C'è un bug nel cuore di Linux

UPDATE - Un ricercatore ha pubblicato un exploit che dimostra tutta la pericolosità di una debolezza contenuta in alcune versioni del kernel. Un problema complicato, con una semplice soluzione

UPDATE in calce – Roma – Un ricercatore di sicurezza ha pubblicato l’exploit di una vulnerabilità del kernel Linux che, a suo dire, è in grado di bypassare le protezioni di Linux e garantire ad un aggressore i massimi privilegi di sistema (root). La debolezza si trova nell’interfaccia TUN , utilizzata per la creazione di periferiche di rete virtuali punto-a-punto.

Brad Spengler, noto sviluppatore che lavora al progetto Grsecurity , afferma che la vulnerabilità da lui scoperta è contenuta nelle versioni 2.6.30 e 2.6.18 del kernel Linux: quest’ultima versione, in particolare, è utilizzata in Red Hat Enteprise Linux 5, il più diffuso sistema operativo Linux-based di classe enterprise.

Avvalendosi di una tecnica già teorizzata da Julien Tinnes e Tavis Ormandy, e dimostrata lo scorso anno da Mark Dowd con un bug di Adobe Flash, Spengler ha scritto un exploit capace di approfittare delle deferenziazioni ai puntatori nulli per bypassare tutte le più comuni estensioni di sicurezza per Linux: SELinux , AppArmor e Linux Security Module .

La vulnerabilità scoperta da Spengler è causata da una funzione di ottimizzazione del compilatore GCC , la quale elimina il controllo ai puntatori nulli se la variabile è già stata assegnata. Una spiegazione più tecnica è fornita in questo articolo di The H Security .

La soluzione al problema, secondo gli esperti di sicurezza, è semplice: basta che il valore della variabile sia controllato prima che il puntatore venga assegnato.

Per le future release del kernel Linux verrà utilizzato il parametro di compilazione fno-delete-null-pointer-checks che impedisce al compilatore di eliminare automaticamente i controlli per i puntatori nulli. Una soluzione già applicata al recente kernel 2.6.30.2, che in questo modo dovrebbe risultare immune al problema scovato da Spengler.

Update – A quanto pare, nonostante i primi timori Red Hat Enterprise Linux 5 non è stata toccata dal bug in questione. Ecco infatti la spiegazione ufficiale fornita a Punto Informatico dall’azienda:

La vulnerabilità in questione, introdotta upstream con il git commit ’33dccbb0′, interessa unicamente i kernel dalla versione 2.6.30-rc1 alla 2.6.31-rc3. La stessa è stata risolta upstream con il git commit ‘3c8a9c63’. La versione del kernel incriminata relativamente al prodotto Red Hat Enterprise Linux è unicamente una versione di testing introdotta in Red Hat Enterprise Linux 5.4 BETA, come si può evincere dai commenti dei Linux Kernel developer Herbert Xu e Don Zickus all’interno del relativo bug report pubblicato all’interno della nostra instanza ufficiale e pubblica di bugzilla, #495863 .

Red Hat Enterprise Linux 5 (il cui ultimo “minor update” stabile risulta essere il 5.3) non risulta essere afflitta da questa vulnerabilità. Tale update non è infatti mai stato rilasciato ai nostri Clienti RHEL5 via RHN (Red Hat Network).

Pertanto gli utenti Red Hat, a meno di non aver scaricato e installato versioni beta del software dovrebbero poter dormire sonni tranquilli.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • ZiK scrive:
    Potete provare anche senza occhiali!
    Con gli occhiali e' meglio, ma nel caso modulo R/L potete provare anche senza con questo trucco:http://www.unisux.org/3d/ (basta incrociare occhi)
  • angros scrive:
    Non l' avevano già fatto?
    Era uscito Google Chrome 3d, in cui le scritte apparivano tridimensionali se guardate con appositi occhialini (che potevi farti in casa, stampandoli su foglio trasparente e ritagliandoli).Lo stesso giorno, Youtube aveva annunciato di aver migliorato la qualità dei propri filmati grazie ad una funzione di swap (in pratica, si vedevano capovolti e ti suggerivano di girare il monitor)Era il 1 aprile...
  • davide73 scrive:
    Sono persone non "googler"...
    ...un pizzico di rispetto non guasta mai...
  • loris batacchi scrive:
    ma come faccio a caricare un video 3d?
    si ok, ma se voglio caricare un video 3d in che formato devo farlo? Visto che YT ha varie opzioni forse devo caricare il video con i 2 video separati e poi lui pensa a combinarli per gli occhialini?
  • Manlio Sgalambro scrive:
    scusate l'ignoranza ...
    ma dove devo aggiongere yt3d:enable=true e come. Un esempino?Grazie
    • wild scrive:
      Re: scusate l'ignoranza ...
      "Tale funzione non potrà essere applicata ai filmati già presenti sul portale"..."Nel caso in cui si carichino video 3D con modulo differente (L/R) sarà necessario aggiungere un ulteriore tag, yt3d:swap=true."
  • Giuseppe Rossi scrive:
    Non è un anaglifo
    L'anaglifo è fatto da due immagini mixate, da vedersi con i due canali blu e rosso che fornisco l'effetto profondità rimandando agli occhi le due immagini che coesistono nello stesso spazio, questo va guardato non con gli occhialini per anaglifo ma occhiali appositi, dato che sono le due immagini non mixate ma proposte separatamente.Qeusti occhiali, sono molto meno diffusi, quindi ci faremo la birra con questa opzione, una cosa veramente per pochi.Reali anaglifihttp://www.colorstereo.com/anaglyph.gal/ana_gal1.html
  • AdessoBasta scrive:
    Bello ma "pesante".
    Sono abituato da lungo tempo a vedere questi filmati e foto. Posso consigliare a tutti la visione 'occhi incrociati' che è notevolmente superiore a qualunque visione rosso-blu con occhialini.Serve guardare il monitor da una certa distanza con le mani sinistra e destra davanti ai rispettivi occhi a circa 15-20 cm e che lasciano al centro uno spiraglio di 5-8 cm.L'effetto è molto valido, ma almeno a me, risulta in un discreto mal di testa dopo soli 10 minuti. Esistono degli occhiali con specchi inclinati che facilitano la visione ma non so se sono costosi e comunque se valgono l'acquisto.
    • rockroll scrive:
      Re: Bello ma "pesante".
      - Scritto da: AdessoBasta
      Sono abituato da lungo tempo a vedere questi
      filmati e foto. Posso consigliare a tutti la
      visione 'occhi incrociati' che è notevolmente
      superiore a qualunque visione rosso-blu con
      occhialini.
      Serve guardare il monitor da una certa distanza
      con le mani sinistra e destra davanti ai
      rispettivi occhi a circa 15-20 cm e che lasciano
      al centro uno spiraglio di 5-8
      cm.
      L'effetto è molto valido, ma almeno a me, risulta
      in un discreto mal di testa dopo soli 10 minuti.
      Esistono degli occhiali con specchi inclinati che
      facilitano la visione ma non so se sono costosi e
      comunque se valgono
      l'acquisto.Certo che l'articolista poteva spiegare qualcosa di più sul metodo di visione che tu, uno su mille, hai saputo cogliere. Io ho compiuto qualche esperienza su immagini affiancate riprese da due telecamere o webcam leggermente sfalsate (L/R), ed i miei occhi o meglio il mio sistema di puntamento oculare è ampiamente abituato a cogliere questo tipo di visione senza la minima difficoltà, non solo "incrociando" gli occhi, ma anche divergendoli (come se dovessi "traguardare" un oggetto lontano), e assicuro a tutti che, specialmente nel secondo caso (che tra l'altro) non comporta inversione R/L e conseguentemente nessun "mal di testa"), l'effetto è fantastico, se le immagini L/R sono sapientemente differenziate (e non necessariamente adiacenti), al punto che si ha l'impressione di "toccare con mano" e addirittura di "cascarci dentro". Il trucco sta nella ditanza tra i due quadri L/R, ripeto non necessarimente adiacenti, nella differenziazione angolare dei due quadri, e nelle dimensioni degli stessi in rapporto alla distanza dell'osservatore, che solo se non ha l'occhio esercitato ha bisogno di "aiutini" per canalizzare correttamente il puntamento oculare, in particolare in rapporto alla messa a fuoco delle immagini (che ovviamente non è quella standard su cui il nostro abitudinario cervello è "precablato" dall'esperiamza di una vita).Per gli scettici desiderosi di provare: sfruttate il video riportato nell'articolo, visualizzandolo a schermo pieno e ponendosi ad una distanza all'incirca di tre volte la diagonale, che non deve essere superiore ai 22", altrimenti dovete forzare troppo i vostri preziosi occhietti...quindi "incrociateli" fino a far combaciare un'immagine centrale (disturbata dalle due laterali, comunque shermabili anche con le mani... e d'improvviso vi apparirà l'arcano... (non pretendo che abbiate la fusione per divervenza, anche se l'effetto è migliore ed il quadro risultante appare ingrandito (non scherzo).Attenti a "non caderci dentro..."
      • Valeren scrive:
        Re: Bello ma "pesante".
        Onestamente ho capito poco ma stasera a casa seguo le tue indicazioni - molto chiare! :)Sei riuscito ad incuriosirmi, anche perché se è "semplice" come fai intuire si potrebbero ottenere effetti stupefacenti a costi ragionevolmente limitati.
      • wild scrive:
        Re: Bello ma "pesante".
        Hai provato a cliccarci sopra mentre è in play per guardarlo direttamente su YT?Ti compaiono varie opzioni, tra cui diverse modalità anaglifiche, cross-eyed, parallel...
Chiudi i commenti