Wanted: konference o bezpecnosti Linuxu
Hynek Med
xmedh02 na manes.vse.cz
Středa Březen 18 23:40:39 CET 1998
On Wed, 18 Mar 1998, Radovan Semancik wrote:
> nechce sa mi koli tomu rypat do jadra a stravit nad tym par mesiacov ... aj
> ked to asi robit budem, ak nenajdem ine riesenie
To neni problem kernelu (aspon ted si na zadny takovy nemuzu vzpomenout,
krome takoveho toho sys-modify-ldt(sp?) v 1.2.x), ale vetsinou user-space
programu.. Problemy se setuid programy a /tmp maji vsechny Unixy a v
zasade vsechny operacni systemy implementujici neco takoveho..
> > co myslis pod slovom _bezpecny_ ? napriklad SCO ma rozne urovne bezpecnosti
> > a to je tiez dovod preco sme sa ho vo firme zbavili :)
>
> nie C1, nie C2, ale viac ... nemusi byt _klasifikovany_ ako B1 (napriklad)
> ale nech ma jeho crty .. cize MLS - multi level secure
Mam neurcity dojem, ze se na necem takovem v Linuxu pracuje..
> SCO je tusim C .... aj ked nie klasifikovane ... NT tiez ... aj Solaris je
> tusim na tom rovnako
Neni duvod aby na tom byl Linux stejne (se shadow passwords). Ovsem
samotne certifiakce je car papiru, vazana na konkretni verzi & konkretni
pocitac. Windows NT maji jak znamo C2 certifikat ve verzi 3.5, na Compaqu
bez disketove jednotky a site. Po prakticke strance je velmi vesele, kdyz
NT maji C2 security ale funguje tam getadmin (program ktery z vas jako
normalniho uzivatele udela admina, Microsoft na to udelal post-sp3 fix,
nekdo napsal dalsi exploit i po tomhle fixu ktery uz Microsoft
pochopitelne neopravil, viz www.security.org.il), totez C2 ma SCO, kde se
zniceho nic objevil buffer overrun v programu scoterm (jejich obdoba
xtermu) -- ten overrun fungoval na tomtez principu jako overrun v xtermu
od X consorcia, pochopitelne, je to z tychz zdrojaku, akorat ze skveli
bezpecnostni experti SCO na to prisli tak pul roku po tom co se objevily
exploity na obecnou X verzi.. Podobna chyba v X knihovnach a X serverech
na SCO "objevena" jeste nebyla, ale hadam, ze do pul roku do roku taky
bude..
Hynek
--
Hynek Med, xmedh02 na vse.cz
Další informace o konferenci Linux