Consenso all'uso dei cookies

SITO1 -- SITO2 -- Forum1 -- CercaGlobale -- Informativa su Cookie e Privacy


Valutazione discussione:
  • 0 voto(i) - 0 media
  • 1
  • 2
  • 3
  • 4
  • 5
La sicurezza di Linux si aggira con il tasto Backspace
#1
Bug 
Per la serie c'è sempre un altro bug
sembra che per un difetto di Grub2 basti premere 28 volte il tasto Backspace per accedere ad una shell... e da li in poi...
# http://lifehacker.com/you-can-break-into...1748370796
# https://www.tomshw.it/news/hackerare-un-...olte-72884
Chi sa capire tutto è molto infelice (Maksim Gor'kij)
[Immagine: http://www.istitutomajorana.it/forum2/at...p?aid=7740]
Cita messaggio
Grazie da:
#2
Beh, diciamo che ci vuole un certosino per indovinare che pigiando 28 volte il tasto BKSP si riesce ad entrare nella shell durante la richiesta della pswd. Mi arrendo
Si è riusciti a capire come hanno fatto ad arrivaci ?
Ci si può risalire dalle istruzioni della libreria incriminata ?
Cita messaggio
Grazie da:
#3
Il SO perfetto non ha alcuna possibilità di esistere. Accedere ad una shell senza disporre poi di privilegi admin sufficenti per proseguire ed accedere al SO è scarsamente significativo, per avviare le distribuzioni di ubuntu direttamente con privilegi root assoluti senza alcuna richiesta di password , non c' è alcun bisogno di prememere backspace , basta avviarlo da modalità ripristino. e non è un bug

Qualunque SO lascia disponibile almeno una possibilità di accesere al sistema senza richiesta di password per poter procedere ad eventuale ripristino . A parte che è prblema già risolto , non era comunque bug grave. E' invece e da sempre ben più grave ed inconcepibille la spensieratezza con la quale Ubuntu e derivate permettono l' acesso diretto come root senza richiesta password , volutamente come opzione di scelta dal menu di boot.
Cita messaggio
Grazie da:
#4
(18-12-2015,17:13 )supertuxkart Ha scritto: Ci si può risalire dalle istruzioni della libreria incriminata ?
Seguendo il link proposto da LifeHacker si arriva alla pagina di documentazione dei due ricercatori che hanno trovato il bug
http://hmarco.org/bugs/CVE-2015-8370-Gru...s.html#fix
e da quel che capisco si sono accorti del problema proprio analizzando il sorgente

Comunque c'è già una patch illustrata nella stessa pagina...
Chi sa capire tutto è molto infelice (Maksim Gor'kij)
[Immagine: http://www.istitutomajorana.it/forum2/at...p?aid=7740]
Cita messaggio
Grazie da:
#5
(18-12-2015,17:30 )francofait Ha scritto: Il SO perfetto non ha alcuna possibilità di esistere. Accedere ad una shell senza disporre poi di privilegi admin sufficenti per proseguire ed accedere al SO è scarsamente significativo,
Se hai la pazienza di leggere la spiegazione tecnica
http://hmarco.org/bugs/CVE-2015-8370-Gru...ypass.html
vedrai che il bug non solo permette di accedere a *tutti* i dati del sistema ma può essere usato anche per crerare un vero e proprio virus.
Chi sa capire tutto è molto infelice (Maksim Gor'kij)
[Immagine: http://www.istitutomajorana.it/forum2/at...p?aid=7740]
Cita messaggio
Grazie da:
#6
... avere accesso a un pc "fisicamente" per far danni o sottrarre dati non ha di certo bisogno di questo bug At
Cita messaggio
Grazie da:
#7
l' accesso incondizionato come root con privilegi assoluti senza richiesta di password , consente sempre e comunque con qualsivolglia SO di impossessarsi totalmente del computer e farne ciò che vuioi . Root con qualunque SO (anche in windows , nei suoi SO Microsoft lo chiama solo diversamente 'administrator ') , è il solo e indiscutibile proprietario dell' intero SO . E nel momento che puoi accedere al SO direttamente come root per farne ciò che vuoi senza alcun limite non hai alcun bisogno di iniettarvi malware di alcun genere . Smettiamola di confondere il malware facendone stupidamente di tutta l' erba un fascio . Malware , infezioni virali , e vulnerabilità , sono 3 problematiche totalmente diverse , anche se le prime 2 si affrontano con gli stessi mezzi . Quanto alla vulnerabiità del SO , il SO che di vulnerabilità residue non risolte ne ha meno , oggi se ne porta dietro comunque qualche migliaio. E dal momento che tutti i SO almeno una possibilità aperta di riprendere il controllo del SO direttamente come root e quindi senza a quel punto alcuna inutile richiesta di password la mantengono , non se vede che bisogno ci sia di sprecar tempo procedendo con una serie di backspace .


Che dire allora di "Command + S" in reboot che è identico ad avviare una entry di GRUB con "init=/bin/bash".
Questa vulnerabilità è ridicola non solo nell'errore tecnico ma anche nelle conseguenze, non serve a niente . Smile. Bene senza ombra di dubbio che sia stata scoperta e r risolta ma no certo per il non pericolo a cui può esporre il pc , ma per la catena di ridondanze inutili a cui da luogo . Niente di più .
Cita messaggio
Grazie da:
#8
Già fissato in manjaro da stamattina Smile

https://lists.manjaro.org/pipermail/manj...05282.html
Cita messaggio
Grazie da:
#9
Citazione:Già fissato in manjaro* da stamattina

a "tempo di record*" Big Grin


Cita messaggio
Grazie da:
#10
(18-12-2015,19:44 )Ste74 Ha scritto: Già fissato in manjaro da stamattina Smile

Il bello di Linux che se scopri un bug non devi aspettare il secondo martedì del mese per metterci una toppa Smile
Chi sa capire tutto è molto infelice (Maksim Gor'kij)
[Immagine: http://www.istitutomajorana.it/forum2/at...p?aid=7740]
Cita messaggio
Grazie da:


Vai al forum:


Utenti che stanno guardando questa discussione: 1 Ospite(i)