Kernele Ubuntu 10.04 LTS dziurawe jak dobry ser

[tajwan]

W kernelu Ubuntu 10.04 LTS (a konkretnie w gałęzi 2.6.35-25) odkryto niemal 40 dziur, co zawstydziło Ementalera. Luki umożliwiają przeprowadzenie zarówno ataków lokalnych jak i zdalnych.Błędy powodują między innymi nieprawidłowe sprawdzanie pakietów ICMP, co pozwala agresorowi na przeprowadzenie ataku DoS. Inna luka w NFSv4 umożliwia zdobycie lokalnemu użytkownikowi praw roota. Spośród wspomnianych niemal 40 dziur, 9 pozwala na zdobycie uprawnień administratora, a 14 umożliwia przeprowadzenie ataku DoS.

[Dwimenor]

Po pierwsze, jak kopiujesz wiadomości, to wstaw źródło. Bo na razie podpisując się pod tym popełniasz plagiat.

Po drugie: wszyscy w internecie się tym ekscytują (a tym bardziej parodią turbodymomena (czy jak mu tak), ale nigdzie nie doczytałem czy te luki dotyczą tylko łat nakładanych przez Cannonical, czy te błędy mają swoje źródło w oryginalnym kernelu. Bez tej informacji całość przypomina news z onetu.

[pingwin114]

dziury dotyczą tylko kerneli "by Canonical", ale z tego co mi wiadomo, to już jakiś czas temu zostały załatane

[makson]

W kernelu Ubuntu 10.04 LTS (a konkretnie w gałęzi 2.6.35-25) odkryto niemal 40 dziur, co zawstydziło Ementalera.

Sorry, ale w Ubuntu 10.04 jest kernel 2.6.32.
To chyba dobitnie świadczy o poziomie tego "newsa"...

[pioruns]

Sorry, ale w Ubuntu 10.04 jest kernel 2.6.32.
To chyba dobitnie świadczy o poziomie tego "newsa"...

Mylisz się. Spójrz: http://packages.ubuntu.com/search?suite ... age-2.6.35

A co do poziomu newsa. Autor wątku skopiował tekst z brukowca - osnews.pl, dlatego tak to wygląda, jak wygląda: http://osnews.pl/kernele-ubuntu-10-04-l ... dobry-ser/
A tutaj prawdziwe źródło wiadomości: http://www.zdnet.com.au/ubuntu-peppered ... in;content
Sensację zrobił Darren Pauli, australijski recenzent ZDNetu.
Większość z tych dziur została już załatana i jest nieaktualna, poza tym, dotyczą one kernela nie tylko w Ubuntu.
Na grupie alt.os.linux.ubuntu znalazłem fajne podsumowanie, Message-ID: <il0s7m$b5g$1@news.eternal-september.org>:

http://www.zdnet.com/news/holes-found-i ... ag=nl.e539

The author of that article claims:
<quote>
Darren Pauli has been writing about technology for almost five years, he
covers a gamut of news with a special focus on security, keeping readers
informed about the world of cyber criminals and the safety measures
needed to thwart them.
</quote>

Too bad he's too biased and stupid to actually know that the issues are
with the kernel & not specifically Ubuntu. Let's have a look:

http://www.ubuntu.com/usn/
http://www.ubuntu.com/usn/usn-1083-1

I reckon that he doesn't know to look up a CVE - let's pick one:
http://web.nvd.nist.gov/view/vuln/detai ... -2010-2066
Woops... looks like redhat & others have a problem as well.
http://rhn.redhat.com/errata/RHSA-2010-0610.html
http://www.securityfocus.com/archive/1/ ... 0/threaded

Now there is a big difference between Redhat and Ubuntu; Redhat released
the fix for that bug in August.

Let's try another:
CVE-2009-4895
http://web.nvd.nist.gov/view/vuln/detai ... -2009-4895
https://rhn.redhat.com/errata/RHSA-2010-0161.html

Note that redhat fixed that last March (2010). Also note that Ubuntu
issued that same fix in October 19, 2010:
http://www.ubuntu.com/usn/usn-1000-1
Why then reissue in usn-1083-1? I reckon it is because:
<quote>
The problem can be corrected by upgrading your system to the following
package versions: Ubuntu 10.04 LTS: linux-image-2.6.35-25-generic
2.6.35-25.44~lucid1 linux-image-2.6.35-25-generic-pae
2.6.35-25.44~lucid1 linux-image-2.6.35-25-server 2.6.35-25.44~lucid1
linux-image-2.6.35-25-virtual 2.6.35-25.44~lucid1
</quote>

Previously lucid was on 2.6.32. So the change to 2.6.35 incorporates all
of the CVE's listed in usn-1083-1.

I reckon Darren Pauli doesn't have a clue...

[jacekalex]

A ja się pytam - co za "geniusz" ten wątek założył?
Przychodzi taki ktosiu, postów 0 (znaczy się doświadczenie na forum duże), i odgrzewa stare kotlety.
Kernel 2.6.32.25 bazował na znacznie wcześniejszej wersji vaniliowego 2.6.32, a w obecnym vaniliowym 2.6.32.32 -większość błędów jest dawno naprawiona.
Natomiast w Ubuntu LTS jest w tej chwili: linux-image-2.6.32-29-generic

Co do internetowych newsowni, to często w klozecie można nowsze, aktualne, i bardziej konkretne informacje znaleźć.

To by było na tyle

[kasjo]

U mnie na 2 komputerach jest 10.04 i siedzi jądro 2.6.32

Kod: Zaznacz cały

Linux kasjo-desktop 2.6.32-22-generic #36-Ubuntu SMP Thu Jun 3 22:02:19 UTC 2010 i686 GNU/Linux

(tu nie prowadzę aktualizacji na bierząco)
oraz

Kod: Zaznacz cały

Linux adam-laptop 2.6.32-29-generic #58-Ubuntu SMP Fri Feb 11 19:00:09 UTC 2011 i686 GNU/Linux

(tu natomiast aktualizuje codziennie)

[avt31]

Wytłumaczcie mi to łopatologicznie.
Mam Ubuntu 10.04 z jądrem 2.6.32-29, które się aktualizuje.
W Synapticu jest też jądro 2.6.35-25, ale nie zaznaczone do instalacji.

Czy należy jądro zaktualizować do 2.6.35-25, czy zostawić to stare.
Czy mając stare jądro system jest mniej bezpieczny?
Przyznam się, że news mocno mnie zaniepokoił.

[pioruns]

@avt31:
Zaznacz w Synapticu kernel 2.6.35 i zainstaluj go. Będziesz miał dwa do wyboru przy starcie komputera, pracuj na tym nowszym, to wszystko.

[Savpether]

A stary wywalić możesz. W tym newsie widać tendencje myślowe z windowsa:
1. Skoro jest 40 luk to zostaną załatane za 4 lata.

Problem w tym, że według logiki linuksowej, poprawki pewnie wyszły następnego dnia.

[avt31]

Dzięki za odpowiedzi.
Teraz mam jeszcze jako zapasowy w Grub 2.6.32-28.
Wyrzucę go i zainstaluję ten nowszy kernel.
Zdziwiłem się tylko dlaczego system nie aktualizował się do nowszego jądra.
Nawet nie wiedziałem, że jest, a system aktualizuję codziennie.
Może przeoczyłem komunikat, że jest 2.6.35.

[kklimonda]

W 10.04 ciągle jest kernel 2.6.32, ten kernel został zaktualizowany, i on zawiera wszystkie poprawki o który jest mowa w USN-1000-1.

[pioruns]

@avt31: W repozytorium LTS może współistnieć kilka gałęzi kerneli, tak jak tu mamy 2.6.32 i 2.6.35. Nie są one traktowane jako konieczna aktualizacja, bo poprzednia wersja nadal otrzymuje poprawki bezpieczeństwa - tak jak napisał powyżej kklimonda.
Jeśli Ci się samo nie zaktualizuje, to zawsze pamiętaj, żeby zajrzeć do repozytorium, jakie masz kernele do wyboru.

[avt31]

O teraz to już mam pełną jasność sytuacji.
Jeszcze raz dziękuję za fachowe wyjaśnienie tematu kerneli w 10.04 LTS.
Używam właściwe tylko wersji LTS, bo ma długie wsparcie i za dużo nie potrzeba grzebać w systemie.

[john_clock]

W LTS domyślnie jest zainstalowany pakiet linux-image-generic i dla niego są cały czas aktualizacje, obecną wersją jest 2.6.32-29-generic.
Jest też dostępny backport: linux-image-generic-lts-backport-maverick - instalując ten pakiet otrzymamy wersję linux-image-2.6.35-25-generic. Domyślam się, że po zainstalowaniu tegoż, będzie się on automatycznie aktualizował.
A decyzja należy do Ciebie.