Odobrio: domazd. Napisao: domazd.

Odjel za računalnu i mrežnu sigurnost sveučilišta u njemačkom Stuttgartu CERT upozorava korisnike GNU/Linuxa na propuste u svim aktualnim inačicama Linuxove jezgre, koje imaju niži redni broj od 2.2.22 odnosno 2.4.20...

Prema priopćenju CERT-a u jezgri 2.4.19 su već prešutno ispravljene neke od pogrešaka, ali je uz to ipak nužna još jedna zakrpa, koja je raspoloživa u datoteci kernel-2.4.19-sec na stranicama The Free World's Information and Software Repository.

U svezi s neuobičajenim postupkom putem freeworld.net-a CERT pojašnjava, kako su zbog nekih odredbi američkog zakona o zašiti autorskih prava DMCA javno raspoložive pojedinosti "dosta rijetke".

Kod većine propusta se naime radi o očvrsničkim upravljačima za sastavnice koje su proizvele tvrtke iz SAD-a. Korisnici koji su otkrili propuste – većinom ne-Amerikanci – se opravdano boje krivičnog progona SAD-a zbog njihovog objavljivanja.

Najpoznatiji takav slučaj je onaj ruskog programera i matematičara Dmitrija Skljarova, kojeg je FBI zbog objavljivanja nekih propusta u Adobeovom eBook-u uhapsio i predao sudu u Kaliforniji.

Uostalom, i CERT je svoj prilog objavio samo na njemačkom jeziku - formalno - samo za studente svog sveučilišta, očigledno kako bi i sâm izbjegao neugodnosti.

Zar je onda čudno, da se o predmetnim propustima u javnosti zna tako malo?

Pored opasnosti, da bi potencijalni napadač mogao uzurpirati lokalne administratorske ovlasti, mogući su i napadi tipa Denial-of-Service kao i isčitavanje sadržaja direktorija /proc.

CERT stoga najboljim rješenjem drži dogradnju sustava na jezgru 2.2.22 odnosno 2.4.20. Nezgoda u ovom drugom slučaju je u tomu, što je u arhivu Linuxovih jezgri za sada raspoloživa samo radna inačica pre-11.

U svezi s problemom oko objavljivanja propusta u jezgri Linuxa kao posljedicom utjecaja DMCA, CERT zastupa stav, da bi - budući se prešutne ispravke i odugovlačenja s objavljivanjem sigurnosnih problema u Linuxovoj jezgri u posljednje doba događaju sve redovitije - trebalo nastojati po mogućnosti primjenjivati najaktualnije inačice jezgre, čak i pod cijenu stanovitih rizika za produktivni pogon, koji u takvim slučajevima svakako postoje.

Inače, zbog vrlo slične politike (čiji su uzroci doduše malo drukčije prirode) prešutnog i zakašnjelog otklanjanja propusta u svojim operacijskim sustavima je već i Microsoft požnjeo buru ogorčenih i žestokih kritika svojih korisnika.