El 13/02/08, Carlos E. R.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Content-ID:
El 2008-02-13 a las 14:01 +0100, Camaleón escribió:
...
Sigue sin tener sentido... si el día 1/02/2208 se conoce el problema y la solución, ¿por qué no aplicar la solución a ese problema en ese parche liberado el día 8?
Según dijo Marcus Meissner el domingo dia 10, el kernel del día (KOTD) tenía el problema solucionado, en teoría, pero que ese kernel no era usable por otros motivos. El bug era conocido de antes, pero no publicado, y no resuelto en el kernel que teníamos en nuestros sistemas. Como no estaba publicado, creían tener tiempo para estudiar el parche y ponerlo, imagino. Pero no estaba puesto:
] This problem affects both openSUSE 10.2 and 10.3, older products did not ] have vmsplice and so are not affected. ] ] Theoretically the KOTD should have the fix already, but it is not ] syncing due to other problems.
En el momento en que saltó la liebre el domingo, los crackers empezaron a hacer scrips para intentar usar el exploit. Yo he leído reportes de gente afectada (aka violada). Y otros han demostrado que la 10.3 era crakeable probandolo en sus propios ordenadores. No se, a lo mejor mentían.
Ya para el dia 8 de febrero estaba el parche para el bug citado: http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.24.1
Realmente, me tienen arto de tantas estupideces!
Hum... vale. Sí, mejor preguntar al Sr. Meissner ;-).
Desde luego. Hay que ver, el señor Meissner gastando docenas de horas/hombre para sacar a toda prisa un kernel para solucionar un problema que estaba solucionado ya y que no suponía ningún peligro... ¡eso es un gastazo injustificado para la empresa!
:-p
Por cierto, he sido incapaz de encontrar ningún módulo vmsplice ni siquiera en el kernel del dvd. Si no había módulo, no ha habido nunca ningún problema.
Siempre haciendo de las tuyas, y eliminando el texto que no te conviene: "De paso otro link mas, para reafirmar, todo lo que venía diciendo en el hilo, que la falla estaba en el archivo splice.c: http://isec.pl/vulnerabilities/isec-0026-vmsplice_to_kernel.txt" Te olvidaste que en un correo habia adjuntado el fuente splice.c? En otro mensaje dije que suponia que podia ser un modulo (splice.o), por estar ese fuente /fs/splice.c, (la mayor parte de los fuentes bajo /fs estan compilados como modulos) pero no lo sabia con exactitud porque justo el kernel que tenía estaba "castrado". Tambien dije que ese elemento podía estar compilado dentro del kernel y es algo optativo de cada distro. Salu2 PD: No te cuesta nada hacerte el tonto... --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org