ubuntuusers.de

Root exploit im NVidia Grafiktreiber

Status: Gelöst | Ubuntu-Version: Ubuntu
Antworten |

otzenpunk Team-Icon

Avatar von otzenpunk

Anmeldungsdatum:
17. Oktober 2005

Beiträge: 8691

Wohnort: Hamburg-Altona

mdkuser

Avatar von mdkuser

Anmeldungsdatum:
7. Februar 2006

Beiträge: 1098

otzenpunk hat geschrieben:

mdkuser hat geschrieben:

P.S. Wo in dem Artikel ueber upstart steht was vom BSD init?
Before writing this specification, a comprehensive review of the existing replacement init systems was performed and each one tested to discover whether it was able to solve our problems. Most of them by far were not fit, in fact only four passed the most basic test of being maintained by their author and suitable for production use.

BSD gehörte nicht zu den vieren und wird deswegen nicht mal erwähnt.
mdkuser hat geschrieben:

Und wo werden da Gruende aufgezaehlt warum das nicht passt?

Muss man dir alles vorkauen?

In dem Artikel - insbesondere in den Abschnitten "Rationale" und "Use Cases" - werden ca. ein Dutzend Unzulänglichkeiten am jetzigen System-V-Init aufgezählt. Mach dir doch mal für dich selber die Mühe, und hake alle davon ab, die durch einen Übergang zu BSD gelöst wären.

Das BSD Init kann im Gegensatz zum Sys-V-Init auch syncron Dienste starten.
Dieser ganze Plug-and-play Kram fuer removable Devices wird meiner meinung nach überbewertet. Hotplug und udev tun doch ganz gut, man steckt ein neues Geraet ein, und wenn Unterstuützung im Kernel vorhanden ist, dann wird das auch eingebunden. Notfalls muss man eben noch benoetigte Module nachladen oder einen mount-Befehl absetzen, das sollte aber doch kein Problem sein. Na egal ich verstehe nicht, was man fuer Probleme sieht, die mit BSD Init oder init-ng nicht geloest werden koennten.

Back to Topic: NVIDIA Updates sind immer noch nicht in den offiziellen Repos. Dauert es wirklich so lange um ein paar Deb-Pakete zu packen? Testen muss man da eh nicht viel, denn sollten weitere Bugs auftauchen, koennen diese Bugs auf Grund der fehlenden Sourcen eh nicht vom Ubuntu-Team gefixt werden sondern nur von Nvidia selber.

otzenpunk Team-Icon

Avatar von otzenpunk

Anmeldungsdatum:
17. Oktober 2005

Beiträge: 8691

Wohnort: Hamburg-Altona

mdkuser hat geschrieben:

Na egal ich verstehe nicht, was man fuer Probleme sieht, die mit BSD Init oder init-ng nicht geloest werden koennten.

Das ist doch eine Wiki-Seite. Schreib doch 'nen Kommentar, dass du BSD-Init für vollkommen ausreichend hältst, und dass die total blöd sind, weil sie sich so viel überflüssige Arbeit mit Upstart machen. :twisted:
mdkuser hat geschrieben:

Back to Topic: NVIDIA Updates sind immer noch nicht in den offiziellen Repos. Dauert es wirklich so lange um ein paar Deb-Pakete zu packen? Testen muss man da eh nicht viel, denn sollten weitere Bugs auftauchen, koennen diese Bugs auf Grund der fehlenden Sourcen eh nicht vom Ubuntu-Team gefixt werden sondern nur von Nvidia selber.

Wozu such ich eigentlich extra den zugehörigen Bug-Report raus, wenn du ihn dann nichtmal liest, bevor du hier schreibst?

TTinSB

Avatar von TTinSB

Anmeldungsdatum:
9. April 2005

Beiträge: 1191

Wohnort: Saarbrücken

Nanu, was ist denn hier los? Ich dachte es geht um den Bug im Nvidia Treiber.
Ubuntu läßt sich mit dem Fix aber wirklich viel Zeit.
Heute ist ja schon die Final von Edgy erschienen und da scheint immer noch der Treiber mit Bug drin zu sein.
Naja, wird schon irgendwann gefixed werden.

otzenpunk Team-Icon

Avatar von otzenpunk

Anmeldungsdatum:
17. Oktober 2005

Beiträge: 8691

Wohnort: Hamburg-Altona

Weil ja anscheinend niemand hier auf Links klickt: 🙄

Re: nvidia driver has buffer overflows from Kees Cook at 2006-10-23 16:28:00 UTC

After edgy is released, we will issue security updates for edgy and dapper. No updates are needed for hoary and breezy, which are not affected by this problem.

Re: nvidia driver has buffer overflows from Matt Zimmerman at 2006-10-23 17:20:03 UTC

It is too late to fix this for the release, which is already in progress. An update will be available via the normal security update channels as with any other vulnerability.

Evtl. Beschwerden über dieses Vorgehen bitte dort loswerden anstatt hier rumzumaulen.

mdkuser

Avatar von mdkuser

Anmeldungsdatum:
7. Februar 2006

Beiträge: 1098

Den Bugreport hatte ich gelesen, aber wenn man einfach aus den offiziellen NVIDIA-Binaries ein Deb erzeugen wuerde sollten keine der beschriebenen Fehler auftreten.

P.S. Das Vorhandensein solcher Sicherheitskritischen Bugs hätte eigentlich den Release von EDgy final verschieben muessen.

otzenpunk Team-Icon

Avatar von otzenpunk

Anmeldungsdatum:
17. Oktober 2005

Beiträge: 8691

Wohnort: Hamburg-Altona

mdkuser hat geschrieben:

P.S. Das Vorhandensein solcher Sicherheitskritischen Bugs hätte eigentlich den Release von EDgy final verschieben muessen.

Wie? NVidia lässt sich zwei Jahre Zeit mit dem Bug, verhindert durch Closed Source, dass andere ihn fixen, und wenn er dann aufgrund der Veröffentlichung eines lokalen Exploits doch gefixt wird soll die komplette Release verzögert werden, nur weil ein paar XGL-Fans und Cedega-Benutzern der Standard-Treiber nicht ausreicht?

Abgelehnt. Gibt Workarounds (nv-Treiber benutzen oder RenderAccel abschalten), deswegen eilt das nicht.

lakerz

Avatar von lakerz

Anmeldungsdatum:
27. November 2005

Beiträge: 640

Wohnort: Speyer

XGL Fans sollten sowieso den neuen 9er Treiber nehmen und auf XGL und AIGLX verzichten, statt dessen die Nvidia Lösung nehmen. Läuft bei mir bis jetzt super.

moderiert von otzenpunk: Hab diese Diskussion mal hierhin verschoben: http://forum.ubuntuusers.de/topic/55108/

mdkuser

Avatar von mdkuser

Anmeldungsdatum:
7. Februar 2006

Beiträge: 1098

otzenpunk hat geschrieben:

mdkuser hat geschrieben:

P.S. Das Vorhandensein solcher Sicherheitskritischen Bugs hätte eigentlich den Release von EDgy final verschieben muessen.

Wie? NVidia lässt sich zwei Jahre Zeit mit dem Bug, verhindert durch Closed Source, dass andere ihn fixen, und wenn er dann aufgrund der Veröffentlichung eines lokalen Exploits doch gefixt wird soll die komplette Release verzögert werden, nur weil ein paar XGL-Fans und Cedega-Benutzern der Standard-Treiber nicht ausreicht?

Abgelehnt. Gibt Workarounds (nv-Treiber benutzen oder RenderAccel abschalten), deswegen eilt das nicht.

Otzenputz, ihr bei ubuntuusers.de bleibt eifach stur, nicht wahr.
Erstens hat NVidia den Bug ziemlich schnell gefixt nachdem er bekannt geworden war (übrigens schneller als Ubuntu, und der Fix ist nicht buggy) , zweitens haben sie erklärt, dass sie den Bug nicht geheimgehalten haben, sondern, dass der Bug zum ersten Mal bei der Umstellung von XFree86 auf Xorg auftrat und man der Meinung war, das es sich um ein Problem mit Xorg handele, also wenn man dem glaubt, so war NVidida nicht bewusst, das der Bug ihren Treiber betrifft und nicht ein Xorg-Bug war, drittens auch bei open Source passieren Bugs, siehe Ubuntu Dapper Drake (buggy, sollte eigentlich frickly frickler heissen) ueberall wo programmiert wird, passieren Fehler, das hat nix mit Open Source oder Closed Source zu tun, da wollen wir doch mal objektiv bleiben.
Und schließlich zeugt es nicht gerade von einer vertrauenswürdigen Releasepolitik, wenn eine "stable" Version veröffentlich wird in dem Wissen, dass diese Version bereits bekannte, schwerwiegende Bugs beinhaltet (Mit einem Root exploid ist nicht zu spaßen). Entweder veröffentlicht man dann die Version OHNE diese fehlerhaften Pakete, oder man verschiebt den Release bis die Fehler gefixt sind. Aber die Version MIT den fehlerhaften Paketen zu veroeffentlichen, zeigt wieder mal, dass die Politik hinter Ubuntu sehr zu wünschen übrig lässt. Die Politik hinter Ubuntu macht eine eigentlich gute Distrie langsam aber sicher kaputt.
Nicht nur ich sondern auch einige aus meiner LUG waren Anfangs (zu Warthy und Hoary Zeiten) euphorisch, was Ubuntu betrifft, mittlerweile ist diese Euphorie gewichen und hat sich Ernüchterung über die Ansichten der Macher von Ubuntu breit gemacht. Wir nutzen Ubuntu zwar noch weiter weil es leider unserer Meinung nach fuer ein Desktopsystem keine bessere Alternative gibt, aber die Ansichten und die Politik der Ubuntu Foundation, Canonical und der Ubuntu Community nervt gewaltig. Hier ist Debian echt überzeugender, vertauenswürdiger und konsequenter. Wenn Debian irgendwann wirklich Multimedia-, Desktop- und Notebooktauglich geworden ist, bleibt wirklich kein Grund mehr bei Ubuntu und deren Community zu bleiben!
Sorry für die harte Worte, aber wenn man das nicht so krass überspitzt formuliert, wacht ihr ja offensichtlich aus eurer Selbstgefälligkeit nicht auf!

thom_raindog

Avatar von thom_raindog

Anmeldungsdatum:
20. Mai 2005

Beiträge: 2848

Um nochmal auf das Topic zu kommen (und die in einem der letzen Posts erwähnten Workarounds):
Hilft denn das Abschalten von RenderAccel nu? Es gab User die Erfahrungen posteten die eher in die andere Richtung gingen..

otzenpunk Team-Icon

Avatar von otzenpunk

Anmeldungsdatum:
17. Oktober 2005

Beiträge: 8691

Wohnort: Hamburg-Altona

mdkuser hat geschrieben:

Otzenputz, ihr bei ubuntuusers.de bleibt eifach stur, nicht wahr.

Nein, aber du pisst die falschen Leute an. Canonical liest hier bestimmt nicht mit. Und davon, dass Leute wie du alle zwölf Stunden ein "Ja, wo bleibt er denn endlich, der Patch"-Posting abliefern kommt er bestimmt nicht schneller.
mdkuser hat geschrieben:

Erstens hat NVidia den Bug ziemlich schnell gefixt nachdem er bekannt geworden war (übrigens schneller als Ubuntu, und der Fix ist nicht buggy) , zweitens haben sie erklärt, dass sie den Bug nicht geheimgehalten haben, sondern, dass der Bug zum ersten Mal bei der Umstellung von XFree86 auf Xorg auftrat und man der Meinung war, das es sich um ein Problem mit Xorg handele, also wenn man dem glaubt, so war NVidida nicht bewusst, das der Bug ihren Treiber betrifft und nicht ein Xorg-Bug war,

Nein, der Bug war lange bekannt. Nach Angaben von Rapid 7, die den Exploit veröffentlicht haben, gab es 2004 den ersten Hinweis darauf an NVidia. (Allerdings war damals RenderAccel noch default abgeschaltet, deshalb betraf das wohl nur sehr wenige Leute.) Der Bugeintrag im Ubuntu-Launchpad ist vom 22. Mai dieses Jahres. Allerdings hat NVidia anscheinend einfach die Möglichkeit ignoriert, dass es sich hierbei um ein Sicherheitsleck handeln könnte, und den Fix auf die nächste Version verschoben, da ein paar einfache Crashs auf Ubuntu- und anderen Linuxsystemen ihnen wohl nicht wichtig genug waren.

Während dieser ganzen Zeit waren alle Linux-Desktops mit aktuellen Binär-Treibern von NVidia verwundbar! Und es ist keinesfalls garantiert, dass die Leute von Rapid 7 die ersten waren, die einen Exploit gefunden haben.

Aber es musste schon der Beweis auftauchen, dass der Fehler exploitbar ist, damit NVidia mal den Fix aus dem aktuellen Beta-Treiber rückportiert. Diese aktuelle Version kam nun am Freitag vor der Releasewoche von Edgy raus, so dass bei Canonical wohl ziemlich die Hölle los war und sie die Integration auf nach dem Release verschoben haben. Das haben sie auch genauso in den Bugreport geschrieben. Währenddessen gibt es mit RenderAccel no, dem nv-Treiber, und den Fremdpaketen von albertomilone.eu drei Möglichkeiten, den Fehler zu umgehen. Dazu kommt, dass der Treiber standardmäßig nicht benutzt wird.

Du kannst ja gerne trotzdem mit dieser Vorgehensweise nicht einverstanden sein. Aber hast du deine Kritik schon da geäußert, wo sie von den Verantwortlichen gelesen wird, nämlich in dem Bugreport? Wenn du stattdessen lieber hier rummäkelst, änderst du jedenfalls überhaupt nichts.
mdkuser hat geschrieben:

drittens auch bei open Source passieren Bugs, siehe Ubuntu Dapper Drake (buggy, sollte eigentlich frickly frickler heissen) ueberall wo programmiert wird, passieren Fehler, das hat nix mit Open Source oder Closed Source zu tun,

Hab ich das Gegenteil geschrieben? Nein. Ich hab nur geschrieben, dass bei Closed Source niemand den Bug fixen kann, wenn der Hersteller ihn auf die lange Bank schiebt.
mdkuser hat geschrieben:

Die Politik hinter Ubuntu macht eine eigentlich gute Distrie langsam aber sicher kaputt.

Kannst dich ja bei Canonical beschweren oder forken. Hier im deutschen, unabhängigen Supportforum abzulästern bringt jedenfalls gar nichts.
mdkuser hat geschrieben:

Wenn Debian irgendwann wirklich Multimedia-, Desktop- und Notebooktauglich geworden ist, bleibt wirklich kein Grund mehr bei Ubuntu und deren Community zu bleiben!

Dann werde doch Debian-Entwickler und sorg dafür, dass das schneller geht. Ansonsten bleibt einem halt weiterhin die Wahl zwischen einer halbjährlich aktualisierten Distri, wo ab und zu mal mit der heißen Nadel gestrickt wird, und einer anderen, wo die Programme bei Release zum Teil schon 1,5 Jahre alt sind. Beides hat Vor- und Nachteile.
mdkuser hat geschrieben:

Sorry für die harte Worte, aber wenn man das nicht so krass überspitzt formuliert, wacht ihr ja offensichtlich aus eurer Selbstgefälligkeit nicht auf!

Oh, danke, großer mdkuser! Du hast mir die Augen geöffnet. 🙄 Ab jetzt werde ich auch nicht mehr versuchen, Probleme zu lösen, oder anderen bei der Lösung zu helfen, sondern sie lieber permanent anprangern und darüber meckern. Nicht.

thom_raindog

Avatar von thom_raindog

Anmeldungsdatum:
20. Mai 2005

Beiträge: 2848

Heute morgen ist der 8776 Treiber in den Security-Repos für Dapper ☺

mdkuser

Avatar von mdkuser

Anmeldungsdatum:
7. Februar 2006

Beiträge: 1098

Gut zwei Wochen nachdem ein offizielles Update von NVIDIA veröffentlich wurde hat es Ubuntu jetzt endlich geschafft dieses Update auch in die offiziellen Quellen zu integrieren.
Was lange währt wird endlich gut.

lakerz

Avatar von lakerz

Anmeldungsdatum:
27. November 2005

Beiträge: 640

Wohnort: Speyer

Naja.. gugg ich mal zu Windows rüber sind 2 Wochen ja nicht viel... \^^

Nobuddy

Avatar von Nobuddy

Anmeldungsdatum:
2. September 2005

Beiträge: 6990

Wohnort: 29614 Soltau

Heute morgen ist der 8776 Treiber in den Security-Repos für Dapper Smilie

Ja und ich hab mein System gleich aktualisieren lassen, doch oh Schreck wurde jetzt aus einem Bug ein anderer Bug gemacht??????????????

Bei mir geht seit dem kein 3D mehr!!!!!!!!!!!!
http://forum.ubuntuusers.de/topic/57035/

Antworten |