- A hozzászóláshoz be kell jelentkezni
Hozzászólások
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
weboldala, logoja, papucsallatkaja, himnusza van-e mar?
- A hozzászóláshoz be kell jelentkezni
Valaki gyúrhatna már egy kártyajátékot és a sok logózott-brandelt sebezhetőségből mondjuk egy jó Kickstarter kampánnyal bedörrentve, aztán profit... csinálhatná mondjuk az Oatmeal, a neve meg lehetne Exploding Exploits.
- A hozzászóláshoz be kell jelentkezni
A logó még a cikkben is benne van. ☺
De nem komoly hiba, nem foglaltak neki domaint, csak egy sima aloldalt kapott egy gyűjtőoldalon: https://blog.qualys.com/vulnerabilities-threat-research/2021/07/20/sequoia-a-local-privilege-escalation-vulnerability-in-linuxs-filesystem-layer-cve-2021-33909
Nagy Péter
- A hozzászóláshoz be kell jelentkezni
Canonical Livepatch szolgáltatást használóknak a gyorsjavítás már települt a rendszerén.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
a kernelt is frissitettek mar:
https://launchpad.net/ubuntu/+source/linux-hwe-5.4/5.4.0-80.90~18.04.1
linux-hwe-5.4 (5.4.0-80.90~18.04.1) bionic; urgency=medium [ Ubuntu: 5.4.0-80.90 ] * CVE-2021-33909 - SAUCE: seq_file: Disallow extremely large seq buffer allocations
- A hozzászóláshoz be kell jelentkezni
Archon is már kijött, méghozzá tegnap előtt. Ezt szeretem a Linuxban, hogy ilyen gyorsan lépnek, 24 órán belüli foltok vannak általában, nem úgy mint a MS-nál, hogy várhatsz a következő havi patch keddig, addig húzzátok ki a netkábelt, meg kapcsoljatok ki mindent gyerekek. Windows Szagértők is ezt nem szokták érteni, mikor csak hírből ismerve harsogják, hogy de Linuxra is kell vírusirtó, mert vannak vírusokat. Pedig rendszeresen leírom nekik, hogy nem kell, mert az ilyen réseket azonnal foltozzák, meg általában random Gipsz Jakab weboldaláról sem töltünk binárisokat, meg alapvetően rendszergazdai joggal sem szokott futni automatikusan semmi, így hatványozottabban kisebb az esélye, hogy bármibe is beleszaladjunk. Ilyenekbe max azok futnak bele, akik még Ubuntu 12.04-et nyűnek, meg ilyen kínaiak 15 évvel telepített rendszerekkel, amiket azóta is lusták frissíteni, mert nagy nehezen felrakták valami leírás alapján, aztán feladták vele a harcot, kivárják, hogy megy, ameddig megy, lesz, ami lesz.
“A computer is like air conditioning – it becomes useless when you open Windows.” (Linus Torvalds)
- A hozzászóláshoz be kell jelentkezni
mint a MS-nál, hogy várhatsz a következő havi patch keddig, addig húzzátok ki a netkábelt, meg kapcsoljatok ki mindent gyerekek
Aktívan kihasznált hibákat általában soron kívül javítják, csak a többivel várják be a patch keddet. Így is sokaknak nehézséget okoz, hogy havi 1x telepíteni kell a frissítéseket, gondolj bele mekkora felháborodással járna, ha pár naponta kijönne egy újabb biztonsági frissítés.
- A hozzászóláshoz be kell jelentkezni
gondolj bele mekkora felháborodással járna, ha pár naponta kijönne egy újabb biztonsági frissítés.
Hozzáértőknél semekkorával, hiszen akkor is megtehetné aki akarná, hogy havonta egyszer, kedden telepíteni. Viszont aki úgy ítélné, telepíthetné sűrűbben is. Akár naponta, ha úri kedve úgy tartja, vagy éppen a saját rendszerének sajátossága megkövetelné.
Ez csak az opciók számát növelné.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Csak az a baj, hogy amint kiadnak egy biztonsági frissítést, azzal gyakorlatilag publikálják a hiba részleteit is. Vagyis üzemeltetőként ugyanúgy rá vagy kényszerítve a frissítések mielőbbi telepítésére, ha nem akarod hetekig kockáztatni, hogy a rendszered ismert biztonsági hibákkal sebezhető.
- A hozzászóláshoz be kell jelentkezni
Ez (tartsuk titokban a részleteket) security through obscurity. Nem jó megközelítés.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Nem igazán, ez csak akkor lenne igaz, ha a biztonsági hibákat egyáltalán nem javítanák, amíg nincsenek kihasználva. Opensource projectek is ugyanígy szoktak eljárni, ha tudomásukra jut egy még nem kihasznált biztonsági hiba. Az senkinek nem lenne jó, ha ezeket a hibákat a javításuk előtt, önként nyilvánosságra hoznák.
- A hozzászóláshoz be kell jelentkezni
jól olvasom az elemzést hogy a kihasználásához 1 GB !! hosszú path-ot kell mountolni? az nem fogja megfogni valami már idejekorán?
- A hozzászóláshoz be kell jelentkezni