Vlákno názorů k článku
Patnáct let stará chyba v jádře umožňovala lokální eskalaci práv od pjnowak - Když je chyba stará a zdokumentovaná, proč trvalo...

Když je chyba stará a zdokumentovaná, proč trvalo 15 let ji opravit? To má NSA už jiná zadní vrátka? Mimochodem NSA taky používá Linux, ale vlastní upravenou verzi.

Chyba byla objevena a opravena letos v dubnu. Opravit (od nahlášení po mainline merge) ji trvalo týden.

viz ve zpravicce:
Chyba byla vývojářům jádra nahlášena v dubnu, během několika dnů byla opravena a nyní je záplata součástí všech podporovaných distribucí.

to ze se v ~dubnu "zjistila" i to ze je v jadru 15let, preci neznamena ze je 15let zdokumentovana...

Ono i s těmi 15 lety je to trochu složitější: chyba jako taková tam sice byla 15 let, ale k tomu, aby byla zneužitelná i někým jiným než rootem, je potřeba podpora unprivileged user namespaces, která je až v jádře 3.8 (únor 2013).

Nemohla byt zneuzita procesem, ktery neni root, ale ma CAP_NET_ADMIN? (Treba nejaky sitovy konfiguracni demon, ktery se pustil pod rootem, setuidnul se na nobody ale nechal si CAP_NET_ADMIN, a pak ho nekdo remote exploitnul.)

Ano, zjednodušil jsem to, je to samozřejmě CAP_NET_ADMIN. Původně globální, od 3.8 je tam ns_capable() (tj. změna proběhla ve stejném cyklu, kdy přišla implementace unprivileged user namespaces). V praxi je to až na řídké výjimky jedno.

Samozřejmě to může být tak, že o chybě NSA a jiné agentury vědí delší dobu, a může to být i tak, že chybu zveřejní ve chvíli, kdy zjistí, že "protistrana" už o ní taky ví. Pro agentury má taková chyba význam jen ve chvíli, dokud mohou být přesvědčeny, že jim poskytuje výhodu.

Na druhou stranu, nemáme žádný důvod si myslet, že to tak bylo, stejně jako nemáme důvod předpokládat, že to tak nebylo. Ta informace nemá žádný vliv na to, že je chybu potřeba opravit a při tom se snažit o to, aby se technické detaily nedostaly předčasně do rukou široké veřejnosti.

Celkově je vlastnost open source, že kdokoliv, kdo má peníze, může chyby hledat, zjistit, a nechat si je pro sebe, ke svému užitku. Není tam bariéra ve formě omezení přístupu ke zdrojákům a dokumentaci. Když chybu objeví někdo zodpovědný, stejně ji nemůže přímo zveřejnit, protože si uvědomuje, že by se to dostalo do rukou nepravým lidem. To popírá proklamace o tom, že otevřenost vede k bezpečnosti.

Přesně tak, zlatej Windows, tam nikdo ve zdrojácích chyby hledat nemůže, takže neexistujou.

Existují, ale daleko víc se pracuje na tom, aby zdrojáky dostali do ruky jen prověření. Taky je daleko smysluplnější, když má NSA svoje backdoory pod kontrolou, než přemýšlet, jakou chybu dostane do ruky málo vypočitatelné Rusko, nebo úplně nevypočitatelná KLDR.

Stejně vždy skončíte v úvahách na bodě, že někomu musíte důvěřovat. Firmě, jednotlivému programátorovi, vlasti, cizí zemi, ... A tomu, že rozumíte jejich pohnutkám, za jakých okolností se jim vyplatí zneužít svoje možnosti. Např. víte, že Microsoftu se nevyplatí prolomit soukromí, či šifrování kvůli vlastnímu prospěchu, nebo kvůli špatně podanému daňovému přiznání uživatele. Ale taky víte, že např. Rusku se vyplatí udělat cokoliv, co rozdmýchá nejistotu, přiživovat dezinformace.

U osobních počítačů a zařízení jde jen o málo, maximálně to vyvolá trochu zmatku a nepohodlí. Ale jsou místa, kde jedna chyba může napáchat gigantické škody. Tam se pak určitě vyplatí řešit nejen samotnou skutečnost existence chyb, ale i to, kdo se o nich může jak rychle dozvědět.

Celkově je vlastnost open source, že kdokoliv, kdo má peníze, může chyby hledat, zjistit, a nechat si je pro sebe, ke svému užitku.
Oprava: Je to obecná vlastnost veškerého softwaru (a nejen jeho).

Není tam bariéra ve formě omezení přístupu ke zdrojákům a dokumentaci.
Což je ovšem z hlediska hledání bezpečnostních chyb nepodstatná bariéra.

Když chybu objeví někdo zodpovědný, stejně ji nemůže přímo zveřejnit, protože si uvědomuje, že by se to dostalo do rukou nepravým lidem. To popírá proklamace o tom, že otevřenost vede k bezpečnosti.
Ono vůbec nejde o to, že by někdo tu chybu přímo zveřejnil (k čemu by to bylo)? Rozdíl je v tom, že když už někdo ví, že je v programu chyba, když má k dispozici zdrojáky, může rovno najít problematické místo a navrhnout opravu. Za správcem daného softwaru pak přijde už s tím, že umí přesně popsat, jak chyba vzniká a má navrženou opravu. Když přijde za správcem uzavřeného softwaru, že „tahle část softwaru se někdy chová divně“, bude se s ním nejprve dohadovat, zda vůbec k té chybě dochází a zda je to chyba. Pokud nebude mít dost trpělivosti, tak to vzdá. A i když to nevzdá, stejně bude prakticky odkázán na opravu od toho správce uzavřeného softwaru. Dnes se málokdy dělá, že by záplatu na uzavřený software zveřejnil někdo jiný, protože tam je právě nedostupnost zdrojáků velkou bariérou.

Oprava: Je to obecná vlastnost veškerého softwaru (a nejen jeho).

Což je ovšem z hlediska hledání bezpečnostních chyb nepodstatná bariéra.

Když se na to díváte dlouhodobě, tak máte pravdu. Ke každé chybě se nakonec dostanou všichni. Jenže není pravda, že můžete čas zanedbávat jako nepodstatnou veličinu. Když je bezpečnostní průser, tak každá hodina náskoku na opravu se počítá.

Ono vůbec nejde o to, že by někdo tu chybu přímo zveřejnil (k čemu by to bylo)?

Protože pak už myšlenku otevřenosti ohýbáte, objektivně uznáváte, že otevřenost není vždy imperativem.

Když se na to díváte dlouhodobě, tak máte pravdu. Ke každé chybě se nakonec dostanou všichni. Jenže není pravda, že můžete čas zanedbávat jako nepodstatnou veličinu. Když je bezpečnostní průser, tak každá hodina náskoku na opravu se počítá.
Já čas jako nepodstatnou veličinu nezanedbávám, právě naopak. Čas je právě to, co díky zdrojovým kódům získáte – můžete chybu dokázat a opravit hned, nemusíte čekat, až o tom někoho přesvědčíte a až vydá opravu.

Protože pak už myšlenku otevřenosti ohýbáte, objektivně uznáváte, že otevřenost není vždy imperativem.
Řeč byla ovšem o otevřenosti zdrojového kódu. „Otevřenost“, kdy zveřejním popis chyby aniž bych o ní dal předem vědět správci daného projektu, je nesmysl, se kterým jste teď přišel vy, jinak nikdo takovou otevřenost nezastává.