Studenten ontdekken 44 bugs in Unix-software

Studenten van de Universiteit van Illinois hebben voor het vak 'UNIX Security Holes' 44 bugs ontdekt in een aantal programma's, waarvan verschillende ook standaard met Linux-distributies worden meegeleverd, zo schrijft News.com. De docent van het vak, Daniel Bernstein, is ook bekend van een aantal rechtszaken tegen de Amerikaanse staat waarin hij de regels over de export van encryptietechnieken aan de kaak stelde. Hij eiste van zijn studenten dat zij aan het einde van de cursus op zijn minst 10 fouten per persoon hadden ontdekt, maar met 44 gevonden bugs zijn de 25 studenten daar klaarblijkelijk niet in geslaagd. De lijst met programma's waarin fouten zijn gevonden is hier te vinden.

Bugjacht

Door Willem Kerstholt

Feedback • 16-12-2004 15:45 72

16-12-2004 • 15:45

72

Bron: C|Net News.com

Lees meer

Microsoft waarschuwt voor lekken en brengt patches uit
Microsoft waarschuwt voor lekken en brengt patches uit Nieuws van 13 oktober 2004
Mozilla keert eerste beloning uit voor vinden veiligheidsbug
Mozilla keert eerste beloning uit voor vinden veiligheidsbug Nieuws van 17 september 2004
Eerste exploit naar aanleiding van lekken Windows-code
Eerste exploit naar aanleiding van lekken Windows-code Nieuws van 17 februari 2004
Linux 2.6.0-kernel officieel uitgebracht
Linux 2.6.0-kernel officieel uitgebracht Nieuws van 18 december 2003
Nieuwe versie van Red Hat Enterprise Linux
Nieuwe versie van Red Hat Enterprise Linux Nieuws van 24 oktober 2003
Beveiligingsbug in OpenSSH
Beveiligingsbug in OpenSSH Nieuws van 25 juni 2002
Meer producten en artikelen
Software

Reacties (72)

-Moderatie-faq
72
68
41
13
1
5
Wijzig sortering
Verwijderd 16 december 2004 15:51
Gaat dit over software van derde partijen? of software die bij Unix geleverd wordt? das nog wel een verschil namelijk.

(het gaat klaarblijkelijk om de volgende apps :)

[TXT] 2fax.txt
[TXT] abc2midi.txt
[TXT] abc2mtex.txt
[TXT] abcm2ps.txt
[TXT] abcpp.txt
[TXT] abctab2ps.txt
[TXT] asp2php.txt
[TXT] bsb2ppm.txt
[TXT] changepassword.txt
[TXT] chbg.txt
[TXT] convex3d.txt
[TXT] csv2xml.txt
[TXT] cups.txt
[TXT] cups2.txt
[TXT] dxfscope.txt
[TXT] elm-bolthole-filter.txt
[TXT] greed.txt
[TXT] html2hdml.txt
[TXT] iglooftp.txt
[TXT] iglooftp2.txt
[TXT] jcabc2ps.txt
[TXT] jpegtoavi.txt
[TXT] junkie.txt
[TXT] linpopup.txt
[TXT] meshviewer.txt
[TXT] mpg123.txt
[TXT] mplayer.txt
[TXT] napshare.txt
[TXT] nasm.txt
[TXT] o3read.txt
[TXT] pcal.txt
[TXT] pgn2web.txt
[TXT] qwik-smtpd.txt
[TXT] ringtonetools.txt
[TXT] rtf2latex2e.txt
[TXT] tnftp.txt
[TXT] uml-utilites.txt
[TXT] unrtf.txt
[TXT] vb2c.txt
[TXT] vilistextum.txt
[TXT] xine-lib.txt
[TXT] xlreader.txt
[TXT] yamt.txt
[TXT] yanf.txt

Als je goed kijkt is onder andere CUPS ook in het lijstje aanwezig, dat zou betekenen dat niet alleen unix maar ook veel linux distro's, osx en andere besturingssystemen die van CUPS gebruik maken dit security probleem hebben.
IWriteCode @Verwijderd16 december 2004 16:06
Studenten van de Universiteit van Illinois hebben voor het vak 'UNIX Security Holes' 44 bugs ontdekt in een aantal programma's, waarvan verschillende ook standaard met Linux-distributies worden meegeleverd, zo schrijft News.com.
Het zijn dus programma's die worden meegeleverd met Unix en Linux. Meeste 3rd party volgens mij... aantal van sourceforge af te plukken.

Wel leuk dat je al die exploits kan 'naspelen'.
Bor Coördinator Frontpage Admins / FP Powermod @Verwijderd16 december 2004 16:30
Gaat dit over software van derde partijen? of software die bij Unix geleverd wordt? das nog wel een verschil namelijk.
Volgens mij gaat het gewoon om tools die voor unix beschikbaar zijn. Ik ken namelijk geen unix versie die ringtonetools mee worden geleverd.
Verwijderd 16 december 2004 16:18
Lijkt mij een fantastische oefening voor deze studenten: Niets zo leuk als op deze manier praktisch bezig zijn itt theoretisch, en dan ook nog je resultaten nalezen op flabber! ;) Ik neem aan dat deze docent gewoon zijn leerlingen wil uitdagen, als iedereen met minder resultaten komt zal het wel meevallen met zijn beoordeling. Ik stel voor: laat iedere docent dat doen.. Overal kleine leapjes voorwaarts...
Verwijderd 16 december 2004 22:36
Het zij er nu nog maar 43 !

Ik heb de 2fax software aangepast en de nieuwe versie is nu beschikbaar op de website http://www.atbas.org/2fax

Nog geen tijd gehad voor de windows versie ;)
Hertog_Martin 17 december 2004 04:28
Het is goed dat er grondig onderzoek wordt gedaan naar beveiligings lekken en dat die spoedig opgelost worden. Maar dat betekent ook dat kwaadwilligen steeds meer over lekken krijgen te weten die inmiddels wel gefixed zijn maar die ze nog steeds kunnen exploiteren op systemen waar de software nog niet geupdate is. In de loop van jaren zullen er steeds meer computers zijn met verscheidene programma's die niet geupdate zijn en dus die publiek bekende lekken nog bevatten die dus door kwaadwilligen misbruikt worden.

Zo is het ook met windows, iedereen die nu een half uur de originele xp erop zet (zonder service packs dus) en geen firewall die wordt al zeer snel gehackt of krijgt allemaal spyware en malware. Nu met SP2 is het al een stuk beter maar de grote problemen komen toch elke keer weer door lekken die inmiddels al opgelost zijn. Goed voorbeeld is het blaster virus, was allang gepatched maar grote gevolgen overal in de wereld omdat veel bedrijven niet de patch had geinstalleerd

Unix zal dus door dit soort dingen steeds veiliger worden maar er komen ook steeds meer lekken boven water die geexploiteerd kunnen worden op systemen van mensen die niet updaten.
Wim-Bart 16 december 2004 16:18
Echte "Open Source" dus. maar weinig reactie. Waren het er 44 geweest voor Windows dan hadden we hier 50 pagina's reacties gehad.
IWriteCode @Wim-Bart16 december 2004 16:21
Tja... het ligt ook aan de aard van de bugs... het zijn wel bugs, maar echt grote security lekken zijn het niet. Het gaat er in dit geval meer om dat applicaties ongewenste functionaliteit hebben. Lees maar een aantal van die bugs na.
Er zijn wel heel veel voorwaarden waaraan voldaan moet worden (een onbekend bestand door iemand als parameter meegeven) en echte 'exploits' zijn er volgens mij niet van te maken...
iKiddo @IWriteCode17 december 2004 01:07
ChangePassword.cgi (wachtwoord veranderaar voor YP/Samba/Squid) heeft een bug erin zitten waardoor *iedereen* met account rechten op dat systeem root user kan worden.
Dat is echt wel wat serieuzer dan "ongewenste functionaliteit".
sopsop @Wim-Bart16 december 2004 16:55
Ja zeker als je alle 3rd party software op bugs gaat checken.

De windows (NT/XP) kernel op zich is volgens mij redelijk (security) bugfree. De meeste vunerability issues zitten in apps als MS Outlook, Messenger, etc. Die ik voor het gemak maar onder de 3rd party software schuif.
it0 @Wim-Bart16 december 2004 16:53
waren het er 44 voor windows geweest dan hadden we het niet geweten aangezien het close source is.

Daarnaast heb je nu de mogelijkheid zelf te fixen als de auteurs het inmiddles niet al hebben gefixed.

Dit in tegenstelling tot closed source.

Maar ik deel je standpunt over de flame gevoeligheid.

Over het algemeen denk ik niet dat het aantal bugs zal verschillen tussen Linux of Microsoft. Het securitymodel daarentegen is wel een groot verschil, waar ik denk dat unix in het algemeen een voordeel heeft dit ten nadele van gebruiksvriendelijkheid.
Verwijderd @it016 december 2004 23:31
OSX lijkt me echter best gebruiksvriendelijk en het is zelfs een officiele unix® :)

Volgens mij gebruik ik op het moment geen enkele software wat op die lijst staat. Alleen cups zou ik gebruiken als Lexmark de driver eens non-corrupt zou inpakken voor OSX :(
Verwijderd @Wim-Bart16 december 2004 16:37
Heb je helemaal gelijk in.
A CUPS installation is at risk whenever it prints an HPGL file obtained
from email (or a web page or any other source that could be controlled
by an attacker).
ofwel, je moet met CUPS geen HPGL files printen die je van internet hebt geplukt want dat kan gevaarlijk zijn. Outlook iemand?
PatMan @Wim-Bart16 december 2004 18:41
Ja, dan gelooft niemand dat die studenten er geen 10 per persoon konden vinden ;)
EdwinSchaap @Wim-Bart16 december 2004 18:57
Waarom denk je dat die docent ze in Unix-software liet zoeken? Het moest wel een uitdaging zijn om ze te vinden.

Als hier dat gestaan dat er 44 bugs in Windows waren gevonden had niemand er van op gekeken. En daarnaast hoef je geen expert te zijn om hier 50 pagina's met Windows bugs te vullen. :)

Of begrijp ik je reactie niet helemaal ;)
Verwijderd 16 december 2004 15:54
Huh? 44 is toch duidelijk meer dan 10, ze zijn er dus wél in geslaagd om meer dan 10 fouten te vinden.
Ik denk dat er bedoeld wordt dat elke student 10 fouten moest vinden.. Dus in totaal 250 fouten..

Beetje trieste zaak dat het zo dwangmatig gaat.. Als er niet meer fouten dan deze aanwezig zijn dan kan hij daar de studenten toch niet op afrekenen? Of kunnen we aannemen dat de leraar zelf wél 250 bugs in het UNIX-environment gevonden heeft... :+

P.S.: Waar heb ik hier gedubbelpost? :?
Verwijderd @Verwijderd16 december 2004 15:59
Je kan ook onafhankelijk van elkaar dezelfde bugs vinden. Dus kan je alsnog aan de eis voldoen
Mijzelf @Verwijderd16 december 2004 16:15
Een Aardrijkskundeleraar die zijn 40 leerlingen opdracht geeft om 5 werelddelen op te schrijven zal er toch zelf geen 200 noemen? :?
ronny @Mijzelf17 december 2004 09:33
Nee maar die leeraar zal dan ook niet gaan eisen dat elke leerling minstens een x aantal dingen kunnen gaan beneoemen als je niet weet dat er wel zo veel inzitten.
Het gaat er om dat als docent niet weet hoeveel bugs er in zitten hoe kan hij dan eisen dat de studenten minimaal een x aantal moeten vinden.

Dan is het dus een middel om de studenten tot ijver te dwingen, of dat hij er wel meer kent.
Verwijderd @ronny17 december 2004 09:41
leraren zijn over het algemeen minder slim dan hun leerlingen, das toch algemeen bekend....
_Thanatos_ @Mijzelf16 december 2004 22:20
Ligt eraan wat de definitie van een werelddeel is, en van welke wereld :+
Verwijderd 16 december 2004 15:48
Ben benieuwd hoeveel van die bugs in de lijst van coverity te vinden zijn... Kan je meteen testen hoe goed die autosearch is.
twiFight @Verwijderd16 december 2004 17:58
Het programma spoort fouten op in broncode die geschreven is in C of C++ en analyseert op die manier de kwaliteit en de veiligheid van het onderzochte systeem.
(...)
De Coverity-software, SWAT genaamd, analyseert C- en C++-broncode en onderzoekt deze op veel voorkomende fouten als null-pointers, niet geinitialiseerde variabelen en buffer overruns.
Hun software zoekt dus naar broncode fouten, niet (expliciet) naar security holes. Dat is nogal een groot verschil. De resultaten van deze software zullen dus niet te vergelijken zijn met de 44 gevonden bugs.
Rukapul 16 december 2004 16:02
Het nieuws is nogal tendentieus als ik de programma's zie waarin ze dingen hebben gevonden. Zo op het eerste oog betreft het allemaal applicaties en geen kernel software. Ten tweede zie ik met name client software staan en geen server software.

Dat hij geeist heeft per student om minimaal 10 fouten te vinden is niet zo gek: als je gewoon wat obscure programma's pakt waarvan je weet dat ze bij OpenBSD nog niet handmatig zijn nagelopen dan hoef je alleen maar even te greppen op wat stringmanipulatie routines waarbij data gekopieerd wordt in te kleine buffers. Vrijwel alle bugs die op de site staan zijn namelijk zulke fouten.

Best leuk dit, maar alleen nieuwswaardig als zijn studenten een programma of anderszins automatisch in staat waren geweest om dit soort fouten eruit te halen (die bestaan overigens al, maar zijn zeker voor verbetering vatbaar).

Overigens denk ik dat zo'n vak op zich uitstekend is want deze studenten weten zo wel wat typische threats zijn mbt software implementaties en kunnen deze dus voorkomen wanneer ze aan dergelijke systemen werken in de toekomst.
IWriteCode @Rukapul16 december 2004 16:13
Grootste gedeelte is idd 3rd party, maar er zitten toch wel interessante dingen tussen:
./uml_net 4 slip down eth0

to take down the computer's Ethernet connection. The connection stays
down until the system administrator manually brings it back up. I'm
publishing this notice, but all the discovery credits should be assigned
to Lungstrom.

The underlying bug is that, in slip.c, slip_down() has no idea whether
the user is actually allowed to take down the specified interface.
slip.c lijkt me toch vrij kernel achtig
nl1klb 16 december 2004 16:03
Lekker zo'n docent die het verplicht stelt om bugs in *n?x software te gaan zoeken.
Ik wist niet dat er beestjes in de rookworsten van Unox zaten? :+
Verwijderd @nl1klb16 december 2004 16:46
Unox, the worst operating system.
SiGNe 16 december 2004 15:50
Hij eiste van zijn studenten dat zij aan het einde van de cursus op zijn minst 10 fouten hadden ontdekt, maar met 44 gevonden bugs zijn de 25 studenten daar klaarblijkelijk niet in geslaagd.
Huh? 44 is toch duidelijk meer dan 10, ze zijn er dus wél in geslaagd om meer dan 10 fouten te vinden.
Verwijderd @SiGNe16 december 2004 15:56
Voordeel van onduidelijk taalgebruik.
Er staat niet bij of het voor de groep of per student gelde.

Is ook onzin om te eisen dat je 10 fouten per persoon zou vinden. Vind je allemaal 10 dezelfde fouten. Blijven er nog 34 over.

Alsof hij wist dat er 44 in zaten.
Vind het ook een rotstreek om studenten met dit soort strafwerk op te zadelen. Denk wel dat ik hem recht in z'n gezicht had uitgelachen of 'shove it' had gezegd en dan maar het vak opnieuw had gedaan maar dan bij een prof die wel normale opdrachten geeft.
0rbit @Verwijderd16 december 2004 16:01
Een duidelijk voorbeeld van een niet-academische mentaliteit. Er staat nergens dat het een dwingende opdracht is en dat het aantal gevonden bugs de doorslag geeft voor je cijfer. Zulke opdrachten moet je met een korrel zout nemen en uitwerken. Uitwerking is dan veel belangrijker dan het resultaat.

Hoe vind je bugs? Waarom zijn het bugs? Hoe kan de bug mogelijk gebruikt worden door kwaadwillenden? Zijn er algemene regels te bedenken die het ontstaan van deze bug hadden voorkomen?

Een opdracht op een universiteit is geen leidraad, maar een aanzetje tot bestudering van het onderwerp. Tenminste, zo heb ik het altijd ervaren...
Verwijderd @0rbit17 december 2004 00:07
Ow ja, nu weet ik weer dat ik ben gestopt op de uni en iets praktischer ben gaan doen. Vaag gedoe allemaal, is wel leuk maar niet voor mij.
Maar deze post is duidelijk ook niet academisch ingesteld. Daar doelde ik meer op.
En ik wil ook best wel een discussie aangaan tussen theorieen van bugs en de praktijk. Heb al inmiddels zat ervaring dat van de theorieen van de geleerden weinig terrecht komt omdat die te duur worden gevonden. (waar ik het absoluut niet mee eens ben btw, het is wel degelijk nuttig)
Maar komt er nog eens bij dat lappen code doorspitten gewoon niet leuk is. En er zullen vast wel wat bugs gevonden worden. Maar zoals iemand gister al zei bij de mensen die Unix en Linux hadden gebughunt. Het vinden van bugs tov multithreading is toch nog wel een graadje moeilijker dan de gemiddelde initialisatie en overflow fouten. Dat zou wel een leuke opdracht zijn.
n4m3l355 @0rbit17 december 2004 02:04
het mag misschien stimulerend zijn maar 1 vd studenten die 4 bugs gevonden had heeft er 300 uur ongestoken ik weet niet over welk tijd bestek maar voor 1 opdracht zonder waardering is dat wel erg veel tijd. ik denk dat de gemiddelde nederlandse student daar toch niet snel aan komt ;)
verder zijn dit soort praktijken ook bedoelt om de klas te schiften van actieve/passieve leerlingen dus het is een normaal proces al is 't niet zo leuk natuurlijk
Verwijderd @SiGNe16 december 2004 15:52
wat dacht je van 10 per persoon...
JoRuZ @SiGNe16 december 2004 15:53
Ik denk dat ze er 10 per persoon moesten vinden.
DJ Henk @SiGNe16 december 2004 15:55
Ik denk dat bedoeld wordt dat elke student zelf 10 fouten moest vinden en dat alle studenten bij elkaar maar 44 fouten hebben gevonden.

Wat dus minder dan de eis is als er meer dan 4 studenten in de klas zaten en elke fout maar door één student gevonden is.
Verwijderd @SiGNe16 december 2004 16:11
dat zij aan het einde van de cursus op zijn minst 10 fouten per persoon hadden ontdekt, maar met 44 gevonden bugs zijn de 25 studenten daar klaarblijkelijk niet in geslaagd.
typisch een verkeerde conclusie...
Er staat niet dat iedere student 10 unieke fouten moest hebben gevonden. Misschien komen veel fouten vaker voor (die noemen we dan systematische fouten) itt tot bijvoorbeeld typfouten.
Atmosphere @SiGNe16 december 2004 19:25
orginele tekst:
Each person in the class during the fall semester had to find 10 flaws, a task that counted toward 60 percent of their grade for the class, according to class notes posted on Bernstein's Web site. With only 44 flaws discovered among a reported 25 students, the students better hope for a generous curve.
10 fouten p.p. nodig en totaal dus 4.4 fouten p.p gemiddeld gemeld. Ik hoop voor de studenten dat de focus inderdaad verlegd wordt naar het methodiek en niet naar het abslute aantal gevonden fouten.

Ik vraag me af of er mensen nog geslaagd zijn :+ (wat overigens ook dramatische gevolgen zou hebben voor het gemiddelde voor de rest van de klas :Y))
Verwijderd @SiGNe16 december 2004 15:55
Niet als het er tien per persoon zijn hé
sn0x0r @SiGNe16 december 2004 15:59
Het kan ook ironie zijn, hij zei dat ze er 10 moesten vinden, maar dat hebben ze niet gedaan, want ze hebben er 34 teveel gevonden, en dat is dus geen 10, dus is het ze niet gelukt. Het is maar net hoe je het bekijkt, mijn idee is het denk ik niet, maar het zou natuurlijk wel kunnen. Toch zou 10 p.p. echt teveel zijn (vind ik dan).
Verwijderd @SiGNe16 december 2004 16:05
Vast PGO onderwijs :) werkt iedereen samen. Voordeel hiervan is, dat je 1) source code door leert te begrijpen, 2) gaten kunnen gedicht worden. Goed initiatief vind ik.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq