forum.opennet.ru

"Локальная root-уязвимость в подсистеме inotify ядра Linux"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Второй уровень иерархии тем в форуме реализован через вкладку "Показ ключевых тем".

. "Локальная root-уязвимость в подсистеме inotify ядра Linux"	+4 +/–
Сообщение от пох (?), 05-Авг-17, 12:19
еще бывает банальное - "доступность важна, но денег на полноценный резерв нет и не будет, есть только аварийные системы". но вообще-то лучше систем с аптаймами в годы избегать - рано или поздно оно случайно перезагрузится (причем не во время тихое, а в самый неподходящий момент), и тут выяснится, что два года назад что-то руками поправили, но при перезагрузке оно слетает, или наоборот, что-то поменяли, в том числе стартовые скрипты, а оно с ошибкой и ключевой сервис вообще не запускается. как ни старайся быть аккуратным - все равно что-нибудь упустишь. А поскольку с момента исправления прошли десятки месяцев - не так уже и просто выяснить, кто, чего и зачем там трогал. и это не говоря уже о том, какие прелестные возможности live patch предоставляет для прятанья следов pwning.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Локальная root-уязвимость в подсистеме inotify ядра Linux, opennews, 04-Авг-17, 23:02 [смотреть все]

Енжой ёр Си , Аноним, 04-Авг-17, 23:02 (1) //
- Не все уязвимости сводятся к переполнению стека массива Гораздо больше логическ, Вареник, 04-Авг-17, 23:07 (4) //
  - На самом деле желание молодежи меньше работать и больше зарабатывать вполне поня, Аноним, 04-Авг-17, 23:10 (6) //
    - Офигенный идеал, зачем тогда погромист, платить ему 200 баксов за весь фигак-фиг, Онтон, 04-Авг-17, 23:45 (12)
      - программисты против языков которые упрощают программирование, так как им платить, 564625145, 05-Авг-17, 08:02 (35)
        
        Давайте, все настоящие программисты кодят только на асме и ниже , Анонс, 05-Авг-17, 09:10 (40)
        В мои времена программистам платили с доходов компании, и соответственно, чем бо, Старый одмин, 05-Авг-17, 20:29 (65)
        
        В мои времена им платили по 120 руб мес Белые халаты бесплатно , Аноним, 05-Авг-17, 20:46 (66)
        
        Это сразу после института Тогда верю, kerneliq, 07-Авг-17, 09:48 (81)
        
        В СССР вообще ИТР-ы получали меньше работяг Глупость - но факт Не везде и не в, _, 08-Авг-17, 16:10 (87)
    - Написан непограммист Ты забыл третий ключевой пункт в сфере разработки ПО Поск, Аноним, 05-Авг-17, 07:53 (34)
      - - Что это вы эту кривую двуногую табуретку везде с собою носите - Я её не ношу, , Аноним, 05-Авг-17, 20:49 (67)
    - Это приводит к уменьшению заработка, Аноним, 07-Авг-17, 10:53 (82)
  - А у них негров линчуют , да Здесь речь про race condition и переполнение буфер, Ordu, 05-Авг-17, 10:17 (41) //
    - Смогли бы Если пришли к расту, предварительно изучив ассемблер и поработав го, Crazy Alex, 05-Авг-17, 12:24 (46)
      - Я не могу говорить определённо в силу отсутствия фактов -- раст действительно мо, Ordu, 05-Авг-17, 22:37 (70)
        
        Тут верный способ рассуждений такой а кому ВЫГОДНО вкладываться в развитие Rust, pripolz, 11-Авг-17, 17:20 (91)
        
        Не совсем так Выгодно всем, кто хоть немного в теме Вопрос в том, кто вкладыва, Ordu, 11-Авг-17, 19:46 (92)
    - i чисто механически, следуя определённым правилам программирования, типа не ис, eganru, 05-Авг-17, 15:05 (50)
      - Rust не позволить написать код, который одложит указатель в событие inotigy и од, pda, 05-Авг-17, 16:03 (54)
      - Я сейчас потратил полчаса пытаясь изобрести краткое объяснение Мне не удалось э, Ordu, 05-Авг-17, 17:06 (55)
        
        спасибо в общих чертах понял , egan_ru, 05-Авг-17, 18:05 (60)
        Это все простейшие примеры А логические гонки, когда, например первое что приш, Аноним, 15-Авг-17, 12:33 (94)
        
        При всём при этом, возникает вопрос, придется ли мучится, если реально логикой э, Аноним, 15-Авг-17, 12:35 (95)
        
        gt оверквотинг удален На такие случаи есть RefCell RefCell сам по себе immuta, Ordu, 15-Авг-17, 19:29 (97)
        
        Чем эта гонка логическая Чтобы читать в или писать из File нужна mutable ссыл, Ordu, 15-Авг-17, 19:24 (96)
- Что-то по поделкам на пыхе статистика не лучше Пожалуй, даже хуже Эдак на пару, Аноним, 04-Авг-17, 23:07 (5) //
  - М а с какой версии пых стал многопоточным , Аноним, 07-Авг-17, 10:58 (83)
- Давай, расскажи нам, какие языки позволяют избежать гонки , Аноним, 04-Авг-17, 23:43 (11) //
  - хаскель с STM, анонимус, 05-Авг-17, 00:15 (17)
  - Как ни странно, Rust Концепция владения и заимствования нацелена на разделение , irinat, 05-Авг-17, 00:54 (21) //
    - Правильнее было бы сказать, что Rust позволяет предотвратить больше вариантов ra, angra, 05-Авг-17, 03:36 (26)
      - По идее он только от чего-то совсем тривиального сможет защитить - ценой довольн, Crazy Alex, 05-Авг-17, 15:33 (51)
        
        Просто не нужно писать Си-код на Rust Так-то программисты могут писать фортран-, irinat, 05-Авг-17, 18:40 (61)
        
        yet another просто не нужно писать код, если он не идеальный , только со своей , Аномномномнимус, 05-Авг-17, 19:58 (64)
  - Те, которые многопоточность толкмо не могут, конечно В остальных - в крайнем сл, Crazy Alex, 05-Авг-17, 12:27 (48)
  - Тот же D Все обычные переменные локальны для потоков Т е если ты объявишь , Очередной аноним, 18-Авг-17, 11:26 (98)
- А что, есть ЯП где гонки невозможно сделать принципиально , Аноним, 13-Авг-17, 18:48 (93)
А не слили 32-битный в качестве демки так вот о чём наши ядерщики на этой недел, Michael Shigorin, 04-Авг-17, 23:04 (2)
Не тому человеку дали Pwnie Awards, ой не тому , Аноним, 04-Авг-17, 23:04 (3) //
- Линус, помнится, вообще говорил, что уязвимости ничем от других ошибок не отлича, Аноним, 04-Авг-17, 23:14 (7) //
  - Прям Доктор Манхеттен , Аноним, 05-Авг-17, 17:12 (56)
Как хорош все же canonical-livepatch uptime 343 daysА CVE-2017-7533 закрыт, как , Ergil, 04-Авг-17, 23:32 (9) //
- Сейчас бы в 2017 аптаймом меряться P S Недавно без сожалений ребутнул серер точ, Аноним, 05-Авг-17, 00:05 (14)
- Я в прицнипе не спорю, но аптайм - пофиг Если доступность действительно важна - , Crazy Alex, 05-Авг-17, 00:10 (16) //
  - еще бывает банальное - доступность важна, но денег на полноценный резерв нет и , пох, 05-Авг-17, 12:19 (45) //
    - Это называется админ считает, что доступность важна, менеджер - что нет Бывае, Crazy Alex, 05-Авг-17, 15:39 (52)
      - есть еще распространенный вариант - вы же специалисты, сделайте нам бесплатно , пох, 06-Авг-17, 13:07 (73)
- Я вам просто напомню http www opennet ru opennews art shtml num 36401, asdsdsa, 05-Авг-17, 01:50 (25)
и где ссыль на exploit , Sfinx, 04-Авг-17, 23:50 (13) //
- Сказал же, что уязвимость локальная 8212 вот и ищите на http 127 0 0 1 , Аноним, 05-Авг-17, 00:35 (19) //
  - Недоступно http hnng moe f T9s, Аноним, 05-Авг-17, 00:49 (20) //
    - Судя по скриншоту, локализация тоже полетела, так что, похоже, проблемы глобальн, Аноним, 05-Авг-17, 00:55 (22)
      - Вы не видели ua_UA UTF-8 похоже , Аноним, 05-Авг-17, 00:56 (24)
        
        Нет, это кое-кому отказало чувство юмора Не говоря о том, что ru_RU UTF-8 и en_, Аноним, 05-Авг-17, 10:36 (42)
        
        А если чувства юмора у человека нет и не было Прошу прощения, но если вы генерир, Аноним, 05-Авг-17, 17:29 (59)
    - Типичный User localhost , Аноним, 05-Авг-17, 00:55 (23)
  - вопрос был не об уязвимости а оссылке на exploit чукча типа писатель , Sfinx, 05-Авг-17, 13:20 (49) //
    - а зачем тебе комиттеры в апстрим ядро и мэйнтэйнеры дистрибутивов получили репр, Мегазаычы, 06-Авг-17, 15:49 (75)
крутой подход, мейнстримный, денежный, Аноним, 05-Авг-17, 00:26 (18)
Пишите плиз корректно Человек делал глобальный cleanup - и случайно зацепил и э, Аноним, 05-Авг-17, 08:12 (36) //
- Ничего подобного, в багтрекере Red Hat сведения об уязвимости появились 6 июля, , Аноним, 05-Авг-17, 08:29 (38)
Дыра в системе Пустяки, стабильность важнее , Аноним, 05-Авг-17, 09:02 (39) //
- у вас просто недостаточно стабильный дебиан - в позапрошлой версии ядро без этог, пох, 05-Авг-17, 12:24 (47) //
  - действительно, это не rh с тремя сотнями патчейна штатное ядро Debian 8 сейчас и, бедный буратино, 05-Авг-17, 17:22 (58) //
    - а не хотите 15к патчей у шапки , Аноним, 05-Авг-17, 20:53 (68)
      - я говорю про целых триста патчей , бедный буратино, 05-Авг-17, 21:15 (69)
        
        ах простите Это ваш оппонент туфту гонит В 7 3 было 16k патчей - включая цель, Аноним, 06-Авг-17, 09:16 (71)
      - как и у дебиана, большую часть можно просто выкинуть без вреда для себя Драйвер, пох, 06-Авг-17, 13:25 (74)
        
        это у тебя s360x никогда не будет и, возможно, даже юзерского шелла в такую сист, Мегазаычы, 06-Авг-17, 15:54 (76)
        
        ну, необязательно, есть же бесплатный debian systemZ это ж вроде 390 и есть , пох, 06-Авг-17, 22:15 (78)
с inotify нельзя указать каталог и получать события при изменении любого подката, anonymous, 05-Авг-17, 18:46 (63) //
- вроде была фича наследования флагов и подъема события по каталогам вверх , Аноним, 06-Авг-17, 09:16 (72)
- это не плохо, это защита от идиотов -разработчиков представь, что кто-то вешае, Мегазаычы, 06-Авг-17, 15:56 (77) //
  - Почему вешать inotify на это плохо , Аноним, 06-Авг-17, 23:29 (79) //
    - Вовсе не плохо Продолжай перебегать улицу на красный свет и вешать inotify на , Led, 07-Авг-17, 01:47 (80)
      - Почему перебегать улицу на красный свет плохо, мне объясняли Почему вешать inot, Аноним, 07-Авг-17, 11:20 (84)
        
        Учить дураков - тяжкий труд Труд, согласно Конституции, должен быть оплачен Тя, _, 08-Авг-17, 16:51 (88)
        Для будущего асфальторовнятеля в модной оранжевой робе этого достаточно , Led, 08-Авг-17, 21:31 (89)
вот только ядра с этим коммитом вышли только вчера 4 12 5 и сегодня 4 9 41 4 , Sylvia, 07-Авг-17, 12:15 (85) //
- Так это для гентушников Для остальных давно вышли , Led, 07-Авг-17, 23:21 (86)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру