Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Раскрыты подробности о root-уязвимости в ядре Linux, атакова..., opennews (ok), 30-Мрт-17, (0) [смотреть все] Уже в который раз , grsec (ok), 10:30 , 30-Мрт-17, (1) // вообще-то баг не в user namespaces, а в ipsec, Нанобот (ok), 11:01 , 30-Мрт-17, (3) +1 // Позволяющий руту получить права рута Отличненько , анон (?), 11:06 , 30-Мрт-17, (4) +5 // Полагаю, что не обязательно руту, а CAP_NET_ADMIN , Аноним (-), 11:14 , 30-Мрт-17, (6) +3 Позволяющая руту внутри _контейнера_, созданного непривилегированным пользовател, Аноним (-), 14:36 , 01-Авг-17, (40) Если фича увеличивает область атаки на порядок, не является ли она сама уязвим, Аноним (-), 11:11 , 30-Мрт-17, (5) –3   // Предлагаю удалить из ядра Linux сетевой стек Во избежание , Аноним (-), 11:15 , 30-Мрт-17, (7) +26   Удалять не стоит А вот давать кому попало CAP_NET_ADMIN 173 8212 глупо Но , Аноним (-), 11:54 , 30-Мрт-17, (12) –3   А зачем джанге и вордпрессу нет_админ Они там интерфейсы конфигурируют Или ipt, Аноним (-), 12:20 , 30-Мрт-17, (15) +3   А нахрен вообще нужны user namespaces Мне тоже непонятно , Аноним (-), 12:35 , 30-Мрт-17, (16) –3   как минимум хотя бы для того чтобы любая пользовательская программа могла бы сн, XXXasd (ok), 14:42 , 30-Мрт-17, (23)   А вы хотели бы, чтобы и для контейнеров, и для основной системы было одно и то ж, Аноним (-), 16:58 , 30-Мрт-17, (27)   нет, не является, Нанобот (ok), 13:08 , 30-Мрт-17, (19)   контейнеризация, которой слепо доверяют в качестве единственной меры безопасност, пох (?), 16:14 , 30-Мрт-17, (24) +1   CODE https lists altlinux org pipermail sisyphus 2003-June 243147 html , Michael Shigorin (ok), 16:38 , 30-Мрт-17, (26) +2   В который раз Оно только год,полтора как из EXPEREMENTAL вылезло , pavlinux (ok), 01:30 , 31-Мрт-17, (32) У рута затруднений не возникнет Но вот только зачем ему это , Аноним (-), 12:18 , 30-Мрт-17, (14) // из user namespace вылезать, разумеется Пробив днищ э, простите, контейнер , пох (?), 16:14 , 30-Мрт-17, (25) lsb_release -aLSB Version core-4 1-amd64 core-4 1-noarch cxx-4 1-amd64 cxx-4, zfs (??), 13:02 , 30-Мрт-17, (17) // unprivileged_userns_clone позволяет любому пользователю nobody и т п создать , Аноним (-), 13:10 , 30-Мрт-17, (20) А, так вот о чём пару дней тому намёкивали , Michael Shigorin (ok), 14:21 , 30-Мрт-17, (22) +1 Уязвимость в функции реализующей IPSec Anti-replay механизм, я правильно понял , zanswer CCNA RS (?), 17:29 , 30-Мрт-17, (28) Неплохая очередная причина вынести сетку в отдельное адресное пространство , Анонимм (??), 18:15 , 30-Мрт-17, (29) –2 Вот почему нужно собирать свои ядра, а не юзать дистрибные , pavlinux (ok), 01:28 , 31-Мрт-17, (31) –2 // Отличный подход для Enterprise-а , Ivan_Pomidorov (?), 10:17 , 31-Мрт-17, (34) –1 // у энтерпрайса размером поболее подвальной лавчонки как раз обычно есть билдферма, пох (?), 18:52 , 31-Мрт-17, (37) // Это даже не смешно У вас представление об энтерпрайзе как сборище линукс-гиков , Sem (??), 18:32 , 03-Апр-17, (39) –2 Топикстартер забыл упомянуть, что в Debian это некатит, потому, что non-standard, Аноним (-), 18:07 , 31-Мрт-17, (36) –1 // Вы невнимательно читали новость, там про это написано Например, пакеты с ядром, Аноним (-), 20:31 , 31-Мрт-17, (38) 1,14,17,22,28,29,31,36

Сообщения

[Сортировка по времени | RSS]

	5. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."	–3 +/–
	Сообщение от Аноним (-), 30-Мрт-17, 11:11
	Если "фича" увеличивает область атаки на порядок, не является ли она сама уязвимостью?
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	7. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."	+26 +/–
	Сообщение от Аноним (-), 30-Мрт-17, 11:15
	> Если "фича" увеличивает область атаки на порядок, не является ли она сама уязвимостью? Предлагаю удалить из ядра Linux сетевой стек. Во избежание.
	Ответить | Правка | Наверх | Cообщить модератору

	12. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."	–3 +/–
	Сообщение от Аноним (-), 30-Мрт-17, 11:54
	Удалять не стоит. А вот давать кому попало CAP_NET_ADMIN ­— глупо. Но жадным долбоё**м хочется "чтоб Jango и Wordpress ставились из коробки без VPS". И все вдруг забывают, для чего нужен root, и почему давать кому-попало "полный но ограниченный" доступ к системе — плохая идея.
	Ответить | Правка | Наверх | Cообщить модератору

	15. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."	+3 +/–
	Сообщение от Аноним (-), 30-Мрт-17, 12:20
	А зачем джанге и вордпрессу нет_админ? Они там интерфейсы конфигурируют? Или iptables настраивают?
	Ответить | Правка | Наверх | Cообщить модератору

	16. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."	–3 +/–
	Сообщение от Аноним (-), 30-Мрт-17, 12:35
	А нахрен вообще нужны user namespaces? Мне тоже непонятно.
	Ответить | Правка | Наверх | Cообщить модератору

	23. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."	+/–
	Сообщение от XXXasd (ok), 30-Мрт-17, 14:42
	> А нахрен вообще нужны user namespaces? Мне тоже непонятно. как минимум хотя бы для того чтобы любая пользовательская программа могла бы *снять* с себя часть своих возможностей -- через выполнение chroot.. (как вариант: chroot в пустой каталог) то есть чтобы можно было бы выполнить chroot -- без root, без SUID и без Capabilities
	Ответить | Правка | Наверх | Cообщить модератору

	27. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."	+/–
	Сообщение от Аноним (-), 30-Мрт-17, 16:58
	А вы хотели бы, чтобы и для контейнеров, и для основной системы было одно и то же пространство пользователей? Т. е. один универсальный root на всех?
	Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

	19. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."	+/–
	Сообщение от Нанобот (ok), 30-Мрт-17, 13:08
	>Если "фича" увеличивает область атаки на порядок, не является ли она сама уязвимостью? нет, не является
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

	24. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."	+1 +/–
	Сообщение от пох (?), 30-Мрт-17, 16:14
	> Если "фича" увеличивает область атаки на порядок, не является ли она сама > уязвимостью? контейнеризация, которой слепо доверяют в качестве единственной меры безопасности (а именно в этом случае бывае CAP_чтонибудь без реального рута) - да, безусловно, является ;-)
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

	26. "Раскрыты подробности о root-уязвимости в ядре Linux, атакова..."	+2 +/–
	Сообщение от Michael Shigorin (ok), 30-Мрт-17, 16:38
	> контейнеризация, которой слепо доверяют в качестве единственной меры безопасности > (а именно в этом случае бывае CAP_чтонибудь без реального рута) - да, безусловно, > является ;-) https://lists.altlinux.org/pipermail/sisyphus/2003-June/2431...                                               ^^^^
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема