Usunięta luka w programie file

04.04.2007 4:13, Autor: Grzegorz Niemirowski (gniemirowski), Kategoria: News
NewsImage

W funkcji file_printf występującej w uniksowym narzędziu file usunięto podatność na przepełnienie bufora. Umożliwiała ona wykonanie dowolnego kodu na komputerze ofiary.

Program file jest popularnym narzędziem służącym do sprawdzenia typu pliku na podstawie jego zawartości. Jest dostępny w wielu systemach operacyjnych bazujących na Uniksie, m.in. w Linuksie. Dzięki luce w nim możliwe było stworzenie pliku, którego sprawdzenie za pomocą file powodowało uruchomienie kodu podrzuconego w nim przez atakującego. Kod wykonywał się oczywiście na prawach użytkownika, który uruchomił file. Dziurę można też było wykorzystać do przeprowadzenia ataku typu DoS.

Załatana wersja file, o numerze 4.20 została udostępniona użytkownikom poszczególnych systemów.

Źródło: eWeek
r   e   k   l   a   m   a

Komentarze (42)  

Avatar
KaneD (niezalogowany) | 04.04.2007 7:08#1

Widzę że dziury są wszędzie.
Różnica polega na ich patchowaniu.

Ciekawe ile będą chcieli pieniędzy za możliwość zciągnięcia łatki ;)
W końcu nie wszyscy wykupili płatny okres serwisowania i gwarancji ;)

O przepraszam, to chyba nie dziura MS. Ups.. Zapomniałem że to MS sprzedaje dziury jako płatne dodatki do swoich systemów.

Wiem, wiem, w podpisie mam WinXP - najlepszy ze stajni systemów do których jestem zmuszony. Poza tym bardzo lubię animowane kursory.

Avatar
gb (niezalogowany) | 04.04.2007 7:27#2

No ładnie. Nie tylko Windows ma luki :-) ciekaw jestem czy tyle samo linuxowców sie wypowie co w przypadku dyskusji o błędach w Windows ??

Avatar
Macius (niezalogowany) | 04.04.2007 7:30#3

Zaraz ludzie od windowsa zaczna mowic ze windows jest bezpieczniejszy XD ale niewazne kazdy i tak ma swoje zdanie wiec temat uwazam za zamkniety ;)

Avatar
statom (niezalogowany) | 04.04.2007 8:00#4

No to ja sie wypowiem. am windowsa i wszystko w porzadku, czuje sie bezpieczny wiec uwazam ze win jest bezpieczny.

Avatar
Stubborn (niezalogowany) | 04.04.2007 8:16#5

"Kod wykonywał się oczywiście na prawach użytkownika, który uruchomił file."
Haha, no to niewiele mógł zrobić xD

Avatar
MOCPL (niezalogowany) | 04.04.2007 8:17#6

Nawet linux ma luki a to wszytko wina języka programowania ... wystarczy przyjrzeć się funkcji strcpy :P

Avatar
Agnostyk (niezalogowany) | 04.04.2007 8:49#7

"...Kod wykonywał się oczywiście na prawach użytkownika, który uruchomił file..."
Jaka szkoda, że taaaaka dziura nie mogła nic zmienić w systemie :(

Avatar
GRABARZ (niezalogowany) | 04.04.2007 9:01#8

Wszystko ma błędy sęk w tym najciekawszy i najleszy,że Linux łata szybciej i dokładniej...

Avatar
sl00d (niezalogowany) | 04.04.2007 9:11#9

ehhh może poczytajcie czym jest Linux a czym Windows i wtedy dopiero gadajcie głupoty takie jak gb. Znaleziono błąd w programie który nie jest newralgiczną częścią systemu. Ot tak jak by znaleziono błąd w Winampie, czy tam jakimś Corelu - to bardzo znacząca różnica. Sam Linux to kernel, z dodatkami typu glibc, bash i kilkoma innymi tworzy system GNU Linux. Nie można mówić w tym wypadku o błędzie w systemie tak jak w przypadku Windowsa i jego błędów w obsłudze animowanych kursorów, czy tam wielu innych. Rozśmiesza mnie takie wkładanie wszystkich programów pod Unixy do jednego worka i nazywanie tego systemem. To tak jak by włożyć do auta pełno woreczków i w momencie jak w którymś znajdzie się dziurkę to twierdzić, że to auto jest dziurawe :)

Pozdrawiam wszystkich krzykaczy, potraficie umilić dzień w pracy :)

Avatar
Senesino (niezalogowany) | 04.04.2007 9:30#10

Szkoda, że w martwym już Auroksie nie została udostępniona ta poprawka.

Avatar
Gunther (niezalogowany) | 04.04.2007 9:55#11

Ale fajnie. Mam też dobrą wiadomość dla użytkowników Windowsów - dzisiaj ukazała się łatka na kursory!

Avatar
AndRZeJ11635© (niezalogowany) | 04.04.2007 10:03#12

@gb

raczej tak bedzie ze tutaj bedzie z max 50 komentarzy a w przypadku windowsa by było 150 , no chyba ze jakiemus linuxiarzowi cos sie nie spodoba , to wtedy bedzie jazda a bo linux najlepszy a bo szbko załatają abo to abo tamto , tak sie podniecają tym linuxem a i tak z 90% ma dodatkowo windowsa , przykład ?? pierwszy komentarz .... i zaraz bedzie a bo jestem w pracy , bo gram bo cos tam bo cos tam , tylko jednego nie rozumiem , po co trzyma linuxa i tak sie nim podnieca , jak pisze z windowsa , i nawet ma włączonego neta , no a przecierz wiurusy mogą wlesc ... to po co w ogule potrzebny jest linux ?? po to zeby sobie cos napisac na open office ?? ehh....

Avatar
Zbor (niezalogowany) | 04.04.2007 10:19#13

"Załatana wersja file, o numerze 4.20 została udostępniona użytkownikom poszczególnych systemów."

A to ciekawe, w Debianie ta łata pobrała mi sie automatycznie w ramach aktualizacji systemu po wklepaniu apt-get dist-upgrade jakieś dwa dni temu,a wy tu piszecie ,że łata dopiero zostanie udostępniona.
Pogratulować refleksu
I potem taki jeden z drugim pisze
"Ciekawe ile będą chcieli pieniędzy za możliwość zciągnięcia łatki ;)" :)

Avatar
szpieg_shoguna (niezalogowany) | 04.04.2007 10:31#14

Poprawki dla Mandrivy łatające tą dziurę dostępne były od 23 marca, więc redakcja się nie pośpieszyła.

Avatar
BlackMan©™® (niezalogowany) | 04.04.2007 10:36#15

{{{Kod wykonywał się oczywiście na prawach użytkownika, który uruchomił file}}}

Czyli nie było się czym przejmować...


BTW.
- Jak wychodzi news o dziurze na Windows, to okazuje się że była ona znana od dawna i jest WCIĄŻ niezałatana.

- Jak wychodzi news o dziurze w Linuksie, to news mówi "dziura XXXXX została załatana"...


--------------------------------------------------------
Mac OSX jest dla ludzi, którzy nie chcą wiedzieć dlaczego ich komputer działa

Linux/BSD jest dla ludzi, którzy chcą wiedzieć dlaczego ich komputer działa

DOS jest dla ludzi, którzy chcą wiedzieć dlaczego ich komputer nie działa

Windows jest dla ludzi, którzy nie chcą wiedzieć dlaczego ich komputer nie działa

:D :D :D :D :D :D

Avatar
berge (niezalogowany) | 04.04.2007 10:58#16

Jak się czyta opinie na dobreprogramy.pl, to ma się wrażenie, że w Polsce na 90% desktopów jest Linux, a Windows jako system niszowy powoli dojrzewa i z trudem zdobywa rynek.

Avatar
legalny user (niezalogowany) | 04.04.2007 11:20#17

@sl00d
Mądrze piszesz... też mnie trochę nawet śmieszę takie newsy. Takich dziur są pewnie jeszcze tysiące. Jak coś takiego czytam to mam ochotę sam jakiejś poszukać i naprawić. Może ktoś by o mnie napisał potem wielce ważny news, że naprawiłem jakąś dziurę w małoistotnym narzędziu? ;-)

Avatar
Zygfryd (niezalogowany) | 04.04.2007 12:09#18

Tak jak to kiedys ktos zauwazyl.
praktycznie 100% userow Linuksa siedzi na koncie Usera. Zas 99% userow Windowsa na Koncie Administratora(root). Wiec o czym tu gadac.
berge - fajny komentarz :D. Mam Debiana Etcha i sobie spokojnie sciagam poprawki. Ciekawi mnie ilu posiadaczy Windowsa sciaga poprawki? Pewnie nie maja ochoty bo Windows i tak jest super zabezpieczony.

Avatar
Huherko (niezalogowany) | 04.04.2007 12:26#19

Ja ściągam wszystkie nawet te opcjonalne i nie uwżam żę windows jest super zabezxpieczony bo tak nie jest ale tesz nie wolno muwić że linuks jest aż tak zabezpieczony bo tesz nie jest łatki śą do lionkusa jak i do windowsa tylko że lnuksiarze barzdiej przeżywają to że w windowsie jest nowa luka

a popierwsze miałem linksa i po 30 dniach korzystania znalazłem 90 luk w tym 40 krytycznych i co a windowsie jest ich o wiele mniej niż w waszym linuksie i wywaliłem ten szajs

Avatar
Stubborn (niezalogowany) | 04.04.2007 12:50#20

@Huherko
"a popierwsze miałem linksa i po 30 dniach korzystania znalazłem 90 luk w tym 40 krytycznych"

LOL! Oj Panie Huherko, naprawdę nie stać Pana na nic lepszego ? ;)

Avatar
gb (niezalogowany) | 04.04.2007 12:57#21

dobreprogramy zaczynają od pewnego czasu troszkę szybować w dół :-) takie mam odczycie, a wy ??

Avatar
szuman (niezalogowany) | 04.04.2007 13:15#22

to mnie dziś rozwaliło :D zaglądam sobie w statystyki swojego bloga i przeglądam ostatnie wizyty. Patrzę na słowa kluczowe, a tam "ubuntu to go**o" i z głupia patrzę na dane o systemie i przeglądarce odwiedzającego, a tam: Windows Vista IE7 :D Tutaj zrzut ekranu: http://www.iv.pl/view/16062.html

;)

Avatar
Zbor (niezalogowany) | 04.04.2007 13:22#23

"a popierwsze miałem linksa i po 30 dniach korzystania znalazłem 90 luk w tym 40 krytycznych i co a windowsie jest ich o wiele mniej niż w waszym linuksie i wywaliłem ten szajs"

HAHAHA

Huherko w jaki sposób znaazłeś luki w Windows skoro jego kod jest zamknięty ??? - po znajomości przysłali ci z m$ płyte z kodem żródłowym windowsa czy kupiłeś go na bazarze albo rynku razem z kartoflami ??? :)
A jeśli chodzi ci o to ze przez 30 dni wyszło wiecej poprawek na linuxa to raczej źle świadczy o Windows, bo brak poprawki na daną luke wcale nie musi oznaczać ,że tej potencjalnej luki nie ma.

Avatar
Tony Montana (niezalogowany) | 04.04.2007 13:29#24

@Huherko

To ty niezły spec jesteś! Można wiedzieć gdzie pracujesz? Znam firmę, która poszukuje takich specjalistów... Nie żebym się czepiał ale jestem pod wrażeniem!

ps. Daj znać gdyby interesowała Cię robota w przedszkolu. Na początek 5 kafli "do łapy", samochód i mieszkanie służbowe. Co roku opłacony urlop za granicą (Hiszpania, Włochy...). Oczywiście żartuję ale to Ty zaczołeś!!!

Avatar
rev (niezalogowany) | 04.04.2007 13:36#25

@AndRZeJ11635© "i tak z 90% ma dodatkowo windowsa , przykład ??"
moja odpowiedz platforma .NET dlatego np jestem teraz na windzie.

Ogólnie rzecz ujmując jak patrze to widze że większość to znawcy systemów operacyjnych(szczególnie ci z compatible; MSIE 7.0; Windows NT 5.1 itp) no cóż każdy się może wypowiadać lepiej i gorzej.
Aha czemu porównujecie dziury w oprogramowaniu linux które notabene nie jest cześćią linux(jądara)?

Avatar
neuromancer (niezalogowany) | 04.04.2007 13:38#26

I co, powie mi ktoś że Linux nie ma dziur, że jest "lepszy" ?
Nie, Linux nie jest lepszy od Windowsa, ale nie jest też odwrotnie.
Więc ciekawe po co linuxiarze mówią zawsze że windows to gówno?

Avatar
Huherko (niezalogowany) | 04.04.2007 13:39#27

narbrziej mnie rozbawiło to żę użytkownik nie znający hasła a nie loginu administra może sobie w łatwy sposub to wyciągną uzywająć kilku komend w wierszu poleceń to jest dziura dane można kraść bez przeinstalowywania systemu dobre nie sam sie zdiwiłem że można robić takie żeczy

Avatar
rmario (niezalogowany) | 04.04.2007 14:08#28

@Huherko
a czy Ty wiesz chociaż czym jest "luka krytyczna"

dziura to dziura, nie ważne gdzie, ważne że załatana

Avatar
e (niezalogowany) | 04.04.2007 14:11#29

dziwną ten program ma nazwę: "file".
nawet dość głupia mi się ta nazwa wydaje. łatwo wprowadzić tym użytkownika w bląd.
brakuje jeszcze programów o nazwach: folder, error czy data.

Avatar
Daniel (niezalogowany) | 04.04.2007 15:16#30

@Zbor
"A to ciekawe, w Debianie ta łata pobrała mi sie automatycznie w ramach aktualizacji systemu po wklepaniu apt-get dist-upgrade jakieś dwa dni temu,a wy tu piszecie ,że łata dopiero zostanie udostępniona.
Pogratulować refleksu"

Za rzadko robisz apt-get dist-upgrade. Lata jest dostepna od 1 marca. Paczka dla mojego distro jest datowana na 3 marca.

News o zeszlorocznym sniegu.

Avatar
Macius (niezalogowany) | 04.04.2007 15:57#31

Brawo teraz mowicie ze linux jest tak bezpieczny jak windows ;/ pierwszy lepszy trojan ktorego moja siostra ktora ma 11 lat umie obslugiwac BIG BEN i windows wymieka przy nim tak samo jak polowa waszych antywirow. A latki do windowsa wychodza co miesiac i jest ich max 18 na linuxa kilka razy w ciagu miesiaca i jeszcze jest ich kilkanascie razy wiecej i to nie oznacza ze linux jest gorzej zabespieczony poprostu nie da sie zrobic czegos doskonalego. I to tyle

Avatar
szuman (niezalogowany) | 04.04.2007 16:24#32

@e
[[nawet dość głupia mi się ta nazwa wydaje. łatwo wprowadzić tym użytkownika w bląd.
brakuje jeszcze programów o nazwach: folder, error czy data.]]
nie mniej głupią nazwą jest "Windows" ;]

Avatar
Agnostyk (niezalogowany) | 04.04.2007 16:35#33

Do Mr. "e"

Programy data nie ma, ale jest date, który po uruchomieniu podaje obecną datę ;D

Avatar
WK (niezalogowany) | 04.04.2007 20:01#34

@neuroromancer (fajny nick), zadajesz pytania retoryczne.

Avatar
berge (niezalogowany) | 04.04.2007 20:38#35

@Zygfryd

Na moim Windows 4.90.3000 mam większość poprawek, które dałem radę znaleźć. No ale to nie jest XP FCKGW Edition.

Avatar
BlackMan©™® (niezalogowany) | 04.04.2007 21:06#36

@WK

[[[@neuroromancer (fajny nick), zadajesz pytania retoryczne.]]]

Wcale nie retoryczne.


@neuromancer

[[[Więc ciekawe po co linuxiarze mówią zawsze że windows to g**no?]]]

Ja ci odpowiem. Bo tzw. "Linuksiarze" to w tej chwili przede wszystkim w większości ludzie, który lepiej od innych orientują się w świecie IT i WIDZĄ DOSKONALE w jakim kierunku zmierza ewolucja Windowsa.

A ewolucja windowsa zmierza w kierunku wiadomym - ogłupianie użytkownika, graficzne bajery, WGA, DRM, TCPA, szpiegowanie, trojany, adware, rootkity, kolczykowanie, rok 1984, Orwell, totalna kontrola.

Dlatego i przede wszystkim dlatego właśnie ludzie którzy ZNAJĄ SIĘ na rzeczy, mówią, że "Windows to gó**o".

Avatar
Roman (niezalogowany) | 04.04.2007 21:31#37

BlackMan©™®:
"{{{Kod wykonywał się oczywiście na prawach użytkownika, który uruchomił file}}}

Czyli nie było się czym przejmować..."

No nie wiem. Dla mnie ważniejsza jest praca pisana przez kilka miesięcy leżąca w /home niż jakaś binarka czy plik konfiguracyjny.

Avatar
Gunther (niezalogowany) | 04.04.2007 22:20#38

@BlackMan©™®
[A ewolucja windowsa zmierza w kierunku wiadomym - ogłupianie użytkownika, graficzne bajery, WGA, DRM, TCPA, szpiegowanie, trojany, adware, rootkity, kolczykowanie, rok 1984, Orwell, totalna kontrola.

Dlatego i przede wszystkim dlatego właśnie ludzie którzy ZNAJĄ SIĘ na rzeczy, mówią, że "Windows to gó**o".]

Łojej, to ja chyba nie używam linuksa i nie znam się na niczym, bo nie twierdzę, że Windows to gó**o.
Ja bym nawet powiedział, że nadal jest kilka rzeczy, które deweloperzy Linuksa i GNU mogliby spokojnie zerżnąć z Windowsa z korzyścią dla użytkowników i ku chwale pingwina.
Oczywiście Windows ma wady, jest uwikłany w korporacyjne gierki (stąd DRMy i cała reszta), mało bezpieczny etc. Ale ma też kilka zalet - łatwość obsługi, olbrzymie wsparcie producentów sprzętu i oprogramowania. W pewnym sensie jest to system znacznie bardziej otwarty niż MacOSX - dedykowany dla sprzętu jednego producenta, z licznymi ograniczeniami narzucanymi programistom. Maki są piękne i dopracowane ale przy takiej polityce Appla zawsze będą niszowe. Linuksy niestety też - bo to zamknięte koło braku wsparcia producentów sprzętu i oprogramowania... Tak więc mimo mojego kibicowania linuksowi, staram się być obiektywny.
A że dążeniem każdej firmy jest osiągnięcie dominującej pozycji na rynku, a w rezultacie przejęcia go, nie dziwi mnie że MS ma takie zapędy. Każda firma ma. Słabość konkurencji (a w zasadzie niemal jej brak) tylko go zachęca.

Avatar
Grzegorz® (niezalogowany) | 04.04.2007 22:23#39

BlackMan©™®


[Mac OSX jest dla ludzi, którzy nie chcą wiedzieć dlaczego ich komputer działa

Linux/BSD jest dla ludzi, którzy chcą wiedzieć dlaczego ich komputer działa

DOS jest dla ludzi, którzy chcą wiedzieć dlaczego ich komputer nie działa

Windows jest dla ludzi, którzy nie chcą wiedzieć dlaczego ich komputer nie działa]

1. Używasz Linuksa, zaiste jesteś wybrańcem ;-)

2. Co z użytkownikami MorphOS/AmigaOS? Gdzie byś ich umieścił w swojej klasyfikacji? Nie zasługują na Twój szacunek? Dlaczego?

3. Czy wiesz jak się piecze chleb, układa kafelki, kładzie gładź, naprawia samochód itp.? Nikt nie jest specjalistą od wszystkiego. A chełpienie się „jestem mądry bo używam Linuksa” jest śmieszne. Jest mnóstwo rzeczy, których nie umiesz robić i czy w związku z tym specjaliści w tych dziedzinach powinni z Ciebie kpić i się wywyższać tak ja Ty to robisz?

Avatar
ja (niezalogowany) | 04.04.2007 23:05#40

Dla ciebie może tak.Ale dla dobrze zorganizowane serwera już nie.

Avatar
atavus (niezalogowany) | 05.04.2007 7:41#41

~Roman : a od czego sa kopie zapasowe?

Avatar
Gunther (niezalogowany) | 05.04.2007 10:17#42

@Roman
[[BlackMan©™®:
"{{{Kod wykonywał się oczywiście na prawach użytkownika, który uruchomił file}}}

Czyli nie było się czym przejmować..."

No nie wiem. Dla mnie ważniejsza jest praca pisana przez kilka miesięcy leżąca w /home niż jakaś binarka czy plik konfiguracyjny.]]

Ano właśnie. Co mi po tym, że sam system nie jest ruszony? Akurat na linuksie nowa instalacja systemu nie jest problemem - format partycji /, a /home zostaje wraz ze wszystkimi danymi, a nawet ustawieniami pulpitu.
Tymczasem jeśli stracę dane zapisane na /home i okaże się, że nie można ich odzyskać, to fakt, że system jest czysty niewiele mnie pociesza. Dla mnie to nie system jest priorytetem, a bezpieczeństwo danych.
Oczywiście na Windows tracąc system tracę często niemal wszystko. I jeśli np. płytka z Knopiksem nie pomoże to lipa.

Dodaj komentarz

Zasady publikowania komentarzy
Autor
Treść
 
Polecamy
Test: PocketBook Pro 612

Biblioteka w kieszeni
Recenzja Samsung NP530U4B

Ultabook z nadwagą
Huawei E583C

Test przenośnego routera 3G
Top programy
  •  
Top programy ostatnie 7 dni
  •  
Top programy ostatnie 30 dni
  •  
Skanery antywirusowe
skaner av