PplWare Mobile

Kernel Linux com falhas graves de segurança

                                    
                                

Este artigo tem mais de um ano


Autor: Pedro Pinto


  1. Jose says:

    Lol.. finalmente..

    Eu tinha conhecimento deste bug por acaso, o Linux é demasiado livre, que se descobre buracos de segurança facilmente, custa-me acreditar que passado tantos anos, so viram este bug agora.

  2. Rascas says:

    Testei o programa no Arch e não funciona (kernel 3.9.2). Pelos vistos foi corrigido a partir do kernel 3.8.10.

    Sei que ja foi corrigido tb no Debian Wheezy (security)

    • James Bond says:

      Viva, DEBIAN!

      🙂

    • Jorge Costa says:

      Sim, está corrigido nos >3.8.x.

      E Arch FTW

      • Ren says:

        Viva Arch!!

        a melhor coisa que fiz foi mudar do ubuntu para o Arch Linux

        🙂

        • Francisco Neves says:

          Infelizmente, eu também mudaria, se não tivesse problemas com a BCM4313. |:

          Acho o Arch o melhor lado do Linux 😀

          • Paulo Rodrigues says:

            O meu portátil tambem tem essa placa bcm4313. No Debian wheezy o driver wl (conhecido como broadcom-sta) produz “kernel panic”. A solução passou por instalar como alternativa o driver brcm80211.

          • Paulo Rodrigues says:

            No meu portátil que também tem essa placa o debian wheezy dá “kernel panic” se instalar o driver wl (broadcom-sta). A solução foi instalar o driver brcm80211 que também suporta essa placa. Agora funciona na perfeição.

          • Felipe Facundes says:

            Olha Brother, uso o Fedora 18, com o Kernel 3.9.200 no meu mini netbook, e aqui funfa legal essa placa, fiz a atualização para 3.9.201 até a 3.9.400 e nestas versões a placa parou de funcionar, aí retornei ao kernel 3.9.200.

            Pessoal, o Arch é maravilhoso sim, mais na minha opinião são dois e os únicos a serem o melhor lado do Linux o Arch e o Fedora, por serem super atuais e por serem sem Bugs rídiculos como o Ubuntu. Nossa! O Buguntu ou, Infernubuntu é muito Bugado, se instala um programa que dá erro, se retirar o programa permanece o erro. É bugado demais.

            No Fedora e no Arch você vive power.

            Pow rodo no meu netzinho o Fedora, mais três maquinas virtuais ao mesmo tempo e ouvindo musica online no groovershark.com não largo mais o Fedora por nada, e o Arch também é o mesmo nível.

            Lógico que tirei o gdm e coloquei o lxdm e gnome pelo openbox. Mas essa mesma configuração no ubuntu, já fiz e era bug todo dia, quase fui para o slack.

            Bom retirando esta parte do desempenho! O que vocês tem a me dizer sobre esses vendidos do OpenBSD, quanto a polêmica do ipsec, no linux mantém-se a backdoor, será… A notícia é esta:

            Como a implementação do IPSEC do OpenBSD foi uma das primeiras a estar livremente disponível, grandes trechos de seu código podem estar presentes em outros projetos, o que faz a relevância dessa notícia alcançar um público bem mais amplo do que os desenvolvedores e usuários do OpenBSD.
            IPSEC é um método de criptografia e autenticação aplicado diretamente aos pacotes IP, e a implementação do OpenBSD tem sido considerada estável e robusta – inclusive por ser recomendada pelo próprio FBI para uso em VPNs e firewalls…
            O resumo da novidade é o seguinte: um desenvolvedor cujo NDA (acordo de sigilo) de 10 anos com o FBI recentemente expirou mandou um e-mail para o fundador do OpenBSD informando ter conhecimento de que, durante o início do desenvolvimento do IPSEC do OpenBSD, um conjunto de outros desenvolvedores (cujo líder foi identificado na mensagem) foi pago pelo FBI para incluir backdoors na implementação.
            Quando se trata de criptografia, backdoors não necessariamente são do tipo encontrado em serviços de conectividade – pode ser um enfraquecimento intencional dos algoritmos empregados, oferecendo a quem tenha conhecimento deste fato um atalho (por exemplo, na temporização, no conteúdo dos paddings, etc.) para facilitar identificar as chaves ou simplesmente decifrar as mensagens. Colocá-los e encontrá-los pode exigir um nível de conhecimento matemático cujo suprimento é relativamente escasso, razão pela qual é possível imaginar que um backdoor de 10 anos ainda possa estar presente em algumas implementações e ninguém notou.
            A mensagem sugere ainda que ter encontrado este backdoor foi o verdadeiro motivo pelo qual o Departamento de Defesa dos EUA cancelou seu apoio financeiro ao OpenBSD em 2003.
            A mensagem chegou em particular ao fundador do OpenBSD, mas ele decidiu torná-la pública para que todos os interessados possam tomar as ações apropriadas (incluindo a auditoria de códigos, naturalmente), e que os acusados possam apresentar suas defesas.
            Trecho da cobertura do OSNews e comentário enviado pelo leitor Bremm (bremmΘmailinator·com):
            “Traduzindo o trecho inicial da notícia do OSNews: “Bem, estas são potencialmente grandes novidades que realmente necessitam toda exposição possível. Theo de Raadt (do OpenBSD) recebeu um e-mail cujo conteúdo revelou a ele que há dez anos o FBI pagou diversos desenvolvedores de software de código aberto para implementar diversos backdoors ocultos na pilha IPSEC do OpenBSD. De Raadt decidiu então publicar o e-mail para todos o verem, de forma que a questão do código possa ser revisada.”
            Depois de Julian Assange, parece que muita gente resolveu colocar “a boca no trombone” e expor todas as falcatruas dos governos que se auto-intitulam “respeitadores da liberdade” e “democráticos”.” [referência: osnews.com]

        • Rui Marques says:

          Fiz essa mesma decisão e não me arrependo mesmo nada.

  3. Eu li num outro blog sobre linux que este problema já tinha sido resolvido e que era recomendado a sua actualização através dos repositórios do sistema. Por isso não sei se a informação apresentada neste artigo se encontra actualizada.

    Não tenho a certeza se já foi ou não lançado nos repositórios dos updates.

  4. Bruno says:

    Acabei de testar num servidor meu, com Ubuntu Kernel 3.2.0-43 generic.

    E não funciona.

  5. PapiMigas says:

    Para isto temos que estar logados na máquina. O ataque não é assim tão simples. E sim, já é conhecido.
    A malta da Apple é que vai gostar de ler esta noticia 😀

  6. Nuno says:

    Acho incrivel como e que no pplware nao publicam a noticia do Google App Engine agora disponivel para PHP enfim :/

  7. Corvus says:

    Bem, também me apeteceu brincar 😉

    Debian testing (3.2.0.4) – Segfault

    Ubuntu 12.04 (3.2.0.4) – Segfault

    CentOS 6 (2.6.32) – Não dá shell de root, mas reinicia o servidor sem ficar qualquer registo do que o provocou nos logs (o que não tem piada nenhuma também)

  8. NT says:

    Boas,

    Como se costuma dizer ‘Patch you sh1t!’
    Para quem tem o sistema actualizado… É uma falha ‘grave’ já corrigida…

  9. monux says:

    Fiz a instalacao do Mageia 3 e quando re-inicio o pc na segunda opcao de seguranca,entra no sistema automaticamente como root. o.O

    • TuxPT says:

      É um facto. É mesmo assim. No Mageia e em qualquer distro que tenha essa opção AFAIK.

      Mas não é bem “segurança” o nome correcto. A tradução de “failsafe” deveria ser qualquer coisa como “tolerante a falhas”.

  10. hugo says:

    Onde posso descarregar o exploit
    Tenho muitas maquinas com Linux e gostaria de testar a ver se estao vulneraveis

  11. Tiroliro says:

    Viva as milhentes distribuições linux com as mais recentes paneleirices instaladas e não devidamente testadas. Tal prática até já chegou ao kernel! Muito feio! Com o meu Debian nunca tive problemas desses. É pouco actualizado, demora a sair uma versão estável, mas quando sai, está mais do que testado. Quando muito podem surgir pequenas falhas, mas nunca como estas. Turubuntutus… Mintroll’s… Susies… a lista de lixo não cabia aqui.

  12. James Bond says:

    95% dos utilizadores de computadores usam o Windows que está cheio de milhentos vírus, exploits, adwares, malwares e, já agora, de pplwares 🙂 E esses amigalhaços todos permanecem durante anos nos computadores e ninguém diz nada!
    Mas quando aparece qualquer coisinha no Linux, entra tudo em pânico! 🙂 Não desesperem… no Linux há sempre solução e ela vem sempre muito rápidamente! 🙂

    • JP (djlinux) says:

      Bingo !!

      Não viste nas noticias? Milhares de computadores com Linux apanharam vírus por causa desta falha… Milhares de pessoas que usavam a Net para tratar de assuntos do Banco ficaram sem dinheiro lá, tudo por causa desta falha… E mais, milhares de computadores deixaram de trabalhar como deve de ser por causa desta falha…

      Ups, peço desculpa, pensei que tinha voltado atrás no tempo e ainda estava a usar Janelas…Damn..

  13. Silva says:

    Tudo a funcionar muito bem nos meus pc’s com Windows XP e 7

  14. Microsoft sempre says:

    Windows sempre será os sistema que mais se pode confiar , o linux não de confiança toda gente mexe nele , ainda bem que utilizo o windows .

  15. Gerardo says:

    Um pouco offtopic mas algum expert em Linux me diz como instalar ubuntu (ou outra distro) em ingles mas com location em PT ??? O Ubuntu se escolhemos a lingua inglesa e os pais portugal diz que não existe nenhuma location com essa combinação e só deixa escolher locations inglesas. No Windows isto é básico de se fazer.

    • faustino says:

      Não consigo perceber a tua lógica, ter o sistema em inglês e location em pt? Afinal o que é o location, não é a tradução das mensagens de sistema etc?
      Qual é a vantagem de fazeres isso?

      • TuxPT says:

        É teres tudo em inglês, excepto por exemplo o simbolo monetário $ vs €, formato dos números, etc…

      • Gerardo says:

        A vantagem é ter o sistema em inglês e evitar traduções mais ou menos manhosas de termos técnicos. Nos servidores windows é muito fácil, instala-se em inglês e mudasse a localização para portugal (datas, moeda, numeração etc). A localização é importante não só para isso mas também para programas que lêem a nossa localização. Por isso acabo sempre com o Linux todo Português porque a alternativa é muito pior.

    • TuxPT says:

      Vai depender de distro para distro, mas basicamente instala tudo em ingles e depois só tens que alterar as variáveis LC_* que necessitares (MESSAGES, MONETARY, NUMBERS, etc).

      Algumas já podes fazer isso durante a instalação, outras, só depois de instalado.

  16. Marco T. says:

    Mais importante que o sistema é quem o administra. Se se faz uma gestão ativa do sistema vigiando e corrigindo erros, colmatando e pesquisando eventuais falhas de segurança, vigiando e monotorizando tudo o que passa.Muita malta pensa que por ter um Linux está blindado a tudo e nada é mais falso. Um sistema Windows pode ser muito seguro e existem muitos sistemas em instituições muito críticas do ponto de vista da segurança que funcionam muito bem. Os sistemas Unix e Linux gozam de uma fama de infalibilidade mas podem ser muito inseguros se mal administrados. Pela minha experiência, é mais fácil administrar um sistema windows do que um sistema linux sob vários pontos de vista, sendo que um sistema Linux bem administrado, por alguém que realmente domine a coisa é de facto muito seguro. Mas um bom sys admin de Linux não se faz do dia para a noite, a curva de aprendizagem é mais exigente e complexa do que em sistemas Windows. Para além do mais, em sistemas críticos, devem-se usar versões profissionais (clones Unix ou RHEL, Suse). Unbuntu server e Centos fora de questão.

  17. David says:

    Nada no Ubuntu 13.04 (3.8.0-21-generic).
    output:
    a.out: semtex.c:51: sheep: Assertion `!close(fd)’ failed.
    Aborted (core dumped)

  18. TuxPT says:

    Diferença para um local “root” exploit em Windows:
    http://www.theverge.com/2013/5/23/4358400/google-engineer-bashes-microsoft-discloses-windows-flaw

    Microsoft: “Ainda estão a investigar”
    Linux: “Fixed”

  19. osvander says:

    Nada no Pclinuxos Br lxde

  20. osvander says:

    Uma pergunta leiga… Como saber qual é o kernel do meu pclinuxos lxde??

  21. Felipe Facundes says:

    Olha Brother, uso o Fedora 18, com o Kernel 3.9.200 no meu mini netbook, e aqui funfa legal essa placa, fiz a atualização para 3.9.201 até a 3.9.400 e nestas versões a placa parou de funcionar, aí retornei ao kernel 3.9.200.

    Pessoal, o Arch é maravilhoso sim, mais na minha opinião são dois e os únicos a serem o melhor lado do Linux o Arch e o Fedora, por serem super atuais e por serem sem Bugs rídiculos como o Ubuntu. Nossa! O Buguntu ou, Infernubuntu é muito Bugado, se instala um programa que dá erro, se retirar o programa permanece o erro. É bugado demais.

    No Fedora e no Arch você vive power.

    Pow rodo no meu netzinho o Fedora, mais três maquinas virtuais ao mesmo tempo e ouvindo musica online no groovershark.com não largo mais o Fedora por nada, e o Arch também é o mesmo nível.

    Lógico que tirei o gdm e coloquei o lxdm e gnome pelo openbox. Mas essa mesma configuração no ubuntu, já fiz e era bug todo dia, quase fui para o slack.

    Bom retirando esta parte! O que vocês tem a me dizer sobre esses vendidos do OpenBSD, quanto a polêmica do ipsec, no linux mantém-se a backdoor, será… A notícia é esta:

    Como a implementação do IPSEC do OpenBSD foi uma das primeiras a estar livremente disponível, grandes trechos de seu código podem estar presentes em outros projetos, o que faz a relevância dessa notícia alcançar um público bem mais amplo do que os desenvolvedores e usuários do OpenBSD.
    IPSEC é um método de criptografia e autenticação aplicado diretamente aos pacotes IP, e a implementação do OpenBSD tem sido considerada estável e robusta – inclusive por ser recomendada pelo próprio FBI para uso em VPNs e firewalls…
    O resumo da novidade é o seguinte: um desenvolvedor cujo NDA (acordo de sigilo) de 10 anos com o FBI recentemente expirou mandou um e-mail para o fundador do OpenBSD informando ter conhecimento de que, durante o início do desenvolvimento do IPSEC do OpenBSD, um conjunto de outros desenvolvedores (cujo líder foi identificado na mensagem) foi pago pelo FBI para incluir backdoors na implementação.
    Quando se trata de criptografia, backdoors não necessariamente são do tipo encontrado em serviços de conectividade – pode ser um enfraquecimento intencional dos algoritmos empregados, oferecendo a quem tenha conhecimento deste fato um atalho (por exemplo, na temporização, no conteúdo dos paddings, etc.) para facilitar identificar as chaves ou simplesmente decifrar as mensagens. Colocá-los e encontrá-los pode exigir um nível de conhecimento matemático cujo suprimento é relativamente escasso, razão pela qual é possível imaginar que um backdoor de 10 anos ainda possa estar presente em algumas implementações e ninguém notou.
    A mensagem sugere ainda que ter encontrado este backdoor foi o verdadeiro motivo pelo qual o Departamento de Defesa dos EUA cancelou seu apoio financeiro ao OpenBSD em 2003.
    A mensagem chegou em particular ao fundador do OpenBSD, mas ele decidiu torná-la pública para que todos os interessados possam tomar as ações apropriadas (incluindo a auditoria de códigos, naturalmente), e que os acusados possam apresentar suas defesas.
    Trecho da cobertura do OSNews e comentário enviado pelo leitor Bremm (bremmΘmailinator·com):
    “Traduzindo o trecho inicial da notícia do OSNews: “Bem, estas são potencialmente grandes novidades que realmente necessitam toda exposição possível. Theo de Raadt (do OpenBSD) recebeu um e-mail cujo conteúdo revelou a ele que há dez anos o FBI pagou diversos desenvolvedores de software de código aberto para implementar diversos backdoors ocultos na pilha IPSEC do OpenBSD. De Raadt decidiu então publicar o e-mail para todos o verem, de forma que a questão do código possa ser revisada.”
    Depois de Julian Assange, parece que muita gente resolveu colocar “a boca no trombone” e expor todas as falcatruas dos governos que se auto-intitulam “respeitadores da liberdade” e “democráticos”.” [referência: osnews.com]

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.