Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 72 reacties
Bron: C|Net News.com

Studenten van de Universiteit van Illinois hebben voor het vak 'UNIX Security Holes' 44 bugs ontdekt in een aantal programma's, waarvan verschillende ook standaard met Linux-distributies worden meegeleverd, zo schrijft News.com. De docent van het vak, Daniel Bernstein, is ook bekend van een aantal rechtszaken tegen de Amerikaanse staat waarin hij de regels over de export van encryptietechnieken aan de kaak stelde. Hij eiste van zijn studenten dat zij aan het einde van de cursus op zijn minst 10 fouten per persoon hadden ontdekt, maar met 44 gevonden bugs zijn de 25 studenten daar klaarblijkelijk niet in geslaagd. De lijst met programma's waarin fouten zijn gevonden is hier te vinden.

Bugjacht
Moderatie-faq Wijzig weergave

Reacties (72)

Gaat dit over software van derde partijen? of software die bij Unix geleverd wordt? das nog wel een verschil namelijk.

(het gaat klaarblijkelijk om de volgende apps :)

[TXT] 2fax.txt
[TXT] abc2midi.txt
[TXT] abc2mtex.txt
[TXT] abcm2ps.txt
[TXT] abcpp.txt
[TXT] abctab2ps.txt
[TXT] asp2php.txt
[TXT] bsb2ppm.txt
[TXT] changepassword.txt
[TXT] chbg.txt
[TXT] convex3d.txt
[TXT] csv2xml.txt
[TXT] cups.txt
[TXT] cups2.txt
[TXT] dxfscope.txt
[TXT] elm-bolthole-filter.txt
[TXT] greed.txt
[TXT] html2hdml.txt
[TXT] iglooftp.txt
[TXT] iglooftp2.txt
[TXT] jcabc2ps.txt
[TXT] jpegtoavi.txt
[TXT] junkie.txt
[TXT] linpopup.txt
[TXT] meshviewer.txt
[TXT] mpg123.txt
[TXT] mplayer.txt
[TXT] napshare.txt
[TXT] nasm.txt
[TXT] o3read.txt
[TXT] pcal.txt
[TXT] pgn2web.txt
[TXT] qwik-smtpd.txt
[TXT] ringtonetools.txt
[TXT] rtf2latex2e.txt
[TXT] tnftp.txt
[TXT] uml-utilites.txt
[TXT] unrtf.txt
[TXT] vb2c.txt
[TXT] vilistextum.txt
[TXT] xine-lib.txt
[TXT] xlreader.txt
[TXT] yamt.txt
[TXT] yanf.txt

Als je goed kijkt is onder andere CUPS ook in het lijstje aanwezig, dat zou betekenen dat niet alleen unix maar ook veel linux distro's, osx en andere besturingssystemen die van CUPS gebruik maken dit security probleem hebben.
Studenten van de Universiteit van Illinois hebben voor het vak 'UNIX Security Holes' 44 bugs ontdekt in een aantal programma's, waarvan verschillende ook standaard met Linux-distributies worden meegeleverd, zo schrijft News.com.
Het zijn dus programma's die worden meegeleverd met Unix en Linux. Meeste 3rd party volgens mij... aantal van sourceforge af te plukken.

Wel leuk dat je al die exploits kan 'naspelen'.
Gaat dit over software van derde partijen? of software die bij Unix geleverd wordt? das nog wel een verschil namelijk.
Volgens mij gaat het gewoon om tools die voor unix beschikbaar zijn. Ik ken namelijk geen unix versie die ringtonetools mee worden geleverd.
Lijkt mij een fantastische oefening voor deze studenten: Niets zo leuk als op deze manier praktisch bezig zijn itt theoretisch, en dan ook nog je resultaten nalezen op flabber! ;) Ik neem aan dat deze docent gewoon zijn leerlingen wil uitdagen, als iedereen met minder resultaten komt zal het wel meevallen met zijn beoordeling. Ik stel voor: laat iedere docent dat doen.. Overal kleine leapjes voorwaarts...
Het zij er nu nog maar 43 !

Ik heb de 2fax software aangepast en de nieuwe versie is nu beschikbaar op de website http://www.atbas.org/2fax

Nog geen tijd gehad voor de windows versie ;)
Het is goed dat er grondig onderzoek wordt gedaan naar beveiligings lekken en dat die spoedig opgelost worden. Maar dat betekent ook dat kwaadwilligen steeds meer over lekken krijgen te weten die inmiddels wel gefixed zijn maar die ze nog steeds kunnen exploiteren op systemen waar de software nog niet geupdate is. In de loop van jaren zullen er steeds meer computers zijn met verscheidene programma's die niet geupdate zijn en dus die publiek bekende lekken nog bevatten die dus door kwaadwilligen misbruikt worden.

Zo is het ook met windows, iedereen die nu een half uur de originele xp erop zet (zonder service packs dus) en geen firewall die wordt al zeer snel gehackt of krijgt allemaal spyware en malware. Nu met SP2 is het al een stuk beter maar de grote problemen komen toch elke keer weer door lekken die inmiddels al opgelost zijn. Goed voorbeeld is het blaster virus, was allang gepatched maar grote gevolgen overal in de wereld omdat veel bedrijven niet de patch had geinstalleerd

Unix zal dus door dit soort dingen steeds veiliger worden maar er komen ook steeds meer lekken boven water die geexploiteerd kunnen worden op systemen van mensen die niet updaten.
Echte "Open Source" dus. maar weinig reactie. Waren het er 44 geweest voor Windows dan hadden we hier 50 pagina's reacties gehad.
Tja... het ligt ook aan de aard van de bugs... het zijn wel bugs, maar echt grote security lekken zijn het niet. Het gaat er in dit geval meer om dat applicaties ongewenste functionaliteit hebben. Lees maar een aantal van die bugs na.
Er zijn wel heel veel voorwaarden waaraan voldaan moet worden (een onbekend bestand door iemand als parameter meegeven) en echte 'exploits' zijn er volgens mij niet van te maken...
ChangePassword.cgi (wachtwoord veranderaar voor YP/Samba/Squid) heeft een bug erin zitten waardoor *iedereen* met account rechten op dat systeem root user kan worden.
Dat is echt wel wat serieuzer dan "ongewenste functionaliteit".
Ja zeker als je alle 3rd party software op bugs gaat checken.

De windows (NT/XP) kernel op zich is volgens mij redelijk (security) bugfree. De meeste vunerability issues zitten in apps als MS Outlook, Messenger, etc. Die ik voor het gemak maar onder de 3rd party software schuif.
waren het er 44 voor windows geweest dan hadden we het niet geweten aangezien het close source is.

Daarnaast heb je nu de mogelijkheid zelf te fixen als de auteurs het inmiddles niet al hebben gefixed.

Dit in tegenstelling tot closed source.

Maar ik deel je standpunt over de flame gevoeligheid.

Over het algemeen denk ik niet dat het aantal bugs zal verschillen tussen Linux of Microsoft. Het securitymodel daarentegen is wel een groot verschil, waar ik denk dat unix in het algemeen een voordeel heeft dit ten nadele van gebruiksvriendelijkheid.
OSX lijkt me echter best gebruiksvriendelijk en het is zelfs een officiele unix :)

Volgens mij gebruik ik op het moment geen enkele software wat op die lijst staat. Alleen cups zou ik gebruiken als Lexmark de driver eens non-corrupt zou inpakken voor OSX :(
Heb je helemaal gelijk in.
A CUPS installation is at risk whenever it prints an HPGL file obtained
from email (or a web page or any other source that could be controlled
by an attacker).
ofwel, je moet met CUPS geen HPGL files printen die je van internet hebt geplukt want dat kan gevaarlijk zijn. Outlook iemand?
Ja, dan gelooft niemand dat die studenten er geen 10 per persoon konden vinden ;)
Waarom denk je dat die docent ze in Unix-software liet zoeken? Het moest wel een uitdaging zijn om ze te vinden.

Als hier dat gestaan dat er 44 bugs in Windows waren gevonden had niemand er van op gekeken. En daarnaast hoef je geen expert te zijn om hier 50 pagina's met Windows bugs te vullen. :)

Of begrijp ik je reactie niet helemaal ;)
Huh? 44 is toch duidelijk meer dan 10, ze zijn er dus wl in geslaagd om meer dan 10 fouten te vinden.
Ik denk dat er bedoeld wordt dat elke student 10 fouten moest vinden.. Dus in totaal 250 fouten..

Beetje trieste zaak dat het zo dwangmatig gaat.. Als er niet meer fouten dan deze aanwezig zijn dan kan hij daar de studenten toch niet op afrekenen? Of kunnen we aannemen dat de leraar zelf wl 250 bugs in het UNIX-environment gevonden heeft... :+

P.S.: Waar heb ik hier gedubbelpost? :?
Je kan ook onafhankelijk van elkaar dezelfde bugs vinden. Dus kan je alsnog aan de eis voldoen
Een Aardrijkskundeleraar die zijn 40 leerlingen opdracht geeft om 5 werelddelen op te schrijven zal er toch zelf geen 200 noemen? :?
Nee maar die leeraar zal dan ook niet gaan eisen dat elke leerling minstens een x aantal dingen kunnen gaan beneoemen als je niet weet dat er wel zo veel inzitten.
Het gaat er om dat als docent niet weet hoeveel bugs er in zitten hoe kan hij dan eisen dat de studenten minimaal een x aantal moeten vinden.

Dan is het dus een middel om de studenten tot ijver te dwingen, of dat hij er wel meer kent.
leraren zijn over het algemeen minder slim dan hun leerlingen, das toch algemeen bekend....
Ligt eraan wat de definitie van een werelddeel is, en van welke wereld :+
Ben benieuwd hoeveel van die bugs in de lijst van coverity te vinden zijn... Kan je meteen testen hoe goed die autosearch is.
Het programma spoort fouten op in broncode die geschreven is in C of C++ en analyseert op die manier de kwaliteit en de veiligheid van het onderzochte systeem.
(...)
De Coverity-software, SWAT genaamd, analyseert C- en C++-broncode en onderzoekt deze op veel voorkomende fouten als null-pointers, niet geinitialiseerde variabelen en buffer overruns.
Hun software zoekt dus naar broncode fouten, niet (expliciet) naar security holes. Dat is nogal een groot verschil. De resultaten van deze software zullen dus niet te vergelijken zijn met de 44 gevonden bugs.
Het nieuws is nogal tendentieus als ik de programma's zie waarin ze dingen hebben gevonden. Zo op het eerste oog betreft het allemaal applicaties en geen kernel software. Ten tweede zie ik met name client software staan en geen server software.

Dat hij geeist heeft per student om minimaal 10 fouten te vinden is niet zo gek: als je gewoon wat obscure programma's pakt waarvan je weet dat ze bij OpenBSD nog niet handmatig zijn nagelopen dan hoef je alleen maar even te greppen op wat stringmanipulatie routines waarbij data gekopieerd wordt in te kleine buffers. Vrijwel alle bugs die op de site staan zijn namelijk zulke fouten.

Best leuk dit, maar alleen nieuwswaardig als zijn studenten een programma of anderszins automatisch in staat waren geweest om dit soort fouten eruit te halen (die bestaan overigens al, maar zijn zeker voor verbetering vatbaar).

Overigens denk ik dat zo'n vak op zich uitstekend is want deze studenten weten zo wel wat typische threats zijn mbt software implementaties en kunnen deze dus voorkomen wanneer ze aan dergelijke systemen werken in de toekomst.
Grootste gedeelte is idd 3rd party, maar er zitten toch wel interessante dingen tussen:
./uml_net 4 slip down eth0

to take down the computer's Ethernet connection. The connection stays
down until the system administrator manually brings it back up. I'm
publishing this notice, but all the discovery credits should be assigned
to Lungstrom.

The underlying bug is that, in slip.c, slip_down() has no idea whether
the user is actually allowed to take down the specified interface.
slip.c lijkt me toch vrij kernel achtig
Lekker zo'n docent die het verplicht stelt om bugs in *n?x software te gaan zoeken.
Ik wist niet dat er beestjes in de rookworsten van Unox zaten? :+
Unox, the worst operating system.
Hij eiste van zijn studenten dat zij aan het einde van de cursus op zijn minst 10 fouten hadden ontdekt, maar met 44 gevonden bugs zijn de 25 studenten daar klaarblijkelijk niet in geslaagd.
Huh? 44 is toch duidelijk meer dan 10, ze zijn er dus wl in geslaagd om meer dan 10 fouten te vinden.
Voordeel van onduidelijk taalgebruik.
Er staat niet bij of het voor de groep of per student gelde.

Is ook onzin om te eisen dat je 10 fouten per persoon zou vinden. Vind je allemaal 10 dezelfde fouten. Blijven er nog 34 over.

Alsof hij wist dat er 44 in zaten.
Vind het ook een rotstreek om studenten met dit soort strafwerk op te zadelen. Denk wel dat ik hem recht in z'n gezicht had uitgelachen of 'shove it' had gezegd en dan maar het vak opnieuw had gedaan maar dan bij een prof die wel normale opdrachten geeft.
Een duidelijk voorbeeld van een niet-academische mentaliteit. Er staat nergens dat het een dwingende opdracht is en dat het aantal gevonden bugs de doorslag geeft voor je cijfer. Zulke opdrachten moet je met een korrel zout nemen en uitwerken. Uitwerking is dan veel belangrijker dan het resultaat.

Hoe vind je bugs? Waarom zijn het bugs? Hoe kan de bug mogelijk gebruikt worden door kwaadwillenden? Zijn er algemene regels te bedenken die het ontstaan van deze bug hadden voorkomen?

Een opdracht op een universiteit is geen leidraad, maar een aanzetje tot bestudering van het onderwerp. Tenminste, zo heb ik het altijd ervaren...
Ow ja, nu weet ik weer dat ik ben gestopt op de uni en iets praktischer ben gaan doen. Vaag gedoe allemaal, is wel leuk maar niet voor mij.
Maar deze post is duidelijk ook niet academisch ingesteld. Daar doelde ik meer op.
En ik wil ook best wel een discussie aangaan tussen theorieen van bugs en de praktijk. Heb al inmiddels zat ervaring dat van de theorieen van de geleerden weinig terrecht komt omdat die te duur worden gevonden. (waar ik het absoluut niet mee eens ben btw, het is wel degelijk nuttig)
Maar komt er nog eens bij dat lappen code doorspitten gewoon niet leuk is. En er zullen vast wel wat bugs gevonden worden. Maar zoals iemand gister al zei bij de mensen die Unix en Linux hadden gebughunt. Het vinden van bugs tov multithreading is toch nog wel een graadje moeilijker dan de gemiddelde initialisatie en overflow fouten. Dat zou wel een leuke opdracht zijn.
het mag misschien stimulerend zijn maar 1 vd studenten die 4 bugs gevonden had heeft er 300 uur ongestoken ik weet niet over welk tijd bestek maar voor 1 opdracht zonder waardering is dat wel erg veel tijd. ik denk dat de gemiddelde nederlandse student daar toch niet snel aan komt ;)
verder zijn dit soort praktijken ook bedoelt om de klas te schiften van actieve/passieve leerlingen dus het is een normaal proces al is 't niet zo leuk natuurlijk
wat dacht je van 10 per persoon...
Ik denk dat ze er 10 per persoon moesten vinden.
Ik denk dat bedoeld wordt dat elke student zelf 10 fouten moest vinden en dat alle studenten bij elkaar maar 44 fouten hebben gevonden.

Wat dus minder dan de eis is als er meer dan 4 studenten in de klas zaten en elke fout maar door n student gevonden is.
dat zij aan het einde van de cursus op zijn minst 10 fouten per persoon hadden ontdekt, maar met 44 gevonden bugs zijn de 25 studenten daar klaarblijkelijk niet in geslaagd.
typisch een verkeerde conclusie...
Er staat niet dat iedere student 10 unieke fouten moest hebben gevonden. Misschien komen veel fouten vaker voor (die noemen we dan systematische fouten) itt tot bijvoorbeeld typfouten.
orginele tekst:
Each person in the class during the fall semester had to find 10 flaws, a task that counted toward 60 percent of their grade for the class, according to class notes posted on Bernstein's Web site. With only 44 flaws discovered among a reported 25 students, the students better hope for a generous curve.
10 fouten p.p. nodig en totaal dus 4.4 fouten p.p gemiddeld gemeld. Ik hoop voor de studenten dat de focus inderdaad verlegd wordt naar het methodiek en niet naar het abslute aantal gevonden fouten.

Ik vraag me af of er mensen nog geslaagd zijn :+ (wat overigens ook dramatische gevolgen zou hebben voor het gemiddelde voor de rest van de klas :Y))
Niet als het er tien per persoon zijn h
Het kan ook ironie zijn, hij zei dat ze er 10 moesten vinden, maar dat hebben ze niet gedaan, want ze hebben er 34 teveel gevonden, en dat is dus geen 10, dus is het ze niet gelukt. Het is maar net hoe je het bekijkt, mijn idee is het denk ik niet, maar het zou natuurlijk wel kunnen. Toch zou 10 p.p. echt teveel zijn (vind ik dan).
Vast PGO onderwijs :) werkt iedereen samen. Voordeel hiervan is, dat je 1) source code door leert te begrijpen, 2) gaten kunnen gedicht worden. Goed initiatief vind ik.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True