Säkerhet: Linux-kernel-buggar som funnits i 15 år

Vem som helst kunde ha hittat dessa buggar, men alla antog att någon ANNAN skulle, och i slutändan hittade ingen dessa buggar (förrän nu)

se: https://nakedsecurity.sophos.com/202...fter-15-years/

Kort:
"Forskare på cybersäkerhetsföretaget GRIMM publicerade nyligen en intressant trio buggar de hittat i Linux-kärnan ...

... i kod som hade suttit där obemärkt i cirka 15 år.

Lyckligtvis verkade det som om ingen annan hade tittat på koden under hela den tiden, åtminstone inte tillräckligt flitigt för att upptäcka buggarna, så de är nu patchade och de tre CVEs de hittade är nu fixade:

CVE-2021-27365. Exploaterbar heap buffert spill på grund av användning av sprintf().
CVE-2021-27363. Kernel-adressläcka på grund av pekare som används som unikt ID.
CVE-2021-27364. Buffertöverläsning som leder till dataläckage eller dosavbrott (kernel-panik)."

Tyvärr så påvisar detta, det som är öppen källkods största problematik!

Nämligen att alla förutsätter att då alla KAN granska koden så kommer alla sårbarheter (och andra brister) alltid att upptäckas.. Vilket tyvärr är ett rent falskt påstående då (iallafall ingen av de jag frågat) har någonsin granskat koden i det linuxsystem det själva kör!
(Hur många % av koden i ER linux-version har NI själva granskat?)

Alla förutsätter att "någon annan" granskar åt en!.. (något väldigt få faktiskt tycks göra..)
Därför fanns dessa buggar i hela 15 år innan de upptäcktes...

Kan inte riktigt se varför det hela skulle bli så otroligt mycket bättre om källkoden inte var öppen.

Sluten kod, där skurkstater som Kina får ta en titt, är inte heller ett alternativ!

https://www.cnet.com/news/china-to-view-windows-code/

Att Linux kernel är bajs när det gäller säkerhet kommer väl knappast som någon nyhet för någon som faktiskt hållit ögonen öppna under åren. Alla förslag att införa säkerhetsfunktionerna av Grsecurity i upstream har ju Torvalds kämpat emot med lång näsa och klor.

Vilken halmgubbe. Ingen påstår sig granska all kod. Ingen påstår heller att alla buggar hittas. Det som påstås är att kod är möjlig att granska för de som vill, och det görs ett rätt rimligt antagande att buggar lättare hittas om det är fler som har tillgång till att analysera koden (vilket ju innefattar betydligt mer än att bara sitta och stirra på den).

Helt rätt! Jag drog mig för att svara i vad som känns som en trolltråd men det den klassiska frasen (av Eric S Raymond, men kallad "Linus Lag"); "given enough eyeballs, all bugs are shallow", har ofta missförståtts som att buggar kommer hittas (likt trådskaparen påstår). Vad det egentligen handlar om är att buggar _kan åtgärdas_ vilket går tillbaka till Richard M. Stallmans skäl till att skapa GPL där han inte kunde åtgärda en skrivardrivrutin som krånglade för att tillverkaren vägrade dela med sig av koden (detta var i en tid då stängd källkod var mer sällsynt då den oftast ansågs sakna värde).
I denna bemärkelse är uttrycket helt rätt och det finns en massa exempel på buggar som krävt väldigt speciella kompetenser eller synsätt för att förstå och åtgärda, och fördelen med öppen källkod är att där har dessa möjlighet att åtgärda det. Detta är en enorm skillnad från stängd källkod där man oftast är helt utelämnad till leverantören om huruvida ens problem tas på allvar, kan förstås eller kommer att åtgärdas.

Jag vet inte hur mycket du följt PaX or GRSecurity men milt uttryckt så är Brad Spengler en väldigt briljant utvecklare som tyvärr har väldigt svårt att samarbeta och har lite för höga tankar om just sitt sätt att se på saken. Det är många som försökt samarbeta med honom, utan resultat, och att inte kunna kompromissa eller att se saker ur andra perspektiv gör det väldigt svårt att delta i ett projekt med tusentals andra utvecklare.
Linus har inget emot säkerhet men det ska vägas in i andra extremt viktiga egenskaper som bakåtkompatibilitet, funktionalitet, prestanda m.m. Jag tror alla som följt Linux mailinglista eller LWN är helt på det klara varför PaX och GRSecurity inte integrerats i Linux kärnan.

Därför att de inte följer konventionerna och att de oftast kletar ihop flera patchar.

https://seclists.org/oss-sec/2017/q2/596