2012年3月2日 "いますぐ死んじゃえ!" ─openSUSEのセキュリティポリシーにLinus激怒 | gihyo.jp
Linux Daily Topics 2012年3月2日"いますぐ死んじゃえ!" ─openSUSEのセキュリティポリシーにLinus激怒 我らがLinus Torvaldsはソーシャルメディアの中でもGoogle+がお気に入りのようで、公私に渡る出来事を彼らしい率直な表現で頻繁に書き連ねており、Linuxメディアにとってはチェックが欠かせない情報源である。そのGoogle+に書かれた2月29日の投稿が、ちょっとした波紋を呼んでいる。 コトの発端はLinusの中学生になる娘が学校からかけてきた1本の電話。「学校のプリンタにマシンがつなげない。管理パスワードを要求されるんだけど」という愛娘の戸惑いの声に、Linusはキレた。「インストールが簡単だから」とMacBook Airに入れて愛用していたopenSUSEに対して、である。「いままで使ってきたけど、もうイラネ。MBA用に新しいディ
革命の日々! Kees Cook の symlink restrictions on sticky directories が -mm入り
ようするに /tmp に symlink があるときに、ownerが自分じゃないときはrootであってもsymlinkたどれないようにするよ。というパッチである 背景なんですが、Unixの古典的なセキュリティーホールにrootが O_EXCL つけずに/tmp以下のファイルを開くとアタッカーに利用されて脆弱性になるというものがありまして、古典的には以下のストーリー 1.悪意のあるユーザ Bob が ln -s /etc/passwd /tmp/app-A-tmpfile とかリンクを貼る 2.root権限をもったデーモンアプリが /tmp/app-A-tmpfile を O_EXCL なしで開く(そして成功する) 3.そのアプリが今開いたtmpファイルに適当にデータを書く 4.なぜか /etc/passwdが破壊される ← イマココ O_EXCL以外の方法、たとえばstat(2)とかで確認
2012年1月27日 カーネルコードに脆弱性! Linusみずからパッチを投稿するも… | gihyo.jp
1月17日、Linus Torvalds氏はgit.kernel.orgに自らセキュリティパッチを投稿した。Linux 3.3の開発に忙しいはずのLinusがわざわざセキュリティパッチ? と疑問に思ったが、どうも今回発見された脆弱性は、いつもよりちょっと影響が大きいようだ。 Linusの投稿したパッチ (git.kernel.org) Linusの投稿によれば、この「CVE-2012-0056」と呼ばれる脆弱性はメモリハンドリングのパーミッションチェックに関するもので、放置しておくと攻撃者にルートファイルのアクセス制限を奪われる可能性がある。影響を受けるのはバージョン2.6.39以上のカーネルで、最新のメジャーディストロがこれを放置すれば危険な状態に陥ってしまう。この脆弱性はJüri Aedla氏によって報告された。 当然ながらディストロベンダはLinusが書いたパッチを早急に適用しなくて
Linux ディストリビューションを安全に利用するための基本。 - D.
これらはすべて基本中の基本、絶対に守るべき原則と言っても良い内容である。しかしながら企業や学校の内部等ではこれらが遵守されていないような場面も多々見受けられるため、ここに書き記しておく。 root ログインを避け、管理作業には sudo を利用する。 root ログインを避け sudo を使うようにする。最近の Linux ディストリビューションでは標準で sudo が入っていることが多い。 /etc/sudoers で以下のように sudo 利用可能なグループを定義する。 root ALL=(ALL) ALL %wheel ALL=(ALL) ALL %admin ALL=(ALL) ALL wheel グループに属するユーザーは su を利用できる設定になっていることが多い。そこで新しく admin グループを追加し、管理者の通常利用ユーザーをそのグループに所属させるのが良いだろう。
sched_clock() overflow after 208.5 days in Linux Kernel
えーっと、久しぶりに Linux Kernel にダメダメなバグが発見されて、よりにもよってうちの製品も影響を受けたので、ここに詳細を書くことにした。 つーか。新しい Kernel を使うなら皆で使おうよ。なんだよその「1つだけ」影響を受けて残りは「影響も受けないぐらい古い」ってのは… 概要 大雑把に 208.5日連続運転した Linux Kernel が突如として reboot する。 実機でなおかつ Time Stamp Counter を内包している必要があるので、Pentium4以降のプロセッサ(が、それはようするに今ある Intel 系CPU全部)か、その互換CPUである必要がある。32bit モード、64bit モードの区別はない。 逆に VMware や Xen など、仮想マシン上で動いている kernel に影響はない。これはそもそもバグを内包したルーチンを、仮想マシンで動
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
hbstudy# 28 SELinux HandsOn 公開版