Sikkerhedshul i Linux?

?.. UNIX/Linux har da været ramt før af forskellige sårbarheder. Det er da langt fra første gang.
Kun en tåbe vil mene at det er en umulighed at finde/udnytte sårbarheder i Linux.

Lad os lige starte med at lade værd med at læse computerworld.dk. Det er en hjemmeside der udelukket har til formål at lave vilde overskrifter der tiltrækker læserne således de tjener penge på annoncer. Indholdet i deres artikler er nærmest altid enten komplet forkerte eller stærkt mangelfulde.

Herefter kan vi lige slå fast at der er intet system der er sikkert og at påstå andet gør dig bare til idiot. Der er tons af sikkerhedshuller i både Windows, Mac OSX, Linux, Firefox, Chrome, Opera og et hvilket som helst andet mere komplekst produkt du kan komme i tanke om.

Og sidst, så drejer GHOST problemet sig om at man kan udnytte en fejl der blev rettet for længe siden i glibc (2.18). Da fejlen blev rettet mente man ikke at fejlen var et sikkerhedsproblem og derfor blev fejlen blot behandlet som alm. fejlrettelse. Eftersom et stort antal distributioner ikke benytter seneste version af udgivet software. Dette er pointeret i den oprindelige beskrivelse af hullet:

- We identified a number of factors that mitigate the impact of this bug. In particular, we discovered that it was fixed on May 21, 2013 (between the releases of glibc-2.17 and glibc-2.18). Unfortunately, it was not recognized as a security threat; as a result, most stable and long-term-support distributions were left exposed (and still are): Debian 7 (wheezy), Red Hat Enterprise Linux 6 & 7, CentOS 6 & 7, Ubuntu 12.04, for example.

http://www.openwall.com/lists/oss-security/2015/01/27/9

Det betyder at dem der benytter distributioner der benytter en version af glibc der er 2.18 eller nyere er ikke ramt af dette specifikke problem. Fx Arch Linux blev ikke ramt at problemet da der altid løbende opgraderes til seneste version af pakker inklusiv glibc:
http://allanmcrae.com/2015/01/who-you-gonna-call/

Hvor vil jeg hen med dette? At når computerworld skriver overskriften "Farligt sikkerhedshul i Linux: Hackere kan overtage kontrollen" så er det alm. lokkemad for at få flere til at læse artiklen. De skriver så at det kun rammer "mange Linux-distributioner" men skriver på intet tidspunkt hvilke der er ramt og hvilke der ikke er og hvorfor det ikke er alle der er ramt af problemet (eller hvordan du som bruger kan se om du har problemet). Artiklen er altså komplet indholdsløs og har intet formål da den ikke gør læseren klogere eller hjælpe med at løse problemet. Den kan allerhøjst være medvirken til at skabe en panikstemning.

Ghost er mere en fiasko for CERT bureaukratiet og "stable" modellen for opdateringer, en en panik ting for linux of det er også lidt grunden til der er lidt mere end normalt fokus på den. Hvilket pressen så forstår som at det er en slem fejl etc.

Panik til side så er der en real fejl vist nok fundet via et script der tjekkede for potentielle fejl pr https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/t… men aldrig flagged i bureaukratiet som et sikkerhedshul.

Det betyder at vi har en fejl rettet i nye "feature" releases men ikke i stable releases fordi dem der fandt den bare fixede fejlen og smed det i patch notes og ikke udfyldte en CVE formular og gav notice igennem CERT organisationerne. Ikke så meget pga hemmelighedskræmmeri men fordi de ikke var en del af et sikkerhedsteam, og bare rettede et mem leak issue med buffer overflow potentiale. Men det er det trade off du laver når du vælger stable. IE der er e risiko for at du misser en vigtig opdatering.

bog post fra dem der fik fejlen reklasificeret som sikkerhedsfejl til info har en rar video
https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/t…

Installation af Bitdefender antivirus på Linux Ubuntu, Mint, Linux Lite, Debian og derivater. Installer, opdater virus definitionerne, og scan hele maskinen. Bitdefender for Unices har en rate på ca 99,6% af kendt malware og dækker også Windows malware, hvilket muligvis er relevant med Wine installeret.

Kopier teksten til terminalen linje for linje fra linket herunder:

https://db.tt/OkeA83z7

Derefter skal du registrere Bitdefender med en gratis licens:

http://www.bitdefender.com/site/Products/ScannerLicense/

Licensen bliver sendt til din mail. Skriv licensen i Bitdefender efter du har startet den.

Start fra terminalen med gksudo bdgui, gksu bdgui eller rediger en genvej med kommandoen.

Bruger du en RPM baseret backend Linux, som OpenSuse, Fedora m.f., så kan Bitdefender installeres herfra:

http://download.bitdefender.com/repos/rpm/bitdefender/

Der har eksisteret en fix til Linux siden maj 2013, men det er klart gamle installationer som ikke er opdaterede, kan (måske) være i farezonen?!... Ikke noget at blive alt for bekymret over!

http://www.openwall.com/lists/oss-security/2015/01/27/9

Javel - det er ret interessant, at man ikke kan stole på computerworld.dk!

De kan allerhøjst være medvirken til at skabe en panikstemning!

Ja, man skal selvfølgelig heller ikke stole på alt hvad man sådant høre*S*.

jeg synes måske nok at julemands angreb på computerworld er en smule overdrevet, men der er ingen tvivl om at de elsker mickey$ antivirus osv.

Det skal man selvfølgelig være opmærksom på når man læser deres artikler :-)

Hej Poul,

Du bruger ofte nogle tegn ved afslutning af dine sætninger.
Som eksempel: #7: høre*S*.

Kunne du ikke give os en liste over betydningen af disse eller måske helt undlade disse, hvis de ikke har nogen betydninger.

http://blogs.cisco.com/security/talos/ghost-glibc

https://stackoverflow.com/questions/24514835/modifying-gethostbyname-re…

Bare sørg for at holde arbejdsstationer og servere opdateret, og dermed glibc 2.19.
https://db.tt/sCoq7Dbw

Computerworld overtog Comon og sidenhen faldt informationsværdien fra Comon, men naturligvis skal exploits offentliggøres, også gethostbyname() og DNS lookup functions _nss_dns_gethostbyname3_r i resolv/nss_dns/dns-host.c.

Hvis man er interesseret, så tjek med Metasploit, eventuelt med Kali Linux, og installer noget AV for bedre at sikre sig at man ikke har en infektion.

Vil nogen vædde på, at selvom glibc er mindre end 2.19, så er der ingen kompromitterede eller inficerede Linux arbejdsstationer?

"Hej Poul,

Du bruger ofte nogle tegn ved afslutning af dine sætninger.
Som eksempel: #7: høre*S*.

Kunne du ikke give os en liste over betydningen af disse eller måske helt undlade disse, hvis de ikke har nogen betydninger."

Hej pko

Ved du ikke, at *S* betyder "smiler"?

Så kunne du jo meget passende fortælle hvad pko står for?

#10: Hej pko

Ved du ikke, at *S* betyder "smiler"?

Så kunne du jo meget passende fortælle hvad pko står for?


Det er såmænd initialer. :)