Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 92 reacties
Bron: Linuxreviews, submitter: K.C.

LinuxIn de kernel van het open-sourcebesturingssysteem Linux blijkt een fout te zitten die het toelaat om het systeem te crashen door middel van een eenvoudig programma. Met behulp van twintig regels C-code kunnen zowel de 2.4- als 2.6-kernels onderuit gehaald worden. Op Linuxreviews.org wordt uitgelegd hoe voorkomen kan worden dat de code het systeem laat crashen, al zal het programma wel 99 procent van de processortijd in beslag blijven nemen tot het afgebroken wordt. Volgens Linus Torvalds zouden de meest recente updates die verwerkt zijn in kernelversie 2.6.7 een oplossing voor het probleem bieden.

Moderatie-faq Wijzig weergave

Reacties (92)

Vervang Linux door Windows
(In de kernel van het closedsource-besturingssysteem Windows blijkt een fout te zitten die het toelaat om het systeem te crashen door middel van een eenvoudig programma. Met behulp van twintig regels C-code kunnen zowel de 2.4- als 2.6-kernels onderuit gehaald worden)

En je krijgt posts als wat een doffe ellende het allemaal wel niet is bij MS, stelletje bij elkaar geraapte prutsers etc etc.

Maar nu zie je "
het zou me ook niet verbazen dat dit door een kernel programmeur zelf aan 't licht is gebracht doordat ie zat te zoeken op fouten
"

Als 't maar een Linux vatiant is of OpenSource dan kan er niets fout gedaan worden.... :r

Alsof alle fouten in Windows door kwaadwillende personen worden gevonden... |:(
Reden dat zoveel mensen op die manier reageren, is het gevolg van het monopolistische gedrag van Microsoft de afgelopen jaren, wat behoorlijk wat mensen in het verkeerde keelgat geschoten is.
En als je eenmaal zo negatief ergens over denkt is het moeilijk om nog objectief te reageren.
natuurlijk zitten er alleen maar kwaadwillende personen :+
alleen betatesters, zoals ik, zijn gewoon aardig, de rest is gewoon kwaadwillende prutsers......

even serieus, natuurlijk kan het gebeuren dat er een bug zit in een linux of windows versie, dat is niet erg.

maar voor windows moet je gewoon betalen, dus mag je verwachten dat dat bijna foutloos is, en zo dat het ten alle tijde ernstige schade voorkomt.

terwijl linux door vrijwillegers is gemaakt, en dan kan je tenminste zeggen, ach die mensen stoppen hun tijd er ook in, dat is goed, en dat ze dan af en toe een foutje maken
terwijl linux door vrijwillegers is gemaakt, en dan kan je tenminste zeggen, ach die mensen stoppen hun tijd er ook in, dat is goed, en dat ze dan af en toe een foutje maken
Bijna alle kernel development wordt gedaan door prof. developers in dienst bij distro-boeren als RedHat en Suse (novell). Dat vrijwilligerswerk is allang verleden tijd.
Bijna alle kernel development wordt gedaan door prof. developers in dienst bij distro-boeren als RedHat en Suse (novell). Dat vrijwilligerswerk is allang verleden tijd.
Dat zijn er maar een paar.. De mensen zijn vaak wel in loondienst bij een andere organisatie zoals Marcello Tossati . Die krijgt van de baas gewoon tijd om bezig te zijn met de linux kernel
En je krijgt posts als wat een doffe ellende het allemaal wel niet is bij MS, stelletje bij elkaar geraapte prutsers etc etc.
ik denk eigenlijk niet dat het zo zou lopen.
om dit programa te kunnen draaien heb je namelijk al toegang nodig tot de machine.
zowel bij windows als bij linux ben je niet zomaar binnen. maar het is vrij zeker dat je bij windows, zeker zonder firewall, makelijker inbreekt als bij linux, al was het maar omdat elke windowse installatie bijna identiek is aan elke andere.

edit : in windows zal zo'n stukje code waarschijnlijk ook best werken met wat kleine aanpassingen.
koppel dat aan een activeX applicatie van op een website, of maak er een attachment versturen virus/worm van en de minder intelligente/computerwize windows gebruikers hebben weer een probleem.
Ohja, en onder Linux heb je natuurlijk root level rechten nodig om een _floating point_ operatie uit te voeren :Z
Using this exploit to crash Linux systems only requires the (ab)user to have shell access or other means of uploading and running the program (like cgi-bin and FTP access). The program works on any normal user account, root access is not required.
Kijk, cgi-bin staat er gewoon tussen. Dus ook je implicatie dat Windows met dezelfde bug "zwakker" zou staan vanwege ActiveX gaat niet op.

En dan de oplossing: download nieuwe source code van de kernel en compileer die ff. Dat geeft maar weer aan dat Linux toch echt nog steeds niet klaar is voor de desktop. Mensen die Windows Update niet (kunnen) gebruiken kunnen dit namelijk ook niet.

Het wordt toch eigenlijk wel ergens vermoeiend. Linux is beter dan Windows omdat de gebruikers slimmer zijn en er zo weinig van zijn dat virusmakers zich nauwelijks interesseren voor Linux, temeer daar al die gebruikers ook nog eens een net iets andere versie gebruiken. Is dat nu werkelijk wat je wilt zeggen?
Bij de CGI-BIN hebben ze het over "uploading and running the program" dus de gebruiker moet nog steeds op een of andere manier toegang hebben om te uploaden. Geen kans dus dat iemand op afstand mijn systeem zo maar onderuit haalt, tenzij ik die iemand eerst toegang geef.
Wel een probleem voor web hosters en zo natuurlijk. Maar goed, de patch is er al, en je mag aannemen dat een hosting bedrijf wel weet hoe je een patch installeert.
dit is ook niet zo zeer een probleem voor thuisgebruikers, want daar hebben toch meestal geen andere gebruikers toegang tot t systeem. dit is meer een probleem voor bedrijfsjes waarbij er wel onbekende gebruikers toegang tot t systeem moeten hebben, zoals de genoemde shell providers.
ik heb ook es samen met iemand een fout in msn gevonden, waardoor je willekeuige files van de harddisc kon downloaden. ook al ben ik nogal anti-ms, we hebben geen exploit gemaakt maar t netjes aan MS gemeld. t zijn niet alleen maar 3v1l h4x0rz die bugs in windows vinden.

bovendien kwamen er in dit geval meteen al patches uit. dit is mogelijk bij linux omdat je de beschikking hebt over de source code, dus iedereen kan de bug zo opsporen als ie een beetje kan programmeren.

en ik ken meer programma's die windows laten crashen dan die dat bij linux kunnen. bij windows worden er iedere dag van dit soort bugs gevonden, bij linux is t meteen nieuws omdat t niet zo vaak voorkomt.
bovendien kwamen er in dit geval meteen al patches uit. dit is mogelijk bij linux omdat je de beschikking hebt over de source code, dus iedereen kan de bug zo opsporen als ie een beetje kan programmeren.
Ja joh iedereen kan even de kernel aan gaan passen. Tuurlijk geen probleem....
Deze bug is niet zo schadelijk omdat hij niet remote exploitable is.
Er zijn genoeg manieren om een system lokaal te exploiten, daarom geef je ook alleen mensen toegang die je vertrouwd met de toegangs rechten.

De discussie dat Linux ook bugs heeft, netzoals Windows, is zinloos. Elke software heeft bugs, er kan alleen een afwezigheid zijn van gevonden bugs.
Zou leuk zijn als mensen die hier reageren ook de gelinkte artikelen eens zouden lezen... Dan zou men weten lezen dat het onder ieder account werkt, en dus geen root access o.i.d. nodig is.

Best een ernstige bug dus. (Code op root access zou trouwens ook geen crash van het OS mogen veroorzaken. Hooguit een deadlock.)
In dit soort discussies vind ik de vergelijking met windows altijd zo enorm zinloos dat ik er een vieze smaak van in mijn mond krijg, daarom wil ik een aantal dingen verduidelijken, die -wel- de waarheid weerspiegelen.

1) Dit is 1 van de ernstigste bugs in de linux-geschiedenis. Zonder dat je root-rechten hebt zo makkelijk een systeem laten crashen, dat vraagt om snelle actie.

2) Dit is 1 van de heeel weinige ernstige bugs in de linux-geschiedenis. De exploits voor linux zijn op 2 handen te tellen.

3) De exploits voor windows heb je echt veeel meer handen voor nodig om ze te tellen. Windows kent namelijk 10-tallen, zo niet 100-tallen van dit soort exploits. Ook die remote zijn uit te voeren en dus niet, zoals bij deze linux-bug het geval is via SSH of cgi-bin.

4) De snelheid van handelen van de linux-community op deze bug is fenomenaal te noemen. Op het moment van bekendwording van de bug, ligt linux 2.6.7 met de oplossing al te wachten op verschillende servers om gedownload te worden. Ook 2.4.27 zal sneller dan gepland uit gaan komen.

Ik zal er niet omheen draaien. Dit is ernstig, zeer ernstig, maar denk "asjeblief" eventjes na voordat je deze post direct aanpakt om te bewijzen dat linux net zo lek is als windows. Daarmee geef je namelijk 2 dingen toe: Dat windows inderdaad lek is, en dat je veel te snel conclusies maakt over een OS waar je eigenlijk gewoon niets vanaf weet. Linux is niet het beloofde alternatief als het gaat om gebruikersvriendelijkheid. Maar als het gaat om stabiliteit en veiligheid, kom op, wil je daar nog een discussie over? |:(

Affin, tot zover mijn betoogje. ;)
Dit is de zoveelste ernstige bug in Linux / toebehoren in het afgelopen jaar. Nu wordt er misschien snel ingegrepen, met de do_brk hadden mensen niet eens door dat er wat mis was en met de mremap of w/e is hij stilletjes doorgevoerd zonder dat er een nieuwe kernel uit kwam. O, o wat is Linux veel beter dan Windows.

Mijn shellbak gaat over op FreeBSD, hopelijk ASAP, dat wordt wat minder gebruikt, ben ik weet van dat gezeik van iedere 2 maanden een nieuwe kernel moeten compilen af ook.
En in Windows waren het allemaal bugs waar je niet eens een account voor hoefde te hebben op het systeem om ze te exploiten (RPC anyone?). Het verschil tussen remote en local vulnerabilities is best groot.
*hoest*ssh*hoest*

Linux exploits komen minder vaak voor, maar een lek in apache ofzo en je kan een shell account krijgen (je hebt dus geen account nodig; die creeer je), deze 20 regels code erin en je hebt een systeem in een loop... is vast wel een script voor te schrijven die linux systemen afzoekt.

Dat het op MS vaker gebeurt is gewoon omdat het een gewilder platform is om op te zeiken en meer mensen het gebruiken...


edit:
@ mOrPhie vandaar dat ik ofzo zei... niet zo mierenn**ken... was een voorbeeld :+
maar een lek in apache ofzo
Het laatst gevonden veiligheidslek in apache is meer dan een jaar geleden geweest.
Dit is de zoveelste ernstige bug in Linux
Noem ze 'ns dan? Ik kan me in de afgelopen 6 tot 8 maanden geen bug herinneren die een kritisch veiligheidsrisico tot gevolg had. Wat mij betreft is jouw stelling totaal uit de lucht gegrepen.
Ik vind jouw vergelijking een beetje scheef. Linux is alleen een kernel, terwijl windows een boel meer is.

Als je beide kernels gaat bekijken zal het aantal exploits toch aardig gelijk liggen. En wat de rest bij windows betreft, ik heb van CERT genoeg OpenSSH, MIT Kerberos waarschuwingen gekregen hoor.
De laatste remote Bug in OpenSsh met protocol versie twee is een jaar geleden gevonden.

Hetzelfde geld voor Apache.

Sasser is toch nog niet zo lang geleden.....
Ovigens is het leuk dat de mensen die de grsec security in de kernel hebben hier totaal geen last van hebben. Die tackeled de code gewoon en stopt het in de beerput.

m.a.w. Zelfs zonder de fix is het te verkomen
* 786562 KayJay
Quote van http://linuxreviews.org/news/2004-06-11_kernel_crash/ :
Even grsecurity-patched kernels crash. "I would have hoped that grsec would have blocked or logged something, but nothing appeared in the logs." Vincent
dus....
Dus gebruik je bij grsecurity de optie dat gebruikers alleen programma's kunnen runnen die goedgekeurd zijn door root.

Grsecurity is niet alleen een set patches, het is een manier van denken die je je moet aanleren om gebruikers alleen toegang te geven tot dat wat ze nodig hebben. Als ze de server willen laten crashen moeten ze eerst maar bedelen om meer rechten.

Benodigd voor grsecurity:
- een kerneloptie
- untrusted users toevoegen aan een groep

En ja, trusted users kunnen het systeem laten vastlopen. Al mijn trusted users tikken dan gewoon "su -" en het wachtwoord en dan kunnen ze ook een DOS uitvoeren, stuk eenvoudiger...
Pet maar niet te hard, volgens LinuxReviews.org:
Even grsecurity-patched kernels crash. "I would have hoped that grsec would have blocked or logged something, but nothing appeared in the logs." Vincent
Zelfs grsecurity patched kernels kunnen dus op hun bek gaan, maar dit zal wel afhankelijk zijn van de gebruikte security instellingen.
Hm ik heb grsec, maar heb daar niets over gelezen... waar staat dat? :)
Je kan/kon met 1 teken Windows laten crashen. Je opend(e) Word en laat/liet i vervangen door i. Ging iig vroeger helemaal flippen en vloog Windows eruit :)

Heb zelf geen Windows meer dus kan het niet testen.
Dat is niet 'een' teken. Je moet daarvoor als basis programma heel Word opstarten. En vervolgens een recursieve opdracht opstarten

Ik heb het trouwens net even voor je getest. Resultaat: Replaced one of one ocurrences.

Er gaat dus niets mis. Dit was met Word97. Dat is al een jaar of 7 verkrijgbaar. Mogelijk ging dat in de steentijd wel mis
Het ging me om het gemak, dat scriptje heeft volgens mij ook meer nodig. Als je alleen een kernel hebt en dat progje draait dan werk het ook niet ;-)
Je moest ergens ook nog iets inschakelen somewhere. Tis alleen te lang geleden. Uit de tijd dat we nog 30 PC's in de computerruimte lieten vastlopen. (hey, je moet toch wat met 4 tussen-uren)
daar gebruikte ik altijd rundll kernel,disablekernel voor. werkt perfect :p (win9x)
Deze nieuwspost is wel net een beetje te laat :+

Hij was al eens eerder gesubmit maar stond toen bij de nieuwslinks. En net nu er wel een post over is gemaakt (de bug is alv an 11-6) is 2.6.7 een dag uit die deze bug fixed :)
Grappig genoeg compilet de bug ook op FreeBSD, resultaat:
.............................*...............Floating point exception (core dumped)
Dit ter informatie, uiteraard.
Goed dat te weten. Weet iemand of deze "hidden feature" ook "werkt" op de PowerPC? (FreeBSD is immers de onderlaag van Mac OS X...)
Zelfs de crash code is opensource :+

Ik zie het probleem niet zo. In principe kun je elk systeem wel laten crashen, als je maar iets uitvoert. Windows zal heus niet crashen zolang je niks opstart.

Op zich is het wel netjes natuurlijk dat je foute code probeert op te vangen door een kernel van een OS. Daar kunnen veel andere OS-en wel wat van leren ;)
Windows zal heus niet crashen zolang je niks opstart.
Natuurlijk crasht windows niet als je windows niet op start. Een vliegtuig verbruikt ook geen kerozine als hij niet aan staat, maar kan nog wel crashen.
" maar kan nog wel crashen."

Ik zie de berichten al, 12 toestellen gecrashed terwijl ze in de hangaar stonden...
Zet je vliegtuig eens uit in de lucht dan, als je hem niet als de wiedeweerga weer aan zet crash je ook
Het is gewoon erg simpel. Omdat Linux steeds meer wint aan populariteit zal men ook steeds meer erop gaan hacken en zullen steeds meer fouten ontdekt worden. Een geheel foutloos systeem bouwen is denk ik niet mogelijk omdat er altijd wel weer iemand is die een bug ontdekt die het mogelijk maakt iets te doen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True