Linux'ta bir ayda ikinci kritik açık!

Tarihin tozlu sayfalarından ortaya çıkan kritik güvenlik açığının kapsamı sizi şaşırtacak...

Bu açık  neredeyse her sürümde 8 senedir vardı!
Linux açıklarını kapatmak için çalışmalar başladı

Araştırmacılar Linux'taki güvenlik açıklarını ortaya çıkartmaya devam ediyor. Son 8 yılda geliştirilen Linux sürümlerinin büyük çoğunluğunun tamamen ele geçirilmesine izin veren bir güvenlik açığı ortaya çıktı. Linux geliştiricileri derhal kritik bir güncelleme için harekete geçti.

Ortaya çıkan program hatası kernel seviyesindeki işlemlerde yer alıyor. Örneğin Sock_sendpage işlemi dahil edilmeden bırakılırsa soruna yol açıyor. Fonksiyon işaretçisi sock_no_accept gibi ilgili bir yer tutucuya bağlanmak yerine etkinleştirilmemiş bir şekilde kalıyor. Sock_sendpage işaretçiyi her seferinde kontrol etmediği için işletim sisteminde güvenlik açığı oluşuyor.

Güvenlik araştırmacısı Julien Tinnes'in açıklaması şöyle "Kernel kodu boş değerde uyguladığı için güvenlik açığı oluşuyor. Bir saldırgan ilk sayfaya kod yerleştirerek bu kodun kernel ayrıcalıklarıyla çalıştırılmasını sağlayabiliyor." Linux'ta NULL yani boş değer yüzünden oluşan diğer güvenlik açığını, daha önceki haberimizden okuyabilirsiniz. Sonuçta bir ay içerisinde birbirine yakın iki kritik güvenlik açığı ortaya çıkmış oluyor. Araştırmacılar iki açığın bir arada kullanılabildiğini ve Mayıs 2001'den bu yana 2.4 ve 2.6 sürümlerinin tamamının etkilendiğini belirtiyorlar.

Ali Güngör

Okuyucu Yorumları

Toplam 26 Yorum

linux`ta güvenli değil biz güvenli bir işletim sistemi kullanamayacağız galiba.

aman YaRabbim neredeyse pardusu yükleyecektim ve hatta tüm işlemlerimi bundan sonra onda yürüteyim demiştim ve gittim zevkle gecenin bir yarısı pardus sitesine girdim ve ilk aradığım şey güvenlikti. Neyse biriki bakınmadan sonra güvenlik ile ilgili bilgileri buldum ve diyorduki " virüs yazılımı yüklemeye gerek yok ve güvenlik açığımız yok " biraz daha okuduktan sonra tamam dedim bunu bir kenara yazıyorum yakın zamanda pardusa geçeceğim. İyiki de geçmemişim daha kimbilir neler vardır içinde ... düşünün 14.000.000 TL bütçe ayrılan bu sistemin içerisine acaba MİT izleyici bir program koyamaz mı? çünki sistemin hızından başka bir yere veri gönderip göndermediğini anlayamazsınız ve bide açık kaynak kodlu. Uzaktan manupuleye nekadar elverişli.

Aman Aman kalsın ben WINDOWS' a veririm 200 TL alırım üzerine bide 100 TL ye office studnt aldımmı bana dünyaları vermişler gibi olurum. neden? çünki güvenli ve stabil ve sürekli destek var.

saygılarımla

güvenli işletim sistemi yoktur diye boşuna denilmiyor işte

Neye güveneceğimizi şaşırdık. Linux'ta da problem çıkarsa vay bu bilgisayarların haline...

linux zaten hep açıklarla dolu bir işletim sistemi. örneğin bir linuxa rahatlıkla uzaktan erişim sağlayıp onun monitörünü izleyebilirsiniz. :D hatta komk birşey daha onun bilgisayarını kontrol etmeye kalktığınızda 2 adet fare imleci oluşuyor :D kimse bana diyemez ki linux Windows 7 den daha güvenli. istediğim kodu linux da script bazında çalıştırabilirim. yazılmış birvirüsü tüm sisteme kod aralarına tek tıkla eklettirebilirim. ama windows 7 de eğer windows lisansı taşımıyorsa yazılım. sahte lisansı yedirebilen çıkmadı daha. xp de örneğin office lisansını ayıklayıp. kendi yazılımıza entegre ederseniz. xp bunu kendi parçası olarak görüyor ve programınız virüs progrmlarınada yakalanmaz hale geliyor. windows 7 deki lisanslama mantığında ki kripto yükleme anında bileşene ve lisanslanacak programa göre sekil aldığı için başkasının lisansını kendi imzan gibi kullanamıyorsunuz. virüsler admin izni almadan çalışmıyor anlıyacağınız. vista da bunu 4 satırlık kodla aşabiliyorduk. admin izni almış gibi virüsü çalıştırma izni ama Windows 7 de bu mümkün değil. linuxa hiç girmeyeceğim zaten. her yeri tam açık bir yazılım. bana göre slogan şu kullandığınız bir programı beğenmedinizmi onu neden daha fazla geliştirmiyesiniz ki :D orada program yazıyorsan katlanacaksın yani başkası senin program kodlarını rahatlıkla çalmasını. Biz bunları araştırıyoruz. testlerini yapıyoruz en güvensiz işletim sistemi linux. çok profesyonelce kullanılmadığı için ona yönelik fazla saldırı yapılma ihtiyacı duyulmuyor. eğer çok kullannılmaktan öte devler kullansa işin içinden çıkılmaz hal alırdı.

"Son 8 yılda geliştirilen Linux sürümlerinin büyük çoğunluğunun tamamen ele geçirilmesine izin veren bir güvenlik açığı ortaya çıktı."
Neden son 8 yıldır ele geçirilen linux dağıtımlarını hiç duymadık acaba. Çünkü ele geçirilmesi olayı sınırlı kullanıcıların "bilgisayar başında" linuxun bu güvenlik açığını kullanması ile sözkonusu olabilmektedir.
"Bir saldırgan ilk sayfaya kod yerleştirerek bu kodun kernel ayrıcalıklarıyla çalıştırılmasını sağlayabiliyor." Hangi sayfa ile acaba bu dediğiniz. Web sayfası mı, kod sayfası mı? Linux ne web sayfası üzerinden ele geçirilebilir, ne de linux bilen bir kullanıcı kalkıp da bilmediği bir depodan bir program kurup kötücül bir kodun sistemine bulaşmasına izin verir (aklı yerindeyse).
Bilgisayarı elegeçiren bir güvenlik açığı olarak deniyor ki, sınırlı kullanıcı "root" yetkileri alabiliyormuş. E biz yıllardır Windows XP ile zaten yönetici olarak sistem kullanmadık mı, 100lerce güvenlik açığı görmedik mi, sürekli olarak "Kritik güvenlik açığı, bir başkası sistemi ele geçirmeye yönelik kod kullanabilir." uyarılarını okumadık mı. "Her ay" MS'in güvenlik açıkları kapatmak için yayınladığı bültenleri takip etmedik mi? Keza Apple'ın işletim sistemlerinde durum bundan farklı mıdır?
Kaldı ki tüm linux yazılımlarında kernelde dahil hergün bir açık bulanmakta ve bulunduğu anda kapatılmaktadır.
İnsanları da anlamak da zorluk çekiyorum. Şunu diyebilmek için mi bekliyorlar acaba. "Bak gördün mü, linux da güvenli değil." Siz firewall kullanmazsanız, bilmediğiniz yerlerden program indirip kurarsanız, hiç bir işletim sistemi güvenli değildir. Bioslarda güvenlik açıkları ile çıkan anakartlar, işlemcilerdeki temel kodda çıkan güvenlik açıkları, kullandığımız modemlerin arayüzündeki güvenlik açıkları, yazılımsal hatalar kadar kullanıcıyı riske atan donanım hataları. Saymakla bitmez güvenlik açıkları. Bence linux'u yerden yere vurmadan önce kiminle kıyasladığımıza dikkat etmemiz lazım. Elma ile armutlar birbirine karışmasın lütfen.
Kaçak yazılım kullanıp, crackli vs.li programları sisteminize kurup, netin karanlık sokaklarında yolculuk yapıyorsanız, diyemezsini ki benim sistemime bir şey olmasın. O zaman tüm bilgisayarların fişini çekelim, karanlık ekrana hep beraber bakalım.
Windows 7 kullanan birisi olarak da şunu söyleyebilirm ki, çok rahat bir şekilde ufak bir kod yazarak UAC'yi devre dışı bırakarak sistemdeki kullanıcılara yönetici hakları verebiliyorsunuz şu anda. Alın çok beğenilen Windows 7'de size bir güvenlik açığı (Windows 7 kullanan birisiyim). Hem de RTM sürümünde ile daha ilk baştan bilgisayarınıza güvenlik açığı ile geliyor.
Kısacası güvenli sistem diye birşey yoktur. Güvenlikten anlayan sistem kullanıcısı vardır.
Not: Güvenlik açığını bulan Tavis Ormandy ve Julien Tiennes Google güvenlik uzmanlarıdırlar. ChromeOS için çalışmalara başlayan Google'ın sayesinde linux daha da iyileştirilme yolunda. Google'a teşekkür etmek lazım ki açık kaynağa verdiği destek sayesinde geleceğin işletim sistemini geliştirme süreci daha da hızlanacaktır.
Saygılarımla

linux'ta kimse kimsenin bilgisayarına filan girmiyor zaten giremez ve oldukçada güvenlidir.bu açıklar diğer sistemlerde olanların milyonda biri,varın gerisini siz düşünün.bu arada linux kullanmayanlar ortalığı boş bulup bol keseden sallamasınlar.

GNU/Linux ve Özgür Yazılım dünyasının güvenlik açıkları sizin ne anladığınız ile alakalıdır ki, bugün güvenli olmasaydı kimi bankalar ana sunucularını, uzaktan erişim kontrollerini ve hatta MS Excange Server arabirimlerini dahi GNU/Linux dağıtımlarının güçlü alanlarına taşımışlardır.

Bazı üyeler bilmeden para verdikleri ölçüde konuşmuşlar. Acaba sorarım nereden destek alıyorlar? MS Windows Fulya tesislerinden ne gibi bir destek almışlardır? Yoksa crakc atmak ile ilgili forumlardan mı destek almışlar.

Bu haber Chip'in gözümdeki güvenilirliğini de sıfıra eşitlemiştir.

Editörün notu:
CHIP Online tarafsız ve güvenilirdir. Bütün işletim sistemlerinde ortaya çıkan güvenlik açıklarını, daha önce yaptığımız gibi kullanıcı güvenliği için haber yapmaya devam edeceğiz. Fanatik taraftarlar ancak böyle aşırı tepkilerle camialarını kamuoyu nezdinde ancak küçük düşürürler.

Bugün 19:40
----------------
kendinde demişsin windows7 kullanıyorum ve açığı olduğunu belirtmişsin
windows 7 şunun kanıtıdır : ihtiyacını karşılayamayıp güvenli sistem kullancağına(linux), ihtiyacını karşılan güvensiz sistem kullan windows)
ve oyun oynayan ki bilgisayarı olanların cogu genç insanlar olduğu için oyun oynuyor. windowsa bağımlıdır. ve biraz deneyimli olan birinin bile sistemine virüs bulaşması çok zordur.

Editörün notu:
CHIP Online tarafsız ve güvenilirdir. Bütün işletim sistemlerinde ortaya çıkan güvenlik açıklarını, daha önce yaptığımız gibi kullanıcı güvenliği için haber yapmaya devam edeceğiz. Fanatik taraftarlar ancak böyle aşırı tepkilerle camialarını kamuoyu nezdinde ancak küçük düşürürler.
--------------------
teşekkürler sayın editor. tüm windows açıklarını verirken bunlar seviniyordu linuxa geçin şöle böle azda olsa linux açığı çıkdınmı
hemen küplere binip CHIP Online a laf atıyorlar.
CHIP Online editöründe dediği gibi her teknoloji haberini tarafsız olarak yayınlamaktadır sayın misafir. ayrıca CHIP Online senin gibi akıllı bir ziyaretçisini kaybettiği için büyük üzüntü duyuyor ;)
Umarım CHIP Online'ı takip etmeye devam edersin.
Sağlıcakla kal, Keras.

açıksız işletim sistemi olmaz, linux daha yaygın bir sistem olsaydı, elbette daha pek çok güvenlik açığı bulunabilirdi..insan yapımı sonuçta hatasız olamaz, karizmayı çizdirmesi kaçınılmaz elbette..

Bir açık çıktı diye hiç bir işletim sistemini güvensiz olarak değerlendiremeyiz. İşletim sistemini güvenli yapan bu tip açıklar farkedildiğinde gerekli güncellemelerin ne kadar çabuk çıkarıldığıdır. Malesef microsoft bu konuda çoğu zaman çok geç kalıyor. Bilinen açıkların güncellemelerini kimi zaman aylar sonra çıkarıyor. Bu yönden linux camiası oldukça hızlıdır. Güvenlik sorunu öğrenilir öğrenilmez en geç bir kaç haftada çoğu zamanda bir kaç gün içerisinde gerekli güncellemeler yayınlanır.

durmak yok linux devam..

Sorun açıkların varlığından daha ileridir. Her yazılımda açıklar olur ve önemli olan bu açığın çağresini üretmektir. Linux tovals ve ekibi 1-2 gün içerisinde çözümü bulur diye düşünüyorum.

Açık kaynağın gücü. Saldırı olmadan kod incelenerek açıklar tespit ediliyor. Win veya mac da ise saldiri oluyor, ayyuka çıkıyor sonrada bekleki ilgili firma çözüm üretsin. Bakış açımız bu olmalı bence.

open source sitemlerin herzman daha iyi oldugu innancindayim ve gogle gibi sgalam bir finansman we ekip destgiyle open source sitemin cok daha yuksek kulanici sayisina ulascagini tahmin ediyorum
Linux'un kulnaici syaiisnin az oldugunu soyleyenler icin son 3 yilda cikan Linux urunlerinden ziyade daha onceki donemlerdeki Linux sitemleri her bilgisayar alan kullanamiyor ve hatta kuramiyordu bile,kulanici dostu olmadigi icin yayginlasmadi
hata su anda bile varsa kendine guvenen kursun bir NETbsd KDE arayuzlu,yada OPENbsd windows yada mac degil tak CD yi kursun
pain in the ass
partition olusturacaksin
volumeleri duzenliyeceksin
/,/swap,/dev, kendin kurcaksin, network ayarlarini yapacaksin
herseyden once birazda olsa UNIX ,C,ve C++ bilceksin
512 MBlik ram'le ubuntu aslanlar gibi performans veriyor
admalar okadar light bir Kernel yazmsik.helal olsun
saygilar
bir linux,ve bsd kulanicisiyim cokta memnunum

yüzde 1 lik kitlenin hitap ettiği işletim sisteminde hacklenen birini duymak çokda kolay olmasa gerek :D linux her zaman açıklarla dolu bir işletim sistemiydi ubuntu ve kubuntuyu aktif şekilde kullandım. performans güzel fakat gerçekten açığı bol olan fakat türkiyede çok atif kullanılmadığı ve araştırılmadığı için açıkları bilinmeyen işletim sistemi. windowsu hacklemee çok iyi deniyor. bir yere kadar doğru peki açık sistem yarı kapalı bir isteme böle kolay erişebiliyorsa iki açık sistem birbirine nasıl erişemez. bunu araştırın. linuxunuz özel değilse yani binlerce dolarlık özel işletim sistemi değilse tamamemn amatör gelişim beleş cd ise geçmiş olsun. böyle burada yok bankalar kullanıyor falan demekle olmaz. bankanın adını yazın. hacı baba tekkesi değil demi burası :D

Bu zannedersem bize has bisey birseyi kullanmaya baslayinca sahiplenir gibiyiz mac te bi kusur cikar mac kullananlar hortlar hayir yalan, yok oyle bisey, kaynak goster felan vs.. donanimda da boyle intelciler amd ciler aticiler vs. ya birakin kullanan kullansin istedigini varsa haber yapilmaya deger bisey onuda chip getirsin bizlere holiganlik yapmanin alemi ne ...
linux dan sahsen cok anlamam opensource olmasina kuskuyla bakarim ama free olmasini desteklerim :) bir gun daha iyi yerlere gelecegi temennimdir linuxun.

fedora ubuntu ve vista kullanan biri olarak diyebilirimki ben hiçbirinin fanatiği değilim,hiçbiri babamın oğlu değil;) windows için olan şeyler çok abartılıyor özellikle fanatiklerden dolayı gerçeği göremiyoruz keşke linux belli bir seviyeye ulaşabilse.maalesef ubuntu ve fedora ulaşamadı en son linuxu ne zaman kullandım hatırlamıyorum.fedorada güncellemede sorun çıktı ama bir yetkili çıkıp açıklamadı....vistada bir ürün aldığımda tak çıkar çalışıyor ama linuxte ya çok zor bir sürücü bulma ve yükleme aşaması ya da hiç bulamama gibi bir sorunla karşılaşabiliyorum hem de nadiren değil sıklıkla.sonuç olarak windows yavaş; ama tam kapasite bir işletim sistemi için şimdilik vista var win7 gelince durumlar ne olur bilemem.ama lütfen bu haber vista aleyhine olsaydı windows yamalı bohça vs derdiniz, işletim sistemlerinde muhakkak açık olacak bunu öğrenelim mac için virüssüz derler ama ona da virüs bulaşmadı mı?meyve veren ağaç taşlanır misali yaygınlaşmalaıyla doğru orantılı şekilde saldırılar da olacak.bu ne linuxun ne windowsun ne de macosun suçu...

Özgür camia kendisine o kadar çok yakışanı yapıyor ki, söz konusu habere göre yıllar yılı o açık var lakin kimse suistirmar etmiyor. :) gerek duymuyor çünkü free çünkü özgür :)

yüzde 1 lik kitlenin hitap ettiği işletim sisteminde hacklenen birini duymak çokda kolay olmasa gerek :D linux her zaman açıklarla dolu bir işletim sistemiydi ubuntu ve kubuntuyu aktif şekilde kullandım. performans güzel fakat gerçekten açığı bol olan fakat türkiyede çok atif kullanılmadığı ve araştırılmadığı için açıkları bilinmeyen işletim sistemi. windowsu hacklemee çok iyi deniyor. bir yere kadar doğru peki açık sistem yarı kapalı bir isteme böle kolay erişebiliyorsa iki açık sistem birbirine nasıl erişemez. bunu araştırın. linuxunuz özel değilse yani binlerce dolarlık özel işletim sistemi değilse tamamemn amatör gelişim beleş cd ise geçmiş olsun. böyle burada yok bankalar kullanıyor falan demekle olmaz. bankanın adını yazın. hacı baba tekkesi değil demi burası :D

---------------------------------
google gibi bir devin altyapısı ne üstüne kurulu acaba ? :) Buyursun hacklesinler. Google ı herhalde hackerların yüzde biri bile kullanmıyor. Ondan hiç hackleyemediler değil mi? Daha bir ton büyük portalın altyapısı açık kaynak. Her yazılımda olduğu gibi Linux da da açıklar olur ve olacaktır da. Abartmaya gerek yok. Çözüm bulunur bugün yarın yamanır. Bu linux un kaya gibi sistem olduğu gerçeğini değiştirmez.

open source sitemlerin herzman daha iyi oldugu innancindayim ve gogle gibi sgalam bir finansman we ekip destgiyle open source sitemin cok daha yuksek kulanici sayisina ulascagini tahmin ediyorum
Linux'un kulnaici syaiisnin az oldugunu soyleyenler icin son 3 yilda cikan Linux urunlerinden ziyade daha onceki donemlerdeki Linux sitemleri her bilgisayar alan kullanamiyor ve hatta kuramiyordu bile,kulanici dostu olmadigi icin yayginlasmadi
hata su anda bile varsa kendine guvenen kursun bir NETbsd KDE arayuzlu,yada OPENbsd windows yada mac degil tak CD yi kursun
pain in the ass
partition olusturacaksin
volumeleri duzenliyeceksin
/,/swap,/dev, kendin kurcaksin, network ayarlarini yapacaksin
herseyden once birazda olsa UNIX ,C,ve C++ bilceksin
512 MBlik ram'le ubuntu aslanlar gibi performans veriyor
admalar okadar light bir Kernel yazmsik.helal olsun
saygilar
bir linux,ve bsd kulanicisiyim cokta memnunum
---------------------------------------

Ubuntu nun kerneli light değildir. Geniş donanım desteği sağlamak için geniş sürücü desteği ile birlikte gelir. Tabii bunu onu yavaş olduğu anlamına gelmez. Linux dağıtımlarında çok daha hızlıları var ama Ubuntu en azından tüm win sürümlerinden kat ve kat daha hızlıdır.

hacı baba tekkesi değil demi burası :D
Bugün 00:45
sevgili dostum bankanin adini veya buyuk sirket isimi vermey gerek yok
sen kendin bie kont rol edebilrisin

nmap Os detaction yap istedigin scom.yada org yada net adresini
daha fazla soze gere kalmaz
ayrica
"amtorlerin gelistirdigi" demisin sanmam

"Linux aslında değişkenin NULL'u işaret etmediğinden emin oluyor."

Öncelikle bu iki güzel haberi yayınlayarak uyaran Chip Online'ı eleştirmek yerine teşekkür etmemiz gerekiyor.

Ne bilerek yapılmış bir güvenlik açığı, ne de çözümü olmayan bir sorun, ne de şok haber mantığıyla yapılmış bir karalama. Oldukça güzel ve yararlı bir bilgilendirme.

Kötü niyetli insanların bu açığı ele geçirerek kullanabiilmeleri de neredeyse imkansız. Ama yine de bu önemli güvenlik açığı düzeltilecektir.

Ben lisans satın alıp da, Windows'ları kendi bilgileri dışında ZOMBİ ordusuna katılan günahsız arkadaşlara üzülüyorum.

http://www.h-online.com/security/Linux-kernel-vulnerability-fixes--/news/114021

Evet geçmiş olsun arkadaşlar. Chip henüz haberini vermedi ancak yabancı sitelerde açığın şu anda kapatıldığı ve yeni hali ile kernelin sunulduğu belirtiliyor. Debian ve Fedora kerneli depolarına koymuşlar bile. Sanırım en kısa zamanda diğer dağıtımlarda gerekli düzenlemeleri yapacaklardır. Kritik bir açığın kapatılması için sanırım belirli bir update günü belirlemeden anında işlem yapılması açık kaynağın kalitesini gösterir. Darısı "diğerlerinin" başına :).
Saygılarımla

bazı arkadaşlar açık kodlu lafını yanlış anlıyorlar. içine birşeyler koyarım gibi laflara yalnızca gülünür. hadi istediğinizi yazın ekleyin çıkarın kime yedireceksiniz. herkez görecek. görmeyi bilmeyenlerde resmi depolardan temizi alacaklar. siz daha yaptıklarınızı kişilere nasıl yedireceksiniz onu aşamıyorsunuz. açık kod güvenlidir. kapalı kutunun içinde ne olduğunu bilemezsiniz.

Sen de yorum yaz


CHIP'i Takip edin
E-Posta listemize katılın
CHIP Dergi Mobil Cihazınızda

İlginizi çekebilir