Линукс Блог

Вчера серьезная уязвимость была обнаружениа в ядре Линукс версии 2.6.23. Суть проблемы в некорректной обработке кадров драйвером для 80211 WLAN. Сама ошибка закралась в функцию ieee80211_rx в файле net/ieee80211/ieee80211_rx.c . Благодаря ей, злоумышленник может послать специально сформированный кард и при обработке его ядро войдет в клинч. Про патчи для устранения уязвимости нам пока ничего не известно.
Источник - heise-security.co.uk

Линус Торвальдс заявил, что он против включения Smack в ядро 2.6.24, так как это наоборот можно повредить безопасности системы в целом.
Подробнее тут.

В их числе /etc/passwd, firefox profile, plugins, addons и т.д. Этот факт был обнаружен с использованием AppArmor, что еще раз подтверждает целесообразность использования этого приложения для ПО от “третьих” поставщиков.
Источник - yro.slashdot.org/article.pl?sid=07/08/26/1312256

Компания Hewlett-Packard была отмечена “Национальным агенством по безопасности” и “Национальным институтом стандартов и технологий” в связи с соответствием ее серверов (под Red Hat Enterprise Linux 5) уровню безопасности Evaluation Assurance Level 4 (EAL4+). Этот факт позволит использовать ее продукцию в правительственных учереждениях США.
Оригинал новости www.independent.com.mt/news.asp?newsitemid=55029

Компания Новелл объявила о намерении выпустить апдейт для своей ОС реального времени “SUSE Linux Enterprise Real Time” в Июле этого года. Работы над ним уже в стадии завершения. Все владельцы текущей версии получал обновление абсолютно бесплатно.
Сайт дистрибутива - www.novell.com/products/realtime/

Jeff Jones, директор по безопасности в Trustworthy Computing group (дочернее подразделение Microsoft), в четверг обнародовал отчет о полугодовалом “жизненном цикле” ОС Windows Vista. Согласно отчету, количество уязвимостей, найденных в Vista меньше, чем количество таковых в Linux и Mac OS X, а именно - всего 12 “багов”.
Оригинал и более подробная информация - тут.

Jeff Stone, представитель Microsoft, на своем блоге сказал, что пользователи Windows получают патчи быстрее, чем их те, кто использую продукты Apple, Novell, Red Hat и Sun.
Подробнее тут.

На прошлой неделе компания Red Hat смогла получить для одноименного дистрибутива (Red Hat Enterprise Linux 5) уровень сертификации EAL4, тем самым открыв Линуксу путь в правительственные организации США (в том числе - в Министерство обороны).
Более подробно - тут.

Согласно сообщению на secuobs, ядра 2.6.х содержат 2 уязвимости, одна из которых позволяет провести DoS (Denial of Service) атаку на машину.
Подробности тут.

По сообщению techworld, в драйвере для популярного устройства MadWiFi под Linux обнаружена критическая уязвимость, позволяющая получить контроль над машиной, даже на находясь в пределах WiFi сети. Уязвимость обнаружил Laurent Butti, работник France Telecom Orange, который изложил ее в докладе на конференции (PDF) Black Hat в Амстердаме. По его словам, далеко не все дистрибутивы успели выпустить пачт для устранения этой ошибки в коде ядра. Баг проявляется в виде переполнения буфера, позволяющего злоумышленнику выполнить вредоностный код даже если ПК не работает в сети.
Более детальную информацию, в том числе о примерах работы эксплоита, разработанного Butti, Вы можете найти по этому адресу.