باگی به مدت ۱۲ سال در لینوکس ، دسترسی روت را به مهاجمان میدهد ؟!

[🇮🇷]

سوال بهتر اینه که بعد ۱۲ سال کشف شده کجا بوده ؟ کرنل ؟

توی لینوکس :| همون کرنل معروفه

[SLACKER]

سوال بهتر اینه که بعد ۱۲ سال کشف شده کجا بوده ؟ کرنل ؟

توی لینوکس :| همون کرنل معروفه

کد: [انتخاب]

pacman -Ss polkit
extra/polkit 0.120-4 [installed]
    Application development toolkit for controlling system-wide privileges
extra/polkit-kde-agent 5.23.5-1 (plasma)
    Daemon providing a polkit authentication UI for KDE
extra/polkit-qt5 0.114.0-1 [installed]
    A library that allows developers to access PolicyKit API with a nice
    Qt-style API
community/deepin-polkit-agent 5.4.14-1 (deepin)
    Deepin Polkit Agent
community/deepin-polkit-agent-ext-gnomekeyring 0.1.0-2 (deepin)
    GNOME keyring extension for dde-polkit-agent
community/mate-polkit 1.26.0-1 (mate)
    PolicyKit integration for the MATE desktop
community/pantheon-polkit-agent 1.0.4-1 (pantheon)
    Pantheon Polkit Agent
community/polkit-gnome 0.105-8 [installed]
    Legacy polkit authentication agent for GNOME
multilib/lib32-polkit 0.120-3
    Application development toolkit for controlling system-wide privileges

[sameet]

شما واقعا منابع زومیت رو جدی میگیرید ؟

زومیت و منابع فارسی زبان کلا هدفشون تخریب گنو/لینوکسه. ولی اینبار توی منابع خارجی هم نوشته شده.

خیلی خوب تر میشد لینک همون منبع رو میزاشتید ! که همون رو میخوندیم

[behzad121]

شما واقعا منابع زومیت رو جدی میگیرید ؟

زومیت و منابع فارسی زبان کلا هدفشون تخریب گنو/لینوکسه. ولی اینبار توی منابع خارجی هم نوشته شده.

خیلی خوب تر میشد لینک همون منبع رو میزاشتید ! که همون رو میخوندیم

منابع

[جعفر فرقانلوژ]

چقدر هم گنده شده

[sameet]

شما واقعا منابع زومیت رو جدی میگیرید ؟

زومیت و منابع فارسی زبان کلا هدفشون تخریب گنو/لینوکسه. ولی اینبار توی منابع خارجی هم نوشته شده.

خیلی خوب تر میشد لینک همون منبع رو میزاشتید ! که همون رو میخوندیم

منابع

اها عجب باگیه !!!

[behzad121]

در اصل، این باگ مال خود کرنل یا گنو نیست، بلکه مال بسته polkit هست که توسط  freedesktop نوشته شده و تو بیشتر توزیع ها اضافه شده. pwnkit هم شهر هرت نیست که سرشو بندازه پایین و بیاد تو سیستم، میتونه توسط نرم افزار های مخرب و خارج از مخزن نصب بشه، بعد بیاد کار کنه یا نکنه جای هیچ نگرانی نیست.

[alitoos23]

چندین سال قبل هم یه باگی به اسم dirty cow پیدا شد اونم به اصطلاح local بود یعنی از راه دور قابل دسترسی نیست.
پس برید خوش باشید . تا خودتون کلید و دکمه ای رو نزنید . گنو/لینوکس پسر خوبی باقی می مونه 

[آرمان اسماعیلی]

حفره و آسیب‌پذیری در هر نرم‌افزاری هست. فقط هنوز بعضی‌هاش کشف نشده. هر کد جدید هم می‌تونه با خودش باگ‌ها و حفره‌های جدید به همراه بیاره.
اگه میگیم لینوکس امنیت بالایی داره یکی به این دلیله که متن‌بازه و چشم‌های بیشتری روش هست (البته معمولاً آسیب‌پذیری‌ها رو از راه خوندن کد پیدا نمی‌کنن چون اگه می‌دونستن فلان کد می‌تونه نرم‌افزار رو آسیب‌پذیر کنه که از اول اون کد رو نمی‌نوشتن! بلکه با انجام انواع آزمایشات روی نسخه‌ی کامپایل شده حفره‌ها رو کشف می‌کنن)، یکی هم اینکه اصلاً پایه و اساس سیستم‌عامل بر مبنای یه سری استاندارد محکم بنا شده که امکان آسیب‌پذیری رو به حداقل می‌رسونه.

اینکه ۱۲ سال حفره وجود داشته هم لزوماً چیز بدی نیست. چون باید ببینی اصلاً زودتر از این هم کسی اون رو کشف کرده؟ یا الان برای اولین بار پیداش کرده‌ن.

[دانیال بهزادی]

هیچ جای نگرانی نیست. خبرهایی مثل این، معنیشون اینه که از این به بعد، توزیع‌هامون امن‌تر خواهد بود. از نظر فنی هم مربوط به چارچوب polkit است. پیش از این که کسی بتونه ازش استفاده کنه هم باید بتونه از راه دیگه‌ای وارد سامانهٔ شما بشه که یعنی احتمال آسیب دیدن سامانه‌ای ازش بسیار کمه.
توصیهٔ همیشگی هم این که از توزیع‌های معقول استفاده کنید، برنامه‌ها رو فقط از مخزنش نصب کنید و همیشه به‌روز نگهش دارید.

[َUxmlai-ad]

همین بوده درسته؟

کد: [انتخاب]

Start-Date: 2022-01-30  19:56:06
Commandline: apt upgrade
Requested-By: aminavy (1000)
Install: linux-image-5.10.0-11-amd64:amd64 (5.10.92-1, automatic)
Upgrade: libpolkit-gobject-elogind-1-0:amd64 (0.105-31+devuan1, 0.105-31+devuan2), libpolkit-agent-1-0:amd64 (0.105-31+devuan1, 0.105-31+devuan2), gir1.2-javascriptcoregtk-4.0:amd64 (2.34.3-1~deb11u1, 2.34.4-1~deb11u1), gir1.2-webkit2-4.0:amd64 (2.34.3-1~deb11u1, 2.34.4-1~deb11u1), linux-image-amd64:amd64 (5.10.84-1, 5.10.92-1), libnss3:amd64 (2:3.61-1+deb11u1, 2:3.61-1+deb11u2), libpolkit-gobject-1-0:amd64 (0.105-31+devuan1, 0.105-31+devuan2), gir1.2-polkit-1.0:amd64 (0.105-31+devuan1, 0.105-31+devuan2), libjavascriptcoregtk-4.0-18:amd64 (2.34.3-1~deb11u1, 2.34.4-1~deb11u1), python3-pil:amd64 (8.1.2+dfsg-0.3, 8.1.2+dfsg-0.3+deb11u1), libwebkit2gtk-4.0-37:amd64 (2.34.3-1~deb11u1, 2.34.4-1~deb11u1), policykit-1:amd64 (0.105-31+devuan1, 0.105-31+devuan2), linux-libc-dev:amd64 (5.10.84-1, 5.10.92-1)
End-Date: 2022-01-30  19:57:34

[جعفر فرقانلوژ]

اینجا یک سوال  پیش میاد ففره ای که بدون ورود به سیستم و از راه دور قابل دسترسی نیست و اصلا مال گنو/لینوکس نیست  چرا اینقدر خبرساز شده ؟چرا اینقدر مخالف گنو/لینوکس داریم ؟ این تصورات از کجا میاد .
اینطوری باشه که یکی بیاد پشت سیستم بشینه که توی اوبونتو از منوی ریکاوری میشه بدون پسورد وارد کاربر روت شد
الان خطرش چیه ؟ اینکه من بیام پشت کامپیوتر خودم بشینم با پسورد خودم وارد بشیم و با کاربر روت خرابکاری کنم  مسخرت

[behzad121]

اینجا یک سوال  پیش میاد ففره ای که بدون ورود به سیستم و از راه دور قابل دسترسی نیست و اصلا مال گنو/لینوکس نیست  چرا اینقدر خبرساز شده ؟چرا اینقدر مخالف گنو/لینوکس داریم ؟ این تصورات از کجا میاد .
اینطوری باشه که یکی بیاد پشت سیستم بشینه که توی اوبونتو از منوی ریکاوری میشه بدون پسورد وارد کاربر روت شد
الان خطرش چیه ؟ اینکه من بیام پشت کامپیوتر خودم بشینم با پسورد خودم وارد بشیم و با کاربر روت خرابکاری کنم  مسخرت

چون به ندرت پیش اومده که تو گنو/لینوکس ویروس باشه، اومدن از فرصت استفاده کنند و بگن که گنو/لینوکس مثل ویندوز، ویروسه. از طرفی بعضی از ایرانی ها چون به مایکروسافت وابسته ان، بدون منطق دنبال جو سازی و تخریب و دعوا هستند که خدای نکرده مایکروسافت ارزشش کمتر نشه، مثل کاربرای زومیت.

[دانیال بهزادی]

اینجا یک سوال  پیش میاد ففره ای که بدون ورود به سیستم و از راه دور قابل دسترسی نیست و اصلا مال گنو/لینوکس نیست  چرا اینقدر خبرساز شده ؟چرا اینقدر مخالف گنو/لینوکس داریم ؟ این تصورات از کجا میاد .

حماقت

[جعفر فرقانلوژ]

اینجا یک سوال  پیش میاد ففره ای که بدون ورود به سیستم و از راه دور قابل دسترسی نیست و اصلا مال گنو/لینوکس نیست  چرا اینقدر خبرساز شده ؟چرا اینقدر مخالف گنو/لینوکس داریم ؟ این تصورات از کجا میاد .

حماقت

متاسفانه
+۱