Onderzoeker ontdekt gevaarlijke bug in Linux-usb-driver

[Brumm3l]

Zag net het volgende bericht op Tweakers.net staan:

http://tweakers.net/nieuws/73097/onderzoeker-ontdekt-gevaarlijke-bug-in-linux-usb-driver.html

Schrok even van de titel, maar het risico is eigenlijk verwaarloosbaar:

... al is fysieke toegang tot een usb-poort van een server of pc noodzakelijk.

Zodra iemand fysieke toegang tot machine heeft is het hek al van de dam....

[Joris Donders]

Tja, alles is te kraken... Dus voor zoveel mogelijk niets zorgen blijft de boodschap denk ik (uitspraak gepikt van Ramana).

Voor een server is dat wél ernstig te nemen !

[Pjotr]

Jeetje, alweer een veiligheidsgat in Linux.... 

Zou dát soms de reden zijn, dat we zo vaak veiligheidsupdates krijgen? 

[Bobbie]

Pjotr, je mag niet meer meespelen, je kent het antwoord al  XD XD

[Bloom]

Laten we wel wezen: tenzij je je harde schijf encrypteert, kun je ALTIJD toegang krijgen tot alle data op een systeem door een livecd of live-usb OS te booten. De enige vereiste is ook hier fysieke toegang. Dat je dan fysieke toegang zou kunnen verwerven door een kwetsbaarheid in de usb-driver maakt nauwelijks indruk op mij. Zolang het niet gaat over kwetsbaarheden die via het internet uitgebuit zouden kunnen worden, vind ik het niet direct een probleem. En het zal wel opgelost worden met een van de volgende updates... Geeuw!

[Xarvaz]

ze pennen er driftig oplos over Linux op die media sites merk ik 

[bwmchris]

onderzoeker van een antivirus makelaar? want soms krijg ik de indruk dat deze mannen veel doen om te verkopen door angst te zaaien, soms terecht maar soms ook niet. Mijn persoonlijke gedachten gang die best verkeerd kan zijn maar van deze indruk kan ik mij niet gemakkelijk ontdoen.

[Bobbie]

Positief of negatief, maakt niet uit, het staat in de belangstelling 

[Pjotr]

Zouden ze meelezen? Enfin, om de verslaggevers van tweakers.net en security.nl een handje te helpen (we zijn de beroerdste niet, en onderwerpen voor nieuwe publicaties zijn blijkbaar moeilijk te vinden):
http://www.ubuntu.com/usn

Zo, daar kunnen ze de rest van het jaar hun webstekken weer mee volkletsen.  

[Bobbie]

Waarschijnlijk vinden ze wel een gaatje  8)

[Gandyman]

Er staat duidelijk dat het probleem al is opgelost toch ?

Het onveilige strcpy-commando werd pas in februari vervangen door het veiligere strlcpy-commando in de Linux-kernel. Strlcpy controleert de lengte van een string

Daar komt bij dat iedere computer met eender welke software een groot probleem heeft zodra ik er fysiek bij kan komen 

[Vistaus]

Daar komt bij dat iedere computer met eender welke software een groot probleem heeft zodra ik er fysiek bij kan komen 

Zin om langs te komen?

[Johan van Dijk]

Veel (bijna alle) computers met een FireWire-poortje hebben ook zo'n soort lek.
http://en.wikipedia.org/wiki/Firewire#Security_issues