Chắc chắn nó an ninh!

Sure,it's Secure!

Mộtsự sửa lỗi quan trọng của Linux.

Linuxkhông thường xuyên phải sửa các lỗi, nhưng một vấnđề về an ninh gần đây đã được phát hiện đáng đểbạn chú ý.

Animportant Linux fix

It'snot often that Linux needs to be fixed, but a recently discoveredsecurity problem does deserve your attention.

by sjvn

November 6, 2009, 02:43PM

Theo:http://www.itworld.com/security/83917/an-important-linux-fix

Bài được đưa lênInternet ngày: 06/11/2009

Lờingười dịch: Lỗi con trỏ 0 trong nhân Linux đã từng đượcnói tới, nay đã có cách để sửa.

Hầu hết thời gianbạn có thể đi hàng tháng, hàng năm, mà không phải váphát tán Linux của bạn và không nằm trong bất kỳ sựnguy hiểm thực sự nào. Một lỗ hổng về an ninh đãđược phát hiện gần đây trong nhân Linux đáng để bạnchú ý tới.

Đặc biệt, Earl Chew,một lập trình viên Linux, và, cùng lúc, Brad Spengler, ngườitạo ra chương trình an ninh Linux Grsecurity, đã phát hiệnrằng đã có một lỗi con trỏ 0 mà nó có thể, về lýthuyết, cho phép những người sử dụng không có quyềngốc root chộp được các quyền ưu tiên của người quảntrị. Bạn sẽ không muốn điều đó xảy ra.

Lỗi đặc biệt này,được biết tới trong giới lập trình viên như là lỗisố CVE-2009-3547, có trong tất cả các phiên bản hiện đạicủa nhân Linux 2.6. Nó đã được sửa trong bản 2.6.32 RC(phiên bản ứng viên), nhưng trừ phi bạn đang chạy trêncạnh đặc biệt của Linux, còn thì bạn sẽ không chạyphiên bản đó của nhân.

Vì thế khả năng bạncó thể có vấn đề này. Tôi nói có thể vì đối vớilỗ hổng về an ninh này để được mở giá trị tớicon trỏ mmap_min_addr phải là 0. Nếu không phải thế, thìbạn an toàn.

Hầu hết các pháttán trao cho con trỏ này một giá trị. Nhưng, có nhữngphàn nàn rằng để cho phép Wine, chương trình phổ biếnmà nó cho phép bạn chạy các chương trình của Windowstrên Linux, thì giá trị của nó phải được thiết lậpvề 0. Dù điều đó là không đúng. Trên các hệ thốngLinux của riêng tôi, tôi thường chạy Wine, và người anhem lớn thương mại của nó, CrossOver Linux, và trên cácmáy tính cá nhân của tôi, mmap_min_addr không được thiếtlập về 0.

Bỏ qua thứ đó, cómột số phát tán Linux, như Red Hat Enterprise Linux và SuSELinux của Novell nơi mà con trỏ này được thiết lập mặcđịnh ở 0, mà nó làm cho chúng có thể bị tổn thươngđối với các cuộc tấn công. Trong trường hợp của RedHat, việc sửa lỗi này đã sẵn sàng. Với SuSE, miếng vávĩnh cửu, từ ngày 06/11, vẫn còn đang được tiến hành.

Mostof the time you can go for months, years, without patching your Linuxdistribution and not be in any real danger. A recently uncoveredsecurity hole in the Linux kernel does deserve your attention.

Specifically,Earl Chew, a Linux developer, and, at about the same time, BradSpengler, creator of the Linux security program Grsecurity,discovered that there was a possible null pointer error that could,in theory, enable non-root users grab administrator privileges. Youdon't want that to happen.

Thisparticular bug, known in developer circles as CVE-2009-3547, hits allmodern versions of the Linux 2.6 kernel It's been fixed in theupcoming 2.6.32 RC (release candidate), but unless you're running onLinux's bleeding edge, you're not running that version of the kernel.

Sochances are you might have this problem. I say might because for thissecurity hole to be open the value to the mmap_min_addr pointer hasto be zero. If it's not, you're safe.

Mostdistributions give this pointer a value. But, there are claims thatto enable Wine, the popular program that lets you run Windowsprograms on Linux, its value must be set to zero. That's not truethough. On my own Linux systems, I often run Wine, and its commercialbig brother, CrossOver Linux, and on my PCs, mmap_min_addr is not setto zero.

Thataside, there are some Linux distributions, such as Red Hat EnterpriseLinux and Novell's SUSE Linux whe-re the pointer is set by default tozero, which makes them vulnerable to attack. In Red Hat's case, thefix is already available. With SUSE, the permanent patch, as ofNovember 6th, is still on its way.

Tuy nhiên, điều đókhông có nghĩa là bạn phải ngồi và chờ đợi nhà cungcấp dòng trên của bạn sửa lỗi này. Bạn có thể tựthiết lập lại con trỏ này trong khi vẫn chờ bản sửalỗi vĩnh viễn.

Để xem liệu bạn cócần phải lo lắng hay không, hãy vào một vỏ và chạylệnh sau:

cat/proc/sys/vm/mmap_min_addr

Nếu điều này chobạn một giá trị 0 hoặc không có giá trị nào, thì bạncó khả năng bị tổn thương. Nếu nó cho bạn bất kỳcon số nào, thì cuộc sống là tốt lành và bạn khôngcần phải lo lắng với nó.

Nhưng, nếu thông tinnày là xấu, hãy chạy lệnh này:

sysctl -wvm.mmap_min_addr="1024"

Hoặc, bạn có thểsử dụng bất kỳ giá trị số nào khác cho tới 65535 vàmáy của bạn sẽ an toàn cho tới khi nó được khởi độnglại một lần nữa.

Có những cách thứđể thiết lập vĩnh viễn nó tới một giá trị mới,nhưng vì, giống như hầu hết những người sử dụngLinux, tôi có xu hướng khởi động lại máy của tôi mỗilần trăng xanh, tôi sẽ không phải lo với những thứnày.

Cách mà tôi chỉ ra,tất cả các nhà cung cấp Linux sẽ có bản vá lỗi nàytừ lâu, lâu trước khi tôi khởi động lại máy tính củatôi một lần nữa. Cách sử dụng của bạn có thể khác.

Trong mọi trườnghợp, nếu bạn đang chạy Red Hat, hãy vá bây giờ. Nếubạn đang chạy một biến thể của Red Hat, như CentOS hoặcOracle Unbreakable Linux hoặc một SuSE Linux, thì bạn sẽmuốn chạy sửa lỗi sysctl. Những người sử dụng Debianvà Ubuntu dường như là sẽ an toàn, nhưng nếu bạn muốnchắc chắn gấp đôi, chỉ chạy lệnh cat và bạn sẽbiết chắc chắn.

Thatdoesn't mean, however, you have to sit and wait for your upstreamprovider to come up with a fix. You can reset the pointer yourselfwhile holding out for the permanent fix.

Tosee if you need to bother, head over to a shell and run the followingcommand:

cat/proc/sys/vm/mmap_min_addr

Ifthis gives you a zero or no value, then you're potentiallyvulnerable. If it gives you any other number, life is good and youdon't need to worry with it.

But,if the news is bad, just run this command:

sysctl-w vm.mmap_min_addr="1024"

Or,you can use any other numeric value up to 65535 and your system willbe safe until it's rebooted again.

Thereare ways to permanently set it to a new value, but since, like mostLinux users, I tend to re-boot my systems once every blue moon, I'mnot going to bother with these.

Theway I figure it, all the Linux vendors will have this hole patchedlong, long before I reboot my systems again. Your usage may vary.

Inany case, if you're running Red Hat, patch now. If you're running aRed Hat variant, like CentOS or Oracle Unbreakable Linux or a SUSELinux, you'll want to run the sysctl fix. Debian and Ubuntu usersseem to be safe, but if you want to make doubly sure, just run thecat command and you'll know for sure.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com