Linuxissa vakava tietoturvaongelma

[TJT2]

Kummallista että tästä ei puhuta täällä linuxryhmässä eikä kuluttajassa
x x x
Kriittinen haavoittuvuus Unix polkit-komponentissa
Haavoittuvuus2/2022CVSS 7.8
Julkaistu 26.01.2022

Unix-järjestelmissä yleisesti käytössä oleva Polkit-komponentti mahdollistaa
käyttöoikeuksien korottamisen mielivaltaisesti. Haavoittuvuuden
hyväksikäyttö vaatii oikeuden suorittaa komentoja kohdejärjestelmässä.

Polkit (aikaisemmalta nimeltään PolicyKit) on käyttöjärjestelmäkomponentti,
jolla voi hallita eri käyttöoikeuksin varustettujen prosessien keskinäistä
kommunikaatioita. Polkit on alun perin kehitetty Linux-ympäristöihin, mutta
se tukee muitakin Unix-tyylisiä ympäristöjä, kuten Solaris- ja
BSD-käyttöjärjestelmiä.

Polkitin pkexec-komentokäskyssä on vuodesta 2009 alkaen ollut
ohjelmistovirhe, joka liittyy komentoriviparametrien hallintaan muistissa.
Virheen avulla käyttäjä voi korottaa käyttövaltuuksiansa pääkäyttäjätasolle.
Haavoittuvuudelle on annettu tunniste CVE-2021-4034. Haavoittuvuuden
hyväksikäyttö ei ole vaikeaa, minkä vuoksi se on luokiteltu kriittiseksi.
Polkit-komponenttiin liittyvän palvelun ei tarvitse olla käynnissä, jotta
haavoittuvuutta voidaan hyväksikäyttää
x x x
https://www.kyberturvallisuuskeskus.fi/fi/haavoittuvuus_2/2022

Siis olltu jo vuodesta 2009 alkaen, huomattu vasta nyt, mitähän muuta vikaa
noissa unix/linux systeemeissä onkaan?? Ehkäpä windows-systeemit ovat
sittenkin turvallisempia?? Tai joku macOS tai mitä niitä onkaan???

--
--TJT--

[Ari Saastamoinen]

"TJT2" <truth....@holocaust.is.invalid> writes:

> Kummallista että tästä ei puhuta täällä linuxryhmässä eikä kuluttajassa

Ehkä siksi, kun ei sinänsä mitään tavallisuudesta poikkeavaa. Vika
löytyy, siihen tehdään korjaus, ja sitten se korjaus tulee normaalien
päivitysten mukana.

Noita turva-aukkoja löytyy aina silloin tällöin säännöllisen
epäsäännöllisesti, niin ehkä jengi ei koe tarpeelliseksi aloittaa
keskustelua kaikista erikseen.

> Siis olltu jo vuodesta 2009 alkaen, huomattu vasta nyt, mitähän muuta
> vikaa noissa unix/linux systeemeissä onkaan?? Ehkäpä windows-systeemit
> ovat sittenkin turvallisempia?? Tai joku macOS tai mitä niitä
> onkaan???

Onhan noita vielä vanhempiakin aukkoja aina välillä löytynyt, vaikka
kyllä näin vanhat jo selkeässä vähemmistössä on. Mutta ei noista mikään
sen turvallisempi ole. Kaikista on korjattu kriittisiä aukkoja viimeisen
vuoden aikana, ja kaikkiin pitää asentaa päivitykset kun päivityksiä
tulee.

--
Arzka oh3mqu+...@hyper.fi - En halua follareita mailina
* Edellinen sigu oli aika paska jostain viime vuosituhannelta *

[Tapio Vaattanen]

On 2022-02-03, TJT2 <truth....@holocaust.is.invalid> wrote:
> Kummallista että tästä ei puhuta täällä linuxryhmässä eikä kuluttajassa
> x x x
> Kriittinen haavoittuvuus Unix polkit-komponentissa
> Haavoittuvuus2/2022CVSS 7.8
> Julkaistu 26.01.2022

[..]

> Siis olltu jo vuodesta 2009 alkaen, huomattu vasta nyt, mitähän muuta vikaa
> noissa unix/linux systeemeissä onkaan?? Ehkäpä windows-systeemit ovat
> sittenkin turvallisempia?? Tai joku macOS tai mitä niitä onkaan???

Se, että jokun haavoittuvuus on olemassa, ei tarkoita, että se olisi
yleisesti tiedossa – muutoinhan se olisi jo korjattu. Olemassaolostakaan
ei seuraa, että automaattisesti kaikki mailman systeemit olisivat
haavoittuvuudelle alttiita.

Testasin kymmenkunta systeemiä, joista yksikään ei ollut
haavoittuvainen:

-- --
$ ./cve-2021-4034--2022-01-25-0936.sh

This script (v1.0) is primarily designed to detect CVE-2021-4034 on supported
Red Hat Enterprise Linux systems and kernel packages.
Result may be inaccurate for other RPM based systems.

Detected 'polkit' package: polkit-0.115-13.el8_5.1.x86_64
This polkit version is not vulnerable.
-- --

Sitä en tiedä miksi tästä ei puhuta enempää :-) Business as usual – ei
mitään nähtävää.

--
sip:t...@tav.iki.fi http://tav.iki.fi

"Microsoft innovate! Give me a fucking break." -- Larry Ellison

[TJT2]

Ari Saastamoinen wrote:
> "TJT2" <truth....@holocaust.is.invalid> writes:
>> Kummallista että tästä ei puhuta täällä linuxryhmässä eikä
>> kuluttajassa
> Ehkä siksi, kun ei sinänsä mitään tavallisuudesta poikkeavaa. Vika

Tavallista että viat löydetään vasta yli 10 vuotta myöhässä...??

> löytyy, siihen tehdään korjaus, ja sitten se korjaus tulee normaalien
> päivitysten mukana.

Pitänee sitten varmaankin käyttää kaikki linux-koneeni netissä ja katsoa
tuleeko niihin päivityksiä. Se kone, jolla toisinaan pelaan shakkia on kyllä
netissä, mutta muistaakseni siihen ei ole tullut mitään päivityksiä vuosiin
tjps.

> Noita turva-aukkoja löytyy aina silloin tällöin säännöllisen
> epäsäännöllisesti, niin ehkä jengi ei koe tarpeelliseksi aloittaa
> keskustelua kaikista erikseen.

Kummallista, aikoinaan jotkut väittivät että Linuxissa ei ole mitään
tietoturvaongelmia, ei tarvita viruksientorjuntaa eikä muita vastaavia
ohjelmia, toisin kuin windows-koneissa. Ja Amigassakin oli aikoinaan kovasti
viruksia jos sekaantui niihin laittomiin kopioihin, ja demojenkin mukana
saattoi tulla.

> Onhan noita vielä vanhempiakin aukkoja aina välillä löytynyt, vaikka
> kyllä näin vanhat jo selkeässä vähemmistössä on. Mutta ei noista
> mikään sen turvallisempi ole. Kaikista on korjattu kriittisiä aukkoja
> viimeisen vuoden aikana, ja kaikkiin pitää asentaa päivitykset kun
> päivityksiä tulee.

Vihaan päivityksiä! Eräs syy miksi käytän edelleenkin tätä winXPeetä on että
tähän ei tule mitään päivityksiä. Tai ilmeisesti tuo virustentorjunta
päivittää edelleenkin itse itsensä...

--
--TJT--

[Ari Saastamoinen]

"TJT2" <truth....@holocaust.is.invalid> writes:

> Kummallista, aikoinaan jotkut väittivät että Linuxissa ei ole mitään
> tietoturvaongelmia, ei tarvita viruksientorjuntaa eikä muita vastaavia
> ohjelmia, toisin kuin windows-koneissa. Ja Amigassakin oli aikoinaan

Väittäähän voi vaikka mitä, mutta ei noi WIndows NT:n perilliset enää
teknisesti sen huonompia olleet kuin Linuxikaan. Itse asiassa niissä on
jopa paljon monipuolisempi ACL-systeemi kuin peruslinuxissa (Joku
SELinux pätsi (Vai onkos toi jo nykyään vakiona mukana
vanillakernelissä?) tuo kyllä Linuxin puolellekin tuota monipuolisuutta)

Aluksi LInuxia suojeli lähinnä se, että sitä käytettiin sen verran
vähän, että matojen tekeminen siihen ei ollut kauhean mielenkiintoista,
kun leviämispotentiaali oli paljon huonompi kuin Windowsien keskuudessa.
(Vähän kuin oikeissa taudeissa vaikuttava laumaimmuniteetti)

Ja toinen ero oli käyttökulttuurissa kun aikoinaan Windowsia käytettiin
pääsääntöisesti niin, että se käyttäjä oli aina myös pääkäyttäjän
oikeudet, niin ei siinä käyttiksessä olevat hienot ACL-systeemin paljoa
päässeet suojaamaan.

--

[TJT2]

Ari Saastamoinen wrote:
> "TJT2" <truth....@holocaust.is.invalid> writes:
>> Kummallista, aikoinaan jotkut väittivät että Linuxissa ei ole mitään
>> tietoturvaongelmia, ei tarvita viruksientorjuntaa eikä muita
>> vastaavia ohjelmia, toisin kuin windows-koneissa. Ja Amigassakin oli
>> aikoinaan
>
> Väittäähän voi vaikka mitä, mutta ei noi WIndows NT:n perilliset enää
> teknisesti sen huonompia olleet kuin Linuxikaan. Itse asiassa niissä

Ainakin win 10 on niin surkea, että tuskin koskisin pitkällä tikullakaan jos
tiettyjä juttuja voisi tehdä tällä XP:llä tai noilla muilla koneillani.

> on jopa paljon monipuolisempi ACL-systeemi kuin peruslinuxissa (Joku
> SELinux pätsi (Vai onkos toi jo nykyään vakiona mukana

ACL? SEL? XYZ?

> vanillakernelissä?) tuo kyllä Linuxin puolellekin tuota

Vanillakerneli? Vaniljakerneli? Vaniljajäätelö? Sellaistakaan ei ole ollut
varaa ostaa pitkään aikaan... Hammaslääkäri tosin muutama vuosi sitten
suositteli, mutta en todellakaan syönyt kun kylmä sai hampaat vihlomaan niin
että hyvä kun ei taju lähtenyt...

> monipuolisuutta)

Sitähän tuodaan erilaisilla graffoilla, itse suosin Cinnamonia. Mintissä
siis. Ja kai sekin on jonkinlaista monipuolisuutta kun joutuu kokeilemaan "6
miljoonaa" erilaista linuxia kunnes löytää sen itselleen sopivan.

> Aluksi LInuxia suojeli lähinnä se, että sitä käytettiin sen verran
> vähän, että matojen tekeminen siihen ei ollut kauhean
> mielenkiintoista, kun leviämispotentiaali oli paljon huonompi kuin
> Windowsien keskuudessa. (Vähän kuin oikeissa taudeissa vaikuttava
> laumaimmuniteetti)

Yritätkö sanoa, että Linuxiin tehdään nykyää jotain matojakin, oikein
urakalla? Pitäisikö minun asentaa joku matojentorjuntaohjelma?

> Ja toinen ero oli käyttökulttuurissa kun aikoinaan Windowsia
> käytettiin pääsääntöisesti niin, että se käyttäjä oli aina myös
> pääkäyttäjän oikeudet, niin ei siinä käyttiksessä olevat hienot
> ACL-systeemin paljoa päässeet suojaamaan.

Käsittääkseni olen win 10:n pääkäyttäjä kun olen sen ainoa käyttäjä.
USB-tikulle tosin on jossain vaiheessa ilmestynyt joku system-kansio, jota
en pääse katsomaan... vaikka ihan vain videoita olen siirtänyt telkkariin,
kun LEVELIä yms on paljon mukavampi katsoa isolta ruudulta. Käsittääkseni
noissa telkkareissakin on joku linux...!?

--
--TJT--

[Ari Saastamoinen]

"TJT2" <truth....@holocaust.is.invalid> writes:

> Ainakin win 10 on niin surkea, että tuskin koskisin pitkällä
> tikullakaan jos tiettyjä juttuja voisi tehdä tällä XP:llä tai noilla
> muilla koneillani.

No mäkin tykkäsin kyllä Win7:sta enempi kuin kympistä. Mä en tajua,
että miksi ihmeessä ikkunoista on pitänyt kutistaa borderit yhden
pikselin kokoiseksi, ja miksi esim. värejä ei saa valita ihan täysin
vapaasti yms... Mutta varsinaisessa toiminnallisuudessa ei kyllä ole
seiskaan juurikaan eroa.

>> on jopa paljon monipuolisempi ACL-systeemi kuin peruslinuxissa (Joku
>> SELinux pätsi (Vai onkos toi jo nykyään vakiona mukana
>
> ACL? SEL? XYZ?

ACL = Access Control List - eli rajoitetaan eri käyttäjien pääsyä eri
resursseihin

SELinux = Secure Enhanced Linux - Modaus normaaliin Linuxkerneliin,
jolla sinnekin tuodaan huomattavasti monipuolisemmat ACL:ät. (Itse
asiassa jopa liian monipuoliset, kun tiedän hyvin monta tyyppiä, joiden
mielestä paras tapa konffata SELinux on sanoa sille "disabled", kun
pitäis opetella kauheasti, jotta sitä osais säätää.

> Vanillakerneli? Vaniljakerneli? Vaniljajäätelö? Sellaistakaan ei ole

Vanillakerneli = Pätsäämätön, ns normaalikerneli.

> Yritätkö sanoa, että Linuxiin tehdään nykyää jotain matojakin, oikein
> urakalla? Pitäisikö minun asentaa joku matojentorjuntaohjelma?

Kyllä niitä Linuxiinkin on, mutta itse ainakin meinaan vielä pärjätä
ilman virustorjuntaohjelmistoa.

> Käsittääkseni olen win 10:n pääkäyttäjä kun olen sen ainoa

Ellet kirjaudu sisään Administrator -käyttäjätunnuksella, niin et
suoraan. Noissa uudemmissa Windowseissa yleisin käyttötapa on se, että
käyttäjä ei ole varsinainen pääkäyttäjä, mutta kuuluu sellaiseen
ryhmään, joka voi käynnistellä ohjelmia pääkäyttäjänä ilman salasanaa.
Ja kun noin tehdään, niin käyttis vain kysyy "Annatko ohjelman XYZ tehdä
muutoksia järjestelmään?" (Tai jotain tuon suuntaista. Ei ihan kauhean
kuvaava kysymys, kun tarkoitetaan "Haluatko käynnistää XYZ:n pääkäyttäjän
oikeuksilla?" ) No ehkä toi pelottaa enemmän taviksia, eikä ne ehkä
(niin paljoa) ihan sokkona vaan uskalla vastata kaikkiin kysymyksiin,
että kyllä.

> isolta ruudulta. Käsittääkseni noissa telkkareissakin on joku
> linux...!?

Aika monissa on, mutta ei kaikissa.

[TJT2]

Ari Saastamoinen wrote:
> "TJT2" <truth....@holocaust.is.invalid> writes:
>> Ainakin win 10 on niin surkea, että tuskin koskisin pitkällä
>> tikullakaan jos tiettyjä juttuja voisi tehdä tällä XP:llä tai noilla
>> muilla koneillani.
>
> No mäkin tykkäsin kyllä Win7:sta enempi kuin kympistä.

Minä tykkään edelleenkin, onhan minulla yksi tuollainenkin kone, mutta se on
kannettava ja tällä hetkellä jossain muualla kuin nämä muut koneeni.

> Mä en tajua,
> että miksi ihmeessä ikkunoista on pitänyt kutistaa borderit yhden
> pikselin kokoiseksi,

Ettei vaan liittyisi siihen, että windowsia yritetään tunkea kännyköihin ja
ties mihin nysväyslaitteisiin!?

> ja miksi esim. värejä ei saa valita ihan täysin
> vapaasti yms...

Minä en ole yrittänytkään säätää, kun ne säädötkin on jotenkin sotkettu.

> Mutta varsinaisessa toiminnallisuudessa ei kyllä ole
> seiskaan juurikaan eroa.

Onhan siinä, jos säätöjäkin joutuu etsimään sekä niistä uusista valikoista
että perinteisistä. Muistaakseni jo viime tai toissavuonna totesin, että
koko win10 näyttää aivan kuin olisi aloitettu grafiikoiden muuttaminen
kokonana erinäköisiksi, mutta sitten jätetty homma kesken, joten
lopputuloksena sekasotku jossa kahta ihan erilaista tyyliä sekaisin. Ja se
filemanageri on jotenkin rikki, monta kertaa käynyt että kun olen yrittänyt
kopioida tiedoston paikasta A paikkaan B, lopputuloksena on että joko
manageri (siis se windows explorer) sekoaa ja sammuu. Tällä XP:llä
tieodostot kopioituu sinne minne haluan. Ja muitakin ongelmia tuossa
win10:ssä mutta kun linux-ryhmä... vieläkös täällä sfnetissä on joku
win-ryhmä ja jos niin vieläkö siellä on elämää??

>> Yritätkö sanoa, että Linuxiin tehdään nykyää jotain matojakin, oikein
>> urakalla? Pitäisikö minun asentaa joku matojentorjuntaohjelma?
>
> Kyllä niitä Linuxiinkin on, mutta itse ainakin meinaan vielä pärjätä
> ilman virustorjuntaohjelmistoa.

Minkäläinen torjuntaohjelma tuohon Minttiin kannattaa asentaa?

>> Käsittääkseni olen win 10:n pääkäyttäjä kun olen sen ainoa
>
> Ellet kirjaudu sisään Administrator -käyttäjätunnuksella, niin et
> suoraan. Noissa uudemmissa Windowseissa yleisin käyttötapa on se,
> että käyttäjä ei ole varsinainen pääkäyttäjä, mutta kuuluu sellaiseen
> ryhmään, joka voi käynnistellä ohjelmia pääkäyttäjänä ilman salasanaa.
> Ja kun noin tehdään, niin käyttis vain kysyy "Annatko ohjelman XYZ
> tehdä muutoksia järjestelmään?" (Tai jotain tuon suuntaista. Ei
> ihan kauhean kuvaava kysymys, kun tarkoitetaan "Haluatko käynnistää
> XYZ:n pääkäyttäjän oikeuksilla?" ) No ehkä toi pelottaa enemmän

Jaa, tuotakos se kysely tarkoittaa... En ole edes miettinyt vaan kiiresti
sohinut hiirellä myöntävän vastauksen.

> taviksia, eikä ne ehkä (niin paljoa) ihan sokkona vaan uskalla
> vastata kaikkiin kysymyksiin, että kyllä.
>> isolta ruudulta. Käsittääkseni noissa telkkareissakin on joku
>> linux...!?
>
> Aika monissa on, mutta ei kaikissa.

Niin, minullakin on ollut aika monta telkkaria joissa ei mitään käyttistä,
mutta yritätkö sanoa että on olemassa myös windowsilla varustettuja
telkkareita, vai minkä käyttis niissä on?

--
--TJT--

[Heikki Kekki]

On Wed, 9 Feb 2022 06:21:16 UTC, "TJT2"
<truth....@holocaust.is.invalid> wrote:

> Käsittääkseni olen win 10:n pääkäyttäjä kun olen sen ainoa käyttäjä.
> USB-tikulle tosin on jossain vaiheessa ilmestynyt joku system-kansio, jota
> en pääse katsomaan... vaikka ihan vain videoita olen siirtänyt telkkariin,
> kun LEVELIä yms on paljon mukavampi katsoa isolta ruudulta. Käsittääkseni
> noissa telkkareissakin on joku linux...!?

Miksi videoita pitäisi siirtää telkkariin? Täällä pyörii Xubuntussa
minidlnaserver. Kun tv:sta valitsee lähteeksi MiniDLNA'n, on koko koneen
kiintolevyiltä löytyvä videokirjasto käytettävissä.


--
Hessu

[Ari Saastamoinen]

"TJT2" <truth....@holocaust.is.invalid> writes:

> Niin, minullakin on ollut aika monta telkkaria joissa ei mitään
> käyttistä, mutta yritätkö sanoa että on olemassa myös windowsilla
> varustettuja telkkareita, vai minkä käyttis niissä on?

Windowstelkkariin en kyllä muista koskaan törmänneeni :)

En ole noihin telkkareihin jaksanut perehtyä, mulle riittää kun
kaukosäätimestä tapahtuu sitä mitä pitäiskin :)

Mutta joissain on joku ihan pelkästään sitä varten suunniteltuja
käyttiksiä, tai jos jotain valmiita (muita kuin Linuxeja), niin joku
Nucleus tai QNX vois olla kanssa aika vahva veikkaus. Ja ehkä jotain
Applen käyttistäkin saattais löytyä - ainakin jossain set-top -bokseissa
on sitäkin, niin miksei sitten suoraan telkkarissakin.

[Tapio Väättänen]

On 2022-02-07, Ari Saastamoinen <oh3mq...@hyper.fi> wrote:
> "TJT2" <truth....@holocaust.is.invalid> writes:
>
>> Kummallista, aikoinaan jotkut väittivät että Linuxissa ei ole mitään
>> tietoturvaongelmia, ei tarvita viruksientorjuntaa eikä muita vastaavia
>> ohjelmia, toisin kuin windows-koneissa. Ja Amigassakin oli aikoinaan
>
> Väittäähän voi vaikka mitä, mutta ei noi WIndows NT:n perilliset enää
> teknisesti sen huonompia olleet kuin Linuxikaan. Itse asiassa niissä on
> jopa paljon monipuolisempi ACL-systeemi kuin peruslinuxissa (Joku
> SELinux pätsi (Vai onkos toi jo nykyään vakiona mukana
> vanillakernelissä?) tuo kyllä Linuxin puolellekin tuota monipuolisuutta)

Mitä se ACL nyt ihan oikeasti tuo sellaista, jolle on jotain oleellista
käyttöä. Muutenkin olen eri mieltä väitteestäsi. Linux nimenomaan on
todistanut olevansa teknissti ylivoimainen NT-perillisiin verrattuna.
Tämän todistaa käyttö palvelimissa, joissa Windows on pudonnut kelkasta
käytännössä kokonaan. Toki Windows pyörii valtavassa määrässä palvelimia
myös pilvessä, mutta en nyt tänä päivänä näkisi mitään muuta syytä siihen,
kuin aikansa eläneet käytännöt.

> Aluksi LInuxia suojeli lähinnä se, että sitä käytettiin sen verran
> vähän, että matojen tekeminen siihen ei ollut kauhean mielenkiintoista,
> kun leviämispotentiaali oli paljon huonompi kuin Windowsien keskuudessa.
> (Vähän kuin oikeissa taudeissa vaikuttava laumaimmuniteetti)

No mikä sitä nyt suojaa? Entä maccia?

> Ja toinen ero oli käyttökulttuurissa kun aikoinaan Windowsia käytettiin
> pääsääntöisesti niin, että se käyttäjä oli aina myös pääkäyttäjän
> oikeudet, niin ei siinä käyttiksessä olevat hienot ACL-systeemin paljoa
> päässeet suojaamaan.

Eikä paljoa pääse hienot ACL-systeemit suojaamaan nytkään.


Follarit .sotiin

--
sip:t...@tav.iki.fi http://tav.iki.fi

"Writing a new OS only for the 386 in 1991 gets you your second 'F' for
this term." -- Prof. Andrew S. Tanenbaum