Quanto è probabile un'infezione con uno skype obsoleto su linux? [chiuso]

3

Oggi ho trovato un articolo su un hotfix di Skype e ho notato che il repository che utilizzo sul mio notebook linux:

deb http://download.skype.com/linux/repos/debian/ stable non-free

Non ha la nuova versione, ma molto vecchia.

Gestisco la mia attuale installazione da circa un mese e temo di poter essere infetto. Ho notato alcuni arresti anomali del client skype e penso che potrebbero esserci stati attacchi alle vulnerabilità.

Qualcuno sa di più sul repository skype e sul perché la versione non è aggiornata? Forse ho torto e queste versioni non sono interessate.

    
posta sfx 16.05.2012 - 14:48
fonte

2 risposte

3

In primo luogo, upvote cx42net 's risposta, perché come dice lui, la vulnerabilità riguarda solo un certo tipo di pacchetto: quello collegato staticamente.

La differenza tra il collegamento statico e dinamico è l'uso di oggetti condivisi. In un programma collegato staticamente, tutto il codice di terze parti è "cotto". Se ci sono delle vulnerabilità in esso, l'intero lotto deve essere aggiornato per risolvere quella libreria.

Al contrario, i programmi collegati dinamicamente usano librerie condivise che possono essere aggiornate indipendentemente (ad es. dalla distribuzione) e quindi le correzioni nelle librerie di terze parti sono gestite dalla distribuzione il prima possibile, e si applicano a tutti i software eseguiti post update (perché le applicazioni in esecuzione avranno i vecchi SO mappati in memoria).

Come puoi dire quale hai? Il comando unix file ti dirà:

$ file /usr/bin/skype
ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), 
dynamically linked (uses shared libs), for GNU/Linux 2.6.9, stripped

Se lo vedi, stai bene. È altamente improbabile che si stia utilizzando la versione statica da un repository debian, che non avrebbe senso da un punto di vista della distribuzione (l'intero punto di utilizzo del collegamento statico è aggirare le librerie condivise incompatibili - mentre se si dispone di un repository, puoi impostare dipendenze su librerie compatibili e versioni del kernel e rendere il download più piccolo per l'avvio).

noticed some crashes of the skype client and think that there could have been attacks on the vulnerabilities.

Sarei più incline a metterlo giù nello stato beta del software, anche se hai ragione ad essere cauto e investigare sul tuo sistema non ti farà male.

    
risposta data 16.05.2012 - 21:42
fonte
2

Questo aggiornamento per la sicurezza influisce solo sul pacchetto statico di Skype come indicato qui , il che significa che tu sono interessati da questo problema solo se hai scaricato l'ultimo link in quella pagina .

Dato che usi il deplo Debian, questa vulnerabilità non è influenzata, come detto nel primo link:

This security issue affects Skype 2.2 for Linux static package only. If you are using any other package of Skype 2.2 for Linux, then you are not affected by this issue.

Ora, come lo stato della pagina libpng :

All "modern" versions of libpng (...) fail to correctly handle malloc() failure for text chunks (in png_set_text_2()), which can lead to memory corruption and the possibility of execution of hostile code.

Questo è piuttosto serio. Se hai eseguito il pacchetto statico, dovresti controllare se il tuo computer è stato compromesso. Non è facile ma puoi trovare alcuni punti di verifica tramite Google, ad esempio:

Spero che questo aiuti!

    
risposta data 16.05.2012 - 19:46
fonte

Leggi altre domande sui tag