uzivatelska zakladna najviac prispieva k zvyseniu bezpecnosti. A konkurencny boj - ked napríklad bezpecaci z Google objavia chybu, ide aj o prestiz, ale v konecnom dosledku to zvysi bezpecnost Windows. A dokladom toho je, ze MS so svojimi produktami v rebrickoch chybovosti uz roky nie je na prvých miestach.

Kdyby bylo odkrytí zdrojáků nanic, Google by to nedělal a Chrome by nebyl nejlepší prohlížeč, co se týká bezpečnosti. Microsoft by byl na prvním místě, kdyby 1) neslučoval bezpečnostní opravy a 2) kdyby se počítaly bezpečnostní incidenty Linuxu, Androidu apod. pouze na stejný rozsah software, jaký máte po instalaci Windows.

A co Android? Ten je zranitelny celkom dost. MS bol pred par rokmi na prvych miestach v chybovosti a zranitelnosti. Dnes uz nie je. Cim to je, ked stale je closedsource? Ze by zacali venovat bezpecnosti vacsiu pozornost?

Microsoft? Falšování a manipulace se statistikami, šíření FUD (již vysvětleno). A Android? Je jednak postavený tak, že mu bezpečnostní problémy z větší části neškodí (sandbox, JVM) a jednak je tam bezpečnostní systém od Google (přímo v Google Play aplikaci), který se sám aktualizuje a bezpečnost zajišťuje, takže dopady případných problémů jsou minimální (tj. vlastně získáváte bezpečnostní aktualizace, i když pro vás výrobce nevydává novou verzi Androidu).

Názor byl 1× upraven, naposled 12. 06. 2017 14:20

aaa, takze Android je super bezpecny, ziadne problemy, virusu su neskodne, system sa sam aktualizuje... No super. FUD od zmanipulovaných fanusikov je najlepsie, je totiz zadarmo, Google to nic nestoji

Taková klasika.

Psal jsem o aktualizaci aplikační vrstvy, nikoliv o systému, který musí aktualizovat výrobce. Alespoň čtete. Díky.

ani to sa samo nezaktualizuje, ak vyrobca na to kasle

hovorim o systeme a bezpecnostnych aktualizaciach, nie aplikaciach.

No jo, ale Milan ti přes jeho růžové brýle popisuje, že nic takového nepotřebuješ.

Kdyby byl každý druhý Android zavirovaný, potřeba by to bylo. Jenže oni Androidy nějak zavirované nejsou... to je realita, nikoliv růžové brýle. Na rozdíl od Windows, kde je míra nakažených počítačů velmi vysoká (protože ten systém funguje úplně jinak a každý uživatel je navíc rovnou Administrátor).

Taky si myslím, že bezpečnostní hrozby okolo Androidu které co měsíc lítají vzduchem vlastně nic neznamenají a jsou to jenom takové zprávičky aby vyplnily prázdný prostor.

Reakce pod tímto příspěvkem se již nevětví

A v Androide je stale oblubeny sport spravit si root. Netvrdim, ze kazdy druhy Android je zavirovany, na mobile ani antivirus nemam, povazujem to za zbytocne, pouzivam len apky zo Store, root nemam, vyrobca mi fon pravidelne a vzorne aktualizuje a vlastne ani nic chulostive v nom nemam, fotky zalohujem do cloudu. Ale ta tvoja hlaska "Na rozdíl od Windows, kde je míra nakažených počítačů velmi vysoká..." prepac, ale jako keby som sa ocitol v stroji casu a vrhol ma 10 rokov dozadu ... Zaspal si dobu trosku. Ani Admin vo Windows uz dnes nema vsetko automaticky povolene, musi potvrdzovat. To sa zmenilo vo Windows Vista. A vo firmách, kde na bezpecnosti zalezi, Admina beznym uzivatelom nedavaju uz 20 rokov.

Reakce pod tímto příspěvkem se již nevětví

Kolik procent uživatelů Android má rootnutý telefon? Tipnul bych, že asi tak 0,01%. A kolik z těch lidí, kteří mají rootnutý telefon přesně ví, proč a co za nebezpečí to přináší? Asi tak 99,9%. Uživatelé si nerootují telefon, pokud neví, k čemu to je a proč to potřebují. Pokud není telefon rootnutý, žádná aplikace se nedostane k datům jiné aplikace a i v případě díry v systému je možnost jejího zneužití prakticky nulová.Kolik lidí na domácích PC s Windows pracuje pod administrátorským účtem? Asi tak 99%. Kolik z těch lidí tuší, jak fungují oprávnění v systému a bez přemýšlení odklikne jakoukoliv žádost pro jakýkoliv program o zvýšení oprávnění? Asi tak 99%. Kromě toho na Windows se libovolná aplikace dostane k datům libovolné jiné aplikace. Uživatel o tom vůbec neví a nemá možnost s tím nic dělat. Sebemenší díra do systému znamená obrovský průšvih, protože malware může napáchat obrovský škody.

Ale to mas jedno. Zase len teoreticky vypisujes argumenty, ktore neplatia. Vo Windows mas sice Admin ucet, a doma to málokto zmeni (komu na tom zalezi, ma tu moznost, to je dolezite povedat) ale mas zapnutu ochranu antivirovu aj antimalwarovu, admin zmeny musis potvrdzovat atd. Vo vysledku Win neni nebezpecnejsi nez ostatne systemy.

Možná by bylo dobré porovnat, jak často lidi odvirovávají Windows a jak často Android...

Windows som nepotreboval odvirovavat uz aj 10 rokov. Ak clovek dodrziava zakladne zasady opatrnosti, s vírusmi sa nestretne. Treba este povedat, ze pocitac a mobil maju ine vyuzitie a na mobile nas hrozba virusov az tak netrapi, ak su problemy, mobil sa aj jednoduchsie uvedie do tovarenskych nastaveni.

To nemá smysl. Bavíš se tu s hlupákama, co architektuře Androidu nemají sebemenší ponětí a plácají jenom moudra z nadpisů IT bulvárů. Víc o tom totiž neví.

Reakce pod tímto příspěvkem se již nevětví

To je od tebe dost odvážné tvrzení. Pokud vezmeme tento zajímavý výrok."Kromě toho na Windows se libovolná aplikace dostane k datům libovolné jiné aplikace. "A fakt že UWP - mobilní aplikace pod Windows běží ve stejné architektuře, tedy že žijí v sandboxu. Tak se se nezbývá než zlehka usmívat. Pokud ovšem nechceme míchat jablka a hrušky.

UWP nemá smysl, když aplikace na počítačích, používá jen hrstka lidí. Až budou běžné programy sandboxované, pak to bude jiná. Pak už pravděpodobně na to nebude potřeba používat programy viz Sandboxie.

Pokud se tu budou míchat jablka a hrušky kde na jedné straně se budou porovnávat mobilní aplikace na mobilním OS a na druhé straně plnohodnotné desktopové s nevhodným rozhraním po mobil, tak se asi těžko můžeme sladit na podobnou vlnu a remcat si každej o tom svým. Tady toto vlákno už je pro mě pasé. Mějte se dobře.

Představa, jak tvůrce malwaru ho píše jako UWP aplikaci, je opravdu úsměvná. To, že lze na Windows spustit aplikaci v sandboxu, je samozřejmě pravda. Ale je ještě třeba dodat tu druhou půlku, že takové aplikace skoro nikdo nepoužívá a pokud bude psát někdo malware, je mu to úplně ukradený.

Podplacené studie je spíše doména MS.

neverim statistike, ktoru si sam nezfalsujem :)