The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS


Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы [ Отслеживать ]

Оглавление

Уязвимость в ядре Linux, позволяющая обойти ограничения user..., opennews (??), 22-Ноя-18, (0) [смотреть все]

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +1 +/
Сообщение от Qwerty (??), 22-Ноя-18, 21:04 
>Уязвимость вызвана ошибкой в ядре 4.15

Но виноваты всё равно контейнеры!

Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +12 +/
Сообщение от Аноним (2), 22-Ноя-18, 21:14 
Но виноваты все равно корпорации и автор npm leftpad лично!
Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +2 +/
Сообщение от .. (?), 22-Ноя-18, 21:24 
Поттеринга забыл же!
Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +9 +/
Сообщение от Анонн (?), 22-Ноя-18, 21:45 
> Поттеринга забыл же!

Что, передумали фиксить и вместо этого объявили нот-а-багом?

Хотя то, что фанаты с незамутненной радостью и злорадством вынуждены пояснять "а вот тут Великий не виноват!", говорит уже о многом ))

Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  –5 +/
Сообщение от Аноним (13), 22-Ноя-18, 22:33 
>Но виноваты все равно корпорации

А не так что ли? Классических, понятных ugo rwx с нашлёпкой в виде chroot хватает всем смертным, современные фортеля с правами, контейнерами, изоляциями - это всё поветрия со стороны копрораций.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

14. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от Анонн (?), 22-Ноя-18, 22:41 
> А не так что ли? Классических, понятных ugo rwx с нашлёпкой в
> виде chroot хватает всем смертным, современные фортеля с правами, контейнерами, изоляциями - это всё поветрия со стороны копрораций.

Очевидно же, что это все происки Заклятых Врагов:


man jail
HISTORY
     The jail utility appeared in FreeBSD 4.0. (март 2000г)

Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  –5 +/
Сообщение от Sw00p aka Jerom (?), 22-Ноя-18, 23:25 
джейлы бсдешные тоже не торт, там тоже маппить нужно юиды/гиды, чтобы в топе(в системе) норм видеть а не неизвестные.
Ответить | Правка | Наверх | Cообщить модератору

58. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  –1 +/
Сообщение от bOOster (ok), 24-Ноя-18, 15:24 
uid/gid возьми из LDAP и будет тебе счастье где только угодно.
Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от Sw00p aka Jerom (?), 24-Ноя-18, 16:03 
> uid/gid возьми из LDAP и будет тебе счастье где только угодно.

ради одного узера в джейле мне лдап наворачивать? легче в самой системе такого же юзера создать

Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +2 +/
Сообщение от нах (?), 23-Ноя-18, 13:52 
одна проблема - jail тоже требует рутовых прав - и не просто так это делает. А иначе будет:
jail: jail_set: Operation not permitted


никакого тебе userns...

Потому что jail - он как раз об изоляции и безопасности, а не о том как уйти от dependency hell путем наворачивания слоев поверх слоев поверх слоев.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

69. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от Sw00p aka Jerom (?), 04-Дек-18, 22:51 
> одна проблема - jail тоже требует рутовых прав - и не просто
> так это делает. А иначе будет:
> jail: jail_set: Operation not permitted
> никакого тебе userns...
> Потому что jail - он как раз об изоляции и безопасности, а
> не о том как уйти от dependency hell путем наворачивания слоев
> поверх слоев поверх слоев.

бесит за столько лет нормальный процесс монтирования и отмонтирования не придумали, крешится джейл процесс, а маунты висят, и хрен запустишь если не отмонтируешь.

Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +9 +/
Сообщение от КГБ СССР (?), 22-Ноя-18, 23:04 
Корпораций лишь в том смысле, что это попытка пресловутой экономии на персонале, то есть использовании копченных принесиподаев заместо квалифицированных админов и юзеров. Защита от дурака для дурака, если кратко. Но из этого ничего заведомо не может получиться хорошего, потому что это нарушение принципов юникса (та самая избирательность в выборе друзей, ага). А все такие нарушения ломают его целостность и приводят к предсказуемым последствиям. Не может любая домохозяйка управлять сложной системой, требующей реальных знаний и глубокого понимания. Не получается чуда.

Но корпорации корпорациями, а эти поветрия находят большой энтузиазм в рядах кибервасянов, только что слезших с пальмы. Происходит повсеместно внедрение в защиту того элемента, от которого, собственно, она должна защищать.

Единственное, что можно сказать в качестве резюме по таким случаям — что скупой платит дважды. Нельзя экономить на мозгах. Нельзя нанимать дураков на сложные задачи.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

21. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от Аноним (13), 22-Ноя-18, 23:50 
>Но корпорации корпорациями, а эти поветрия находят большой энтузиазм в рядах кибервасянов

Да, пожалуй, это пострашней будет.

Ответить | Правка | Наверх | Cообщить модератору

64. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от Аноним (-), 03-Дек-18, 09:32 
> виде chroot хватает всем смертным,

Проблема только в том что безопасность это если и улучшает то очень маргинально. А если сервис, даже работающий под юзером, ломанут - у него как-то многовато доступа получается в типовой системе.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

22. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  –3 +/
Сообщение от псевдонимус (?), 22-Ноя-18, 23:57 
До чего же дырявы линукс-контейнеры.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

27. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от Онаним (?), 23-Ноя-18, 00:57 
До чего же дырявы контейнеры.
Fixed.
Ответить | Правка | Наверх | Cообщить модератору

61. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от Аноним (-), 03-Дек-18, 09:19 
Так чтоб оно дырявым не было - ядро изнавально должно было писаться с учетом таких хотелок. Но кто ж на момент начала написания реально существующих ОС о таком задумывался? А когда это потом сбоку на проволоку и скотч примотано...
Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +3 +/
Сообщение от Аноним (3), 22-Ноя-18, 21:18 
> >Уязвимость вызвана ошибкой в ядре 4.15
> Но виноваты всё равно контейнеры!

Да, эти все "спейсыс" - для контейнеров.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

12. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от Anon9999 (?), 22-Ноя-18, 22:12 
Но виновато всеравно сообщество, которое написало GNU/Linux!
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

16. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от Аноним (16), 22-Ноя-18, 23:02 
Прочитал "мейнтейнеры", в принципе, разницы нет.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

23. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  –1 +/
Сообщение от псевдонимус (?), 23-Ноя-18, 00:00 
Естественно. В линуксе они тот ещё шлак с точки зрения безопасности.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

26. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от Michael Shigorinemail (ok), 23-Ноя-18, 00:54 
> Естественно. В линуксе они тот ещё шлак с точки зрения безопасности.

Контейнеры-то?  Ну сломайте мне ovz.

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  –1 +/
Сообщение от Led (ok), 23-Ноя-18, 01:49 
> Ну сломайте мне ovz >= 4.15

/fixed

Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  –1 +/
Сообщение от Аноним (33), 23-Ноя-18, 05:52 
Мишень - OpenVZ это такое дикое глюкало... его ломать не надо - оно просто падает при определенных нагрузках.
Тем более официально 'stable'  там как г. мамонта - 2.6.32..
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

39. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +2 +/
Сообщение от agent_007 (ok), 23-Ноя-18, 10:27 
OVZ это единственные лiнупс контейнеры, которые работают, несмотря на ряд недостатков.
Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от нах (?), 23-Ноя-18, 13:42 
но поскольку совместимость с современным софтом у ядра 2.6 примерно никакая - больше пользы от выноса в этом случае линукса на помойку и установки freebsd. Там возможности внутриджейлового рута хоть как-то ограничены.

Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от Michael Shigorinemail (ok), 23-Ноя-18, 13:55 
> но поскольку совместимость с современным софтом у ядра 2.6

В контейнере оно покажется 3.2, помнится.

Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от Аноним (49), 23-Ноя-18, 14:46 
что установишь в текстовой строчке - так и будет. хоть 99.01
Ответить | Правка | Наверх | Cообщить модератору

65. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от Аноним (-), 03-Дек-18, 09:33 
> В контейнере оно покажется 3.2, помнится.

Я вам на любом ядре покажу любую цифирь. И чего? Как максимум это позволит программам глючить чаще и больше.

Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

53. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +1 +/
Сообщение от agent_007 (ok), 23-Ноя-18, 16:22 
> поскольку совместимость с современным софтом у ядра 2.6 примерно никакая

И с каким "современным софтом" несовместим 2.6.32 из RHEL6 ?


Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

57. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от Аноним (57), 23-Ноя-18, 18:23 
Софт не обращается к ядру напрямую и не видит ядра, софт работает с libc
Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

36. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от псевдонимус (?), 23-Ноя-18, 07:47 
Так опенвз постоянно критикуют поклонники продукции рэдхэт, говорят что они не работают с уродливым костылём под названием селинукс. И вообще патчить ядро дозволено только корпорации в красном головном уборе типа "шляпа".
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

44. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от нах (?), 23-Ноя-18, 13:42 
просто у той корпорации это получается, а виртуозы застряли в ядре 2.6

Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +1 +/
Сообщение от Аноним (49), 23-Ноя-18, 14:51 
у vz когда-то тоже получалось, но привычка к закрытию кода, и тот факт что разбежались разработчики (посмотрев кто работал над 2.6.32 и сейчас).
Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  –1 +/
Сообщение от Michael Shigorinemail (ok), 23-Ноя-18, 15:28 
> и тот факт что разбежались разработчики

А это болотников "благодарить" надо -- Монахову мозги проэксплойтили, в итоге потеряли мотор проекта в виде Кирилла.

Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от Аноним (-), 03-Дек-18, 09:30 
Да кто им мозги эксплойтил с их менеджментом? Такая уверенность фирмы в том что все будут до упора сношаться с их кастомными ядрами, поддерживаемыми абы как - здорово, конечно, но кроме самой этой фирмы такое "счастье" мало кому надо.

Хостерам как-то проще оказалось на full virt переходить по мере того как гипервизоры становились все быстрее, virtio шел в массы и проч. Так юзеры не трахают мозг саппорту кучей дурных проблем и вообще могут ставить любую ось, за которую сами отвечают. И настраивают сами. Вгружая какие там кому надо модули ядра или что там у них. Без дергания саппортов компании.

А тем кто контейнеры для изоляции своих компонентов применял, кастомное ядро - как нож в спину. Вот для ovz почти и не осталось юзкейсов. Куда его такой красивый в таком виде девать?

Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от Аноним (-), 03-Дек-18, 09:24 
> Контейнеры-то?  Ну сломайте мне ovz.

Погуглите "openvz exploit", чего уж там. Другое дело что бесплатно вам это никто не даст, хакеры тоже видите ли хотят чтобы копание в чужом гуано как-то компенсировалось. Да и если нашару или сильно массово отдать - школьники мигом положат хостинги, админы офигеют, эксплойт очень скоро перестанет работать. И все дружно пролетят.

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру