In de kernel van het open-sourcebesturingssysteem Linux blijkt een fout te zitten die het toelaat om het systeem te crashen door middel van een eenvoudig programma. Met behulp van twintig regels C-code kunnen zowel de 2.4- als 2.6-kernels onderuit gehaald worden. Op Linuxreviews.org wordt uitgelegd hoe voorkomen kan worden dat de code het systeem laat crashen, al zal het programma wel 99 procent van de processortijd in beslag blijven nemen tot het afgebroken wordt. Volgens Linus Torvalds zouden de meest recente updates die verwerkt zijn in kernelversie 2.6.7 een oplossing voor het probleem bieden.
Floating point-bug laat Linux eenvoudig crashen
Reacties (92)
Vervang Linux door Windows
(In de kernel van het closedsource-besturingssysteem Windows blijkt een fout te zitten die het toelaat om het systeem te crashen door middel van een eenvoudig programma. Met behulp van twintig regels C-code kunnen zowel de 2.4- als 2.6-kernels onderuit gehaald worden)
En je krijgt posts als wat een doffe ellende het allemaal wel niet is bij MS, stelletje bij elkaar geraapte prutsers etc etc.
Maar nu zie je "
Als 't maar een Linux vatiant is of OpenSource dan kan er niets fout gedaan worden....
Alsof alle fouten in Windows door kwaadwillende personen worden gevonden...
(In de kernel van het closedsource-besturingssysteem Windows blijkt een fout te zitten die het toelaat om het systeem te crashen door middel van een eenvoudig programma. Met behulp van twintig regels C-code kunnen zowel de 2.4- als 2.6-kernels onderuit gehaald worden)
En je krijgt posts als wat een doffe ellende het allemaal wel niet is bij MS, stelletje bij elkaar geraapte prutsers etc etc.
Maar nu zie je "
"het zou me ook niet verbazen dat dit door een kernel programmeur zelf aan 't licht is gebracht doordat ie zat te zoeken op fouten
Als 't maar een Linux vatiant is of OpenSource dan kan er niets fout gedaan worden....
Alsof alle fouten in Windows door kwaadwillende personen worden gevonden...
Reden dat zoveel mensen op die manier reageren, is het gevolg van het monopolistische gedrag van Microsoft de afgelopen jaren, wat behoorlijk wat mensen in het verkeerde keelgat geschoten is.
En als je eenmaal zo negatief ergens over denkt is het moeilijk om nog objectief te reageren.
En als je eenmaal zo negatief ergens over denkt is het moeilijk om nog objectief te reageren.
natuurlijk zitten er alleen maar kwaadwillende personen 
alleen betatesters, zoals ik, zijn gewoon aardig, de rest is gewoon kwaadwillende prutsers......
even serieus, natuurlijk kan het gebeuren dat er een bug zit in een linux of windows versie, dat is niet erg.
maar voor windows moet je gewoon betalen, dus mag je verwachten dat dat bijna foutloos is, en zo dat het ten alle tijde ernstige schade voorkomt.
terwijl linux door vrijwillegers is gemaakt, en dan kan je tenminste zeggen, ach die mensen stoppen hun tijd er ook in, dat is goed, en dat ze dan af en toe een foutje maken
alleen betatesters, zoals ik, zijn gewoon aardig, de rest is gewoon kwaadwillende prutsers......
even serieus, natuurlijk kan het gebeuren dat er een bug zit in een linux of windows versie, dat is niet erg.
maar voor windows moet je gewoon betalen, dus mag je verwachten dat dat bijna foutloos is, en zo dat het ten alle tijde ernstige schade voorkomt.
terwijl linux door vrijwillegers is gemaakt, en dan kan je tenminste zeggen, ach die mensen stoppen hun tijd er ook in, dat is goed, en dat ze dan af en toe een foutje maken
SoftwareBijna alle kernel development wordt gedaan door prof. developers in dienst bij distro-boeren als RedHat en Suse (novell). Dat vrijwilligerswerk is allang verleden tijd.terwijl linux door vrijwillegers is gemaakt, en dan kan je tenminste zeggen, ach die mensen stoppen hun tijd er ook in, dat is goed, en dat ze dan af en toe een foutje maken
Dat zijn er maar een paar.. De mensen zijn vaak wel in loondienst bij een andere organisatie zoals Marcello Tossati . Die krijgt van de baas gewoon tijd om bezig te zijn met de linux kernelBijna alle kernel development wordt gedaan door prof. developers in dienst bij distro-boeren als RedHat en Suse (novell). Dat vrijwilligerswerk is allang verleden tijd.
ik denk eigenlijk niet dat het zo zou lopen.En je krijgt posts als wat een doffe ellende het allemaal wel niet is bij MS, stelletje bij elkaar geraapte prutsers etc etc.
om dit programa te kunnen draaien heb je namelijk al toegang nodig tot de machine.
zowel bij windows als bij linux ben je niet zomaar binnen. maar het is vrij zeker dat je bij windows, zeker zonder firewall, makelijker inbreekt als bij linux, al was het maar omdat elke windowse installatie bijna identiek is aan elke andere.
edit : in windows zal zo'n stukje code waarschijnlijk ook best werken met wat kleine aanpassingen.
koppel dat aan een activeX applicatie van op een website, of maak er een attachment versturen virus/worm van en de minder intelligente/computerwize windows gebruikers hebben weer een probleem.
Ohja, en onder Linux heb je natuurlijk root level rechten nodig om een _floating point_ operatie uit te voeren 
En dan de oplossing: download nieuwe source code van de kernel en compileer die ff. Dat geeft maar weer aan dat Linux toch echt nog steeds niet klaar is voor de desktop. Mensen die Windows Update niet (kunnen) gebruiken kunnen dit namelijk ook niet.
Het wordt toch eigenlijk wel ergens vermoeiend. Linux is beter dan Windows omdat de gebruikers slimmer zijn en er zo weinig van zijn dat virusmakers zich nauwelijks interesseren voor Linux, temeer daar al die gebruikers ook nog eens een net iets andere versie gebruiken. Is dat nu werkelijk wat je wilt zeggen?
Kijk, cgi-bin staat er gewoon tussen. Dus ook je implicatie dat Windows met dezelfde bug "zwakker" zou staan vanwege ActiveX gaat niet op.Using this exploit to crash Linux systems only requires the (ab)user to have shell access or other means of uploading and running the program (like cgi-bin and FTP access). The program works on any normal user account, root access is not required.
En dan de oplossing: download nieuwe source code van de kernel en compileer die ff. Dat geeft maar weer aan dat Linux toch echt nog steeds niet klaar is voor de desktop. Mensen die Windows Update niet (kunnen) gebruiken kunnen dit namelijk ook niet.
Het wordt toch eigenlijk wel ergens vermoeiend. Linux is beter dan Windows omdat de gebruikers slimmer zijn en er zo weinig van zijn dat virusmakers zich nauwelijks interesseren voor Linux, temeer daar al die gebruikers ook nog eens een net iets andere versie gebruiken. Is dat nu werkelijk wat je wilt zeggen?
Bij de CGI-BIN hebben ze het over "uploading and running the program" dus de gebruiker moet nog steeds op een of andere manier toegang hebben om te uploaden. Geen kans dus dat iemand op afstand mijn systeem zo maar onderuit haalt, tenzij ik die iemand eerst toegang geef.
Wel een probleem voor web hosters en zo natuurlijk. Maar goed, de patch is er al, en je mag aannemen dat een hosting bedrijf wel weet hoe je een patch installeert.
Wel een probleem voor web hosters en zo natuurlijk. Maar goed, de patch is er al, en je mag aannemen dat een hosting bedrijf wel weet hoe je een patch installeert.
dit is ook niet zo zeer een probleem voor thuisgebruikers, want daar hebben toch meestal geen andere gebruikers toegang tot t systeem. dit is meer een probleem voor bedrijfsjes waarbij er wel onbekende gebruikers toegang tot t systeem moeten hebben, zoals de genoemde shell providers.
ik heb ook es samen met iemand een fout in msn gevonden, waardoor je willekeuige files van de harddisc kon downloaden. ook al ben ik nogal anti-ms, we hebben geen exploit gemaakt maar t netjes aan MS gemeld. t zijn niet alleen maar 3v1l h4x0rz die bugs in windows vinden.
bovendien kwamen er in dit geval meteen al patches uit. dit is mogelijk bij linux omdat je de beschikking hebt over de source code, dus iedereen kan de bug zo opsporen als ie een beetje kan programmeren.
en ik ken meer programma's die windows laten crashen dan die dat bij linux kunnen. bij windows worden er iedere dag van dit soort bugs gevonden, bij linux is t meteen nieuws omdat t niet zo vaak voorkomt.
bovendien kwamen er in dit geval meteen al patches uit. dit is mogelijk bij linux omdat je de beschikking hebt over de source code, dus iedereen kan de bug zo opsporen als ie een beetje kan programmeren.
en ik ken meer programma's die windows laten crashen dan die dat bij linux kunnen. bij windows worden er iedere dag van dit soort bugs gevonden, bij linux is t meteen nieuws omdat t niet zo vaak voorkomt.
Ja joh iedereen kan even de kernel aan gaan passen. Tuurlijk geen probleem....bovendien kwamen er in dit geval meteen al patches uit. dit is mogelijk bij linux omdat je de beschikking hebt over de source code, dus iedereen kan de bug zo opsporen als ie een beetje kan programmeren.
Deze bug is niet zo schadelijk omdat hij niet remote exploitable is.
Er zijn genoeg manieren om een system lokaal te exploiten, daarom geef je ook alleen mensen toegang die je vertrouwd met de toegangs rechten.
De discussie dat Linux ook bugs heeft, netzoals Windows, is zinloos. Elke software heeft bugs, er kan alleen een afwezigheid zijn van gevonden bugs.
Er zijn genoeg manieren om een system lokaal te exploiten, daarom geef je ook alleen mensen toegang die je vertrouwd met de toegangs rechten.
De discussie dat Linux ook bugs heeft, netzoals Windows, is zinloos. Elke software heeft bugs, er kan alleen een afwezigheid zijn van gevonden bugs.
Zou leuk zijn als mensen die hier reageren ook de gelinkte artikelen eens zouden lezen... Dan zou men weten lezen dat het onder ieder account werkt, en dus geen root access o.i.d. nodig is.
Best een ernstige bug dus. (Code op root access zou trouwens ook geen crash van het OS mogen veroorzaken. Hooguit een deadlock.)
Best een ernstige bug dus. (Code op root access zou trouwens ook geen crash van het OS mogen veroorzaken. Hooguit een deadlock.)
In dit soort discussies vind ik de vergelijking met windows altijd zo enorm zinloos dat ik er een vieze smaak van in mijn mond krijg, daarom wil ik een aantal dingen verduidelijken, die -wel- de waarheid weerspiegelen.
1) Dit is 1 van de ernstigste bugs in de linux-geschiedenis. Zonder dat je root-rechten hebt zo makkelijk een systeem laten crashen, dat vraagt om snelle actie.
2) Dit is 1 van de heeel weinige ernstige bugs in de linux-geschiedenis. De exploits voor linux zijn op 2 handen te tellen.
3) De exploits voor windows heb je echt veeel meer handen voor nodig om ze te tellen. Windows kent namelijk 10-tallen, zo niet 100-tallen van dit soort exploits. Ook die remote zijn uit te voeren en dus niet, zoals bij deze linux-bug het geval is via SSH of cgi-bin.
4) De snelheid van handelen van de linux-community op deze bug is fenomenaal te noemen. Op het moment van bekendwording van de bug, ligt linux 2.6.7 met de oplossing al te wachten op verschillende servers om gedownload te worden. Ook 2.4.27 zal sneller dan gepland uit gaan komen.
Ik zal er niet omheen draaien. Dit is ernstig, zeer ernstig, maar denk "asjeblief" eventjes na voordat je deze post direct aanpakt om te bewijzen dat linux net zo lek is als windows. Daarmee geef je namelijk 2 dingen toe: Dat windows inderdaad lek is, en dat je veel te snel conclusies maakt over een OS waar je eigenlijk gewoon niets vanaf weet. Linux is niet het beloofde alternatief als het gaat om gebruikersvriendelijkheid. Maar als het gaat om stabiliteit en veiligheid, kom op, wil je daar nog een discussie over?
Affin, tot zover mijn betoogje.
1) Dit is 1 van de ernstigste bugs in de linux-geschiedenis. Zonder dat je root-rechten hebt zo makkelijk een systeem laten crashen, dat vraagt om snelle actie.
2) Dit is 1 van de heeel weinige ernstige bugs in de linux-geschiedenis. De exploits voor linux zijn op 2 handen te tellen.
3) De exploits voor windows heb je echt veeel meer handen voor nodig om ze te tellen. Windows kent namelijk 10-tallen, zo niet 100-tallen van dit soort exploits. Ook die remote zijn uit te voeren en dus niet, zoals bij deze linux-bug het geval is via SSH of cgi-bin.
4) De snelheid van handelen van de linux-community op deze bug is fenomenaal te noemen. Op het moment van bekendwording van de bug, ligt linux 2.6.7 met de oplossing al te wachten op verschillende servers om gedownload te worden. Ook 2.4.27 zal sneller dan gepland uit gaan komen.
Ik zal er niet omheen draaien. Dit is ernstig, zeer ernstig, maar denk "asjeblief" eventjes na voordat je deze post direct aanpakt om te bewijzen dat linux net zo lek is als windows. Daarmee geef je namelijk 2 dingen toe: Dat windows inderdaad lek is, en dat je veel te snel conclusies maakt over een OS waar je eigenlijk gewoon niets vanaf weet. Linux is niet het beloofde alternatief als het gaat om gebruikersvriendelijkheid. Maar als het gaat om stabiliteit en veiligheid, kom op, wil je daar nog een discussie over?
Affin, tot zover mijn betoogje.
Dit is de zoveelste ernstige bug in Linux / toebehoren in het afgelopen jaar. Nu wordt er misschien snel ingegrepen, met de do_brk hadden mensen niet eens door dat er wat mis was en met de mremap of w/e is hij stilletjes doorgevoerd zonder dat er een nieuwe kernel uit kwam. O, o wat is Linux veel beter dan Windows.
Mijn shellbak gaat over op FreeBSD, hopelijk ASAP, dat wordt wat minder gebruikt, ben ik weet van dat gezeik van iedere 2 maanden een nieuwe kernel moeten compilen af ook.
Mijn shellbak gaat over op FreeBSD, hopelijk ASAP, dat wordt wat minder gebruikt, ben ik weet van dat gezeik van iedere 2 maanden een nieuwe kernel moeten compilen af ook.
En in Windows waren het allemaal bugs waar je niet eens een account voor hoefde te hebben op het systeem om ze te exploiten (RPC anyone?). Het verschil tussen remote en local vulnerabilities is best groot.
*hoest*ssh*hoest*
Linux exploits komen minder vaak voor, maar een lek in apache ofzo en je kan een shell account krijgen (je hebt dus geen account nodig; die creeer je), deze 20 regels code erin en je hebt een systeem in een loop... is vast wel een script voor te schrijven die linux systemen afzoekt.
Dat het op MS vaker gebeurt is gewoon omdat het een gewilder platform is om op te zeiken en meer mensen het gebruiken...
Linux exploits komen minder vaak voor, maar een lek in apache ofzo en je kan een shell account krijgen (je hebt dus geen account nodig; die creeer je), deze 20 regels code erin en je hebt een systeem in een loop... is vast wel een script voor te schrijven die linux systemen afzoekt.
Dat het op MS vaker gebeurt is gewoon omdat het een gewilder platform is om op te zeiken en meer mensen het gebruiken...
edit:
@ mOrPhie vandaar dat ik ofzo zei... niet zo mierenn**ken... was een voorbeeld
@ mOrPhie vandaar dat ik ofzo zei... niet zo mierenn**ken... was een voorbeeld
Het laatst gevonden veiligheidslek in apache is meer dan een jaar geleden geweest.maar een lek in apache ofzo
Noem ze 'ns dan? Ik kan me in de afgelopen 6 tot 8 maanden geen bug herinneren die een kritisch veiligheidsrisico tot gevolg had. Wat mij betreft is jouw stelling totaal uit de lucht gegrepen.Dit is de zoveelste ernstige bug in Linux
Ik vind jouw vergelijking een beetje scheef. Linux is alleen een kernel, terwijl windows een boel meer is.
Als je beide kernels gaat bekijken zal het aantal exploits toch aardig gelijk liggen. En wat de rest bij windows betreft, ik heb van CERT genoeg OpenSSH, MIT Kerberos waarschuwingen gekregen hoor.
Als je beide kernels gaat bekijken zal het aantal exploits toch aardig gelijk liggen. En wat de rest bij windows betreft, ik heb van CERT genoeg OpenSSH, MIT Kerberos waarschuwingen gekregen hoor.
De laatste remote Bug in OpenSsh met protocol versie twee is een jaar geleden gevonden.
Hetzelfde geld voor Apache.
Sasser is toch nog niet zo lang geleden.....
Hetzelfde geld voor Apache.
Sasser is toch nog niet zo lang geleden.....
Ovigens is het leuk dat de mensen die de grsec security in de kernel hebben hier totaal geen last van hebben. Die tackeled de code gewoon en stopt het in de beerput.
m.a.w. Zelfs zonder de fix is het te verkomen
* 786562 KayJay
m.a.w. Zelfs zonder de fix is het te verkomen
* 786562 KayJay
Quote van http://linuxreviews.org/news/2004-06-11_kernel_crash/ :
dus....Even grsecurity-patched kernels crash. "I would have hoped that grsec would have blocked or logged something, but nothing appeared in the logs." Vincent
Dus gebruik je bij grsecurity de optie dat gebruikers alleen programma's kunnen runnen die goedgekeurd zijn door root.
Grsecurity is niet alleen een set patches, het is een manier van denken die je je moet aanleren om gebruikers alleen toegang te geven tot dat wat ze nodig hebben. Als ze de server willen laten crashen moeten ze eerst maar bedelen om meer rechten.
Benodigd voor grsecurity:
- een kerneloptie
- untrusted users toevoegen aan een groep
En ja, trusted users kunnen het systeem laten vastlopen. Al mijn trusted users tikken dan gewoon "su -" en het wachtwoord en dan kunnen ze ook een DOS uitvoeren, stuk eenvoudiger...
Grsecurity is niet alleen een set patches, het is een manier van denken die je je moet aanleren om gebruikers alleen toegang te geven tot dat wat ze nodig hebben. Als ze de server willen laten crashen moeten ze eerst maar bedelen om meer rechten.
Benodigd voor grsecurity:
- een kerneloptie
- untrusted users toevoegen aan een groep
En ja, trusted users kunnen het systeem laten vastlopen. Al mijn trusted users tikken dan gewoon "su -" en het wachtwoord en dan kunnen ze ook een DOS uitvoeren, stuk eenvoudiger...
Pet maar niet te hard, volgens LinuxReviews.org:
Zelfs grsecurity patched kernels kunnen dus op hun bek gaan, maar dit zal wel afhankelijk zijn van de gebruikte security instellingen.Even grsecurity-patched kernels crash. "I would have hoped that grsec would have blocked or logged something, but nothing appeared in the logs." Vincent
Hm ik heb grsec, maar heb daar niets over gelezen... waar staat dat? 
Je kan/kon met 1 teken Windows laten crashen. Je opend(e) Word en laat/liet i vervangen door i. Ging iig vroeger helemaal flippen en vloog Windows eruit
Heb zelf geen Windows meer dus kan het niet testen.
Heb zelf geen Windows meer dus kan het niet testen.
Dat is niet 'een' teken. Je moet daarvoor als basis programma heel Word opstarten. En vervolgens een recursieve opdracht opstarten
Ik heb het trouwens net even voor je getest. Resultaat: Replaced one of one ocurrences.
Er gaat dus niets mis. Dit was met Word97. Dat is al een jaar of 7 verkrijgbaar. Mogelijk ging dat in de steentijd wel mis
Ik heb het trouwens net even voor je getest. Resultaat: Replaced one of one ocurrences.
Er gaat dus niets mis. Dit was met Word97. Dat is al een jaar of 7 verkrijgbaar. Mogelijk ging dat in de steentijd wel mis
Het ging me om het gemak, dat scriptje heeft volgens mij ook meer nodig. Als je alleen een kernel hebt en dat progje draait dan werk het ook niet ;-)
Je moest ergens ook nog iets inschakelen somewhere. Tis alleen te lang geleden. Uit de tijd dat we nog 30 PC's in de computerruimte lieten vastlopen. (hey, je moet toch wat met 4 tussen-uren)
Je moest ergens ook nog iets inschakelen somewhere. Tis alleen te lang geleden. Uit de tijd dat we nog 30 PC's in de computerruimte lieten vastlopen. (hey, je moet toch wat met 4 tussen-uren)
daar gebruikte ik altijd rundll kernel,disablekernel voor. werkt perfect 
(win9x)
(win9x)
Deze nieuwspost is wel net een beetje te laat
Hij was al eens eerder gesubmit maar stond toen bij de nieuwslinks. En net nu er wel een post over is gemaakt (de bug is alv an 11-6) is 2.6.7 een dag uit die deze bug fixed
Hij was al eens eerder gesubmit maar stond toen bij de nieuwslinks. En net nu er wel een post over is gemaakt (de bug is alv an 11-6) is 2.6.7 een dag uit die deze bug fixed
Grappig genoeg compilet de bug ook op FreeBSD, resultaat:
Dit ter informatie, uiteraard..............................*...............Floating point exception (core dumped)
Goed dat te weten. Weet iemand of deze "hidden feature" ook "werkt" op de PowerPC? (FreeBSD is immers de onderlaag van Mac OS X...)
Zelfs de crash code is opensource
Ik zie het probleem niet zo. In principe kun je elk systeem wel laten crashen, als je maar iets uitvoert. Windows zal heus niet crashen zolang je niks opstart.
Op zich is het wel netjes natuurlijk dat je foute code probeert op te vangen door een kernel van een OS. Daar kunnen veel andere OS-en wel wat van leren
Ik zie het probleem niet zo. In principe kun je elk systeem wel laten crashen, als je maar iets uitvoert. Windows zal heus niet crashen zolang je niks opstart.
Op zich is het wel netjes natuurlijk dat je foute code probeert op te vangen door een kernel van een OS. Daar kunnen veel andere OS-en wel wat van leren
Natuurlijk crasht windows niet als je windows niet op start. Een vliegtuig verbruikt ook geen kerozine als hij niet aan staat, maar kan nog wel crashen.Windows zal heus niet crashen zolang je niks opstart.
" maar kan nog wel crashen."
Ik zie de berichten al, 12 toestellen gecrashed terwijl ze in de hangaar stonden...
Ik zie de berichten al, 12 toestellen gecrashed terwijl ze in de hangaar stonden...
Zet je vliegtuig eens uit in de lucht dan, als je hem niet als de wiedeweerga weer aan zet crash je ook
Het is gewoon erg simpel. Omdat Linux steeds meer wint aan populariteit zal men ook steeds meer erop gaan hacken en zullen steeds meer fouten ontdekt worden. Een geheel foutloos systeem bouwen is denk ik niet mogelijk omdat er altijd wel weer iemand is die een bug ontdekt die het mogelijk maakt iets te doen.
Op dit item kan niet meer gereageerd worden.