Archivos Software Libre: Febrero 2008

Via Kriptópolis:

Como muchos ya sabréis, se ha descubierto una grave vulnerabilidad el kernel linux (2.6.x - 2.6.24.1) que permite a un usuario con acceso local obtener privilegios de root ejecutando un simple exploit.

En kriptópolis hay más detalles, y un enlace a donde se puede descargar el fuente del exploit.

Con esto se puede construir un virus bastante destructivo que ataque a los equipos que tengan este bug, algo que discutimos anteriormente.

Aunque el bug fue rápidamente corregido (algo común en el mundo FOSS), el problema, nuevamente, es que los usuarios no mantienen sus sistemas parchados, además que hay usuarios no expertos que no van a saber como parchar su kernel.

Así que si están usando linux, verifiquen si son vulnerables a este exploit y apliquen los parches, y corran la voz.

La correción del bug es interesante por lo sencilla que resulta, y agregar 3 lineas del archivo linux-2.6/fs/splice.c:

@ -1237,6 +1237,9 @ static int get_iovec_page_array(const st
if (unlikely(!base))
break;

bq. + if (unlikely(!access_ok(VERIFY_READ, base, len)))
+ break;
+
/*
* Get this base offset and number of pages, then map
* in the user pages.

Le preguntan a Linus Torvalds:

¿Cómo es la comunidad Linux? ¿Sigue siendo fuerte el proyecto open source?

Nunca ha sido cohesivo, en muchas formas es inadecuado llamarlo una comunidad. Algunos están involucrados debido a la ideología, muchos se involucran porque hay algún area que están usando o en la que están interesados y no necesariamente se preocupan de los demás. Pero sucede que hay suficientes intereses compartidos. Todos quieren las mismas cosas: estabilidad, desempeño.

Las compañías involucradas... tienen diferentes áreass de interes, como dispositivos empotrados: para ellos lo importante es que Linux se mantenga pequeño. Hay otros trabajando en máquinas con miles de CPUs. ¡Es sorprendete que eso funcione después de todo!

Entrevista a Linus Torvalds en el Sidney Morning Herald de Australia.