The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Уязвимости в подсистеме eBPF ядра Linux"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от opennews (??), 09-Апр-21, 13:45 
В подсистеме eBPF, позволяющей запускать обработчики для трассировки, анализа работы подсистем и управления трафиком, выполняемые внутри ядра Linux в специальной виртуальной машине с JIT, выявлена уязвимость (CVE-2021-29154), позволяющая локальному пользователю добиться выполнения свого кода на уровне ядра. Проблема проявляется вплоть до выпуска 5.11.12 (включительно) и ещё не исправлена в дистрибутивах (Debian, Ubuntu, RHEL, Fedora, SUSE, Arch). Исправление доступно в виде патча...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54932

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от leibnizemail (??), 09-Апр-21, 13:45 
это ядро монструозно, в нём слишком много кода и, соответственно, ошибок
Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимости в подсистеме eBPF ядра Linux"  –6 +/
Сообщение от Аноним (3), 09-Апр-21, 13:47 
плюсую, гайка или маленькая птичка, пьющая нектар, выглядят поинтереснее
Ответить | Правка | Наверх | Cообщить модератору

61. "Уязвимости в подсистеме eBPF ядра Linux"  +2 +/
Сообщение от анончик (?), 09-Апр-21, 21:22 
у птички, пьющей нектар, экзистенциальный кризис очень давно, лет так 7 точно. Разрабы чето коммитят, но у проекта вообще никаких целей нет. Полная разруха и анархия
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от Аноним (5), 09-Апр-21, 13:52 
Отчасти ebpf и решает эту проблему, вынося специфические части в байткод и юзерспейс.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

58. "Уязвимости в подсистеме eBPF ядра Linux"  +3 +/
Сообщение от ананим.orig (?), 09-Апр-21, 20:46 
да,да. которые в конечном счете грузятся.. куда?

точно! сабж жеж!
смешно
и всегда было смешно.

Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимости в подсистеме eBPF ядра Linux"  –2 +/
Сообщение от Alen (??), 09-Апр-21, 14:12 
В статье нет самого главного!
Для тех у кого есть голова и руки, в ядре опция:
/Networking support/Networking options/enable BPF Just In Time compiler
должна быть отлкюченной. Н этом инцидент исчерпывается.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

67. "Уязвимости в подсистеме eBPF ядра Linux"  +1 +/
Сообщение от Аноним (67), 09-Апр-21, 22:09 
без ebpf не будет работать ни wireshark, ни firejail.
Ответить | Правка | Наверх | Cообщить модератору

79. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от Alen (??), 10-Апр-21, 00:23 
без указанной мной опции wireshark успешно работает
Ответить | Правка | Наверх | Cообщить модератору

116. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от bOOster (ok), 13-Апр-21, 10:20 
isc_dhcpd также уйдет в небытье.
Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

22. "Уязвимости в подсистеме eBPF ядра Linux"  +4 +/
Сообщение от kai3341 (ok), 09-Апр-21, 14:48 
> это ядро монструозно, в нём слишком много кода и, соответственно, ошибок

Если бы всё было так просто. eBPF -- попытка выжать максимум производительности. Производительности же всегда мало -- как однажды сказал мой друг, задачи в идеале должны выполняться за отрицательное время

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

24. "Уязвимости в подсистеме eBPF ядра Linux"  +2 +/
Сообщение от ryoken (ok), 09-Апр-21, 14:52 
>> задачи в идеале должны выполняться за отрицательное время

так их сформулировать не успеете

Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимости в подсистеме eBPF ядра Linux"  +10 +/
Сообщение от Аноним (39), 09-Апр-21, 15:39 
Формулировка будет строиться после выполнения, т.е. подгоняем ТЗ под результат.
Ответить | Правка | Наверх | Cообщить модератору

77. "Уязвимости в подсистеме eBPF ядра Linux"  +3 +/
Сообщение от InuYasha (??), 10-Апр-21, 00:13 
тогда я даже знаю пару мест где такое реализовано )
Ответить | Правка | Наверх | Cообщить модератору

106. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от Аноним (106), 11-Апр-21, 10:18 
Квантовые вычисления?
Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

56. "Уязвимости в подсистеме eBPF ядра Linux"  +1 +/
Сообщение от ананим.orig (?), 09-Апр-21, 20:39 
>> задачи в идеале должны выполняться за отрицательное время
> так их сформулировать не успеете

с тех пор так и живем.

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

46. "Уязвимости в подсистеме eBPF ядра Linux"  –1 +/
Сообщение от Ананоним (?), 09-Апр-21, 16:37 
Пусть твоему другу зарплату платят в отрицательном количестве. А если серьёзно, остерегайся таких друзей.
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

57. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от ананим.orig (?), 09-Апр-21, 20:41 
> eBPF -- попытка выжать максимум производительности.

нет.
и никогда не была.

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

44. "Уязвимости в подсистеме eBPF ядра Linux"  +1 +/
Сообщение от user90 (?), 09-Апр-21, 16:09 
> это ядро монструозно

Держи, GNU Hurd ;)

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

112. "Уязвимости в подсистеме eBPF ядра Linux"  –1 +/
Сообщение от Zz (?), 11-Апр-21, 20:04 
Не хотите багов и кода от трансов?
Добро пожаловать в OpenBSD
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Уязвимости в подсистеме eBPF ядра Linux"  +1 +/
Сообщение от пох. (?), 09-Апр-21, 13:46 
sysctl net.core.bpf_jit_enable=0
sysctl: setting key "net.core.bpf_jit_enable": Invalid argument

(с echo все прокатит, но внутри файлика останется 1)

Что-то этот хак редхата, похоже, только для редхата. У которого там и так 0

Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от kissmyass (?), 09-Апр-21, 16:44 
c echo

bash: echo: write error: Invalid argument

Ответить | Правка | Наверх | Cообщить модератору

64. "Уязвимости в подсистеме eBPF ядра Linux"  +2 +/
Сообщение от bpf (?), 09-Апр-21, 21:36 
$ man 2 bpf

      Since Linux 4.15, the kernel may configured with the
       CONFIG_BPF_JIT_ALWAYS_ON option.  In this case, the JIT compiler
       is always enabled, and the bpf_jit_enable is initialized to 1 and
       is immutable.  (This kernel configuration option was provided as
       a mitigation for one of the Spectre attacks against the BPF
       interpreter.)

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

65. "Уязвимости в подсистеме eBPF ядра Linux"  +1 +/
Сообщение от пох. (?), 09-Апр-21, 21:49 
бггг. Поебдили несуществующую атаку, оставив незакрываемую реальную дыру. Молодцы, чо.

Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимости в подсистеме eBPF ядра Linux"  –16 +/
Сообщение от Аноним (4), 09-Апр-21, 13:47 
Архаичные уязвимости отсталых языков программирования.
Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимости в подсистеме eBPF ядра Linux"  +14 +/
Сообщение от Онаним (?), 09-Апр-21, 14:09 
С моднявыми язычками ситуация ещё интереснее
"Нет софта - нет уязвимостей" называется
Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимости в подсистеме eBPF ядра Linux"  +4 +/
Сообщение от Урри (ok), 09-Апр-21, 14:40 
В данном случае проблема алгоритма реализации. Ваш модномолодежный язык такие проблемы не умеет решать.

Впрочем, никого из использующих модномолодежные языки к реализации таких сложных задач и не подпускают.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

40. "Уязвимости в подсистеме eBPF ядра Linux"  +1 +/
Сообщение от Аноним (39), 09-Апр-21, 15:40 
Согласен, такие задачи надо решать на COBOL, а не этих ваших молодежных Си.
Ответить | Правка | Наверх | Cообщить модератору

83. "Уязвимости в подсистеме eBPF ядра Linux"  +1 +/
Сообщение от Гришаemail (?), 10-Апр-21, 03:22 
Насколько я могу судить, по исправленному if-у, там обычный buffer overrun. Memcpy слишком длинного чего-то в локальный массив temp. Типичная ошибка вызванная тем что C не проверяет границы массивов.

https://elixir.bootlin.com/linux/latest/source/arch/x86/net/...

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

48. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от Аноним (48), 09-Апр-21, 17:20 
точно! Rust на них нет!
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

55. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от Аноним (55), 09-Апр-21, 20:33 
Дурачок?

Тебе тут целый Jit запилили. Можешь хоть на Расте писать и в него перегонять.

Проблема, таже, что и у JS. Не должен никакой левый код выполняться в ядре, как и в браузере.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

105. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от Аноним (105), 10-Апр-21, 23:25 
> Не должен никакой левый код выполняться в ядре, как и в браузере.

Несравнимо. В ядре, в отличие от браузера, будет выполнятся только тот eBPF-код, которому ты позволишь выполниться и это не будет код от любой программы в системе. И программ в твоей системе меньше чем сайтов, которые ты посещаешь в интернете. А в браузер тебе прилетает нечто обфускированное в мегабайт весом, что ты не в силах проанализировать до конца жизни. И сайтов этих "тыщи"

Ответить | Правка | Наверх | Cообщить модератору

115. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от BorichL (?), 12-Апр-21, 13:35 
Да давайте уже код ядра вынесем из ядра!
Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

101. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от szt1980 (ok), 10-Апр-21, 19:49 
Надо срочно переписать на жабаскрипте. И обязательно с блокчейном.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

6. "Уязвимости в подсистеме eBPF ядра Linux"  +12 +/
Сообщение от Аноним (6), 09-Апр-21, 14:00 
Давайте запихнём в ядро виртуальную машину с JIT!
Что может пойти не так?
Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от Онаним (?), 09-Апр-21, 14:10 
Восамомделенуштовы
Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимости в подсистеме eBPF ядра Linux"  +1 +/
Сообщение от Lex (??), 09-Апр-21, 14:03 
А все потому, что джит.
Даёт серьезный прирост скорости норм ЯП, но делая само выполнение кода фундаментально дырявым.
Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от Онаним (?), 09-Апр-21, 14:08 
Ну наконец-то
Я прямо ждал когда в этом ядерном JIT-шерете что-нибудь таки протечёт
JIT в ядре - зло
Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимости в подсистеме eBPF ядра Linux"  +6 +/
Сообщение от Аноним84701 (ok), 09-Апр-21, 14:51 
> Ну наконец-то
> Я прямо ждал когда в этом ядерном JIT-шерете что-нибудь таки протечёт

С разморозкой!
https://www.opennet.ru/opennews/art.shtml?num=47792
> Критические уязвимости в подсистеме eBPF ядра Linux
> 23.12.2017 10:23

https://www.opennet.ru/opennews/art.shtml?num=52640
> Уязвимость в ядре Linux, позволяющая повысить свои привилегии через BPF
> 04.02.2019 12:19

Ответить | Правка | Наверх | Cообщить модератору

92. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от Онаним (?), 10-Апр-21, 10:42 
Раз в два года жеж, а потом снова ждать.
Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от Аноним (39), 09-Апр-21, 15:42 
В ядре и в частях без JIT регулярно дырки находят, это подов запретить любые рантаймы? Нет кода - нет проблем, я считаю!
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

12. "Уязвимости в подсистеме eBPF ядра Linux"  –2 +/
Сообщение от Аноним (12), 09-Апр-21, 14:12 
Казалось бы, причём тут Rust?..
Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимости в подсистеме eBPF ядра Linux"  +3 +/
Сообщение от Аноним (32), 09-Апр-21, 15:02 
В данном случае не поможет. Проблема реализации алгоритмов самого JIT.
Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от Аноним (14), 09-Апр-21, 14:12 
Никогда не было и вот опять. Я и в polkit отключил жит и в qml, хотя непроверенный уод вроде не собираюсь исполнять.

А от eBPF мне до сих пор щекотно, потому что позволять пользователю загружать код в вм с житом прямо в ядре, ну то такое. К сожалению, это единственная надежда для динамического файервола (чтобы блокировать и фильтровать исходящий трафик на уровне приложений, скажем).

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от Аноним (14), 09-Апр-21, 14:16 
Я пытался отключить в ядре, но оно что-то больше не отключается. Однако, в proc не светится. Т.е. никаких /proc/sys/net/core/bpf_*

CONFIG_BPF=y
# CONFIG_BPF_SYSCALL is not set
CONFIG_ARCH_WANT_DEFAULT_BPF_JIT=y
# CONFIG_NETFILTER_XT_MATCH_BPF is not set
# CONFIG_BPFILTER is not set
# CONFIG_BPF_JIT is not set
CONFIG_HAVE_EBPF_JIT=y

Ответить | Правка | Наверх | Cообщить модератору

75. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от Аноним (75), 09-Апр-21, 23:45 
> Я и в polkit отключил жит

Как?

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

80. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от Аноним (14), 10-Апр-21, 00:27 
>> Я и в polkit отключил жит
> Как?

Собрал spidermoney с которым тот линукется без жита. И надеюсь, что этого достаточно. Наверно достаточно, я не проверял.

Ответить | Правка | Наверх | Cообщить модератору

84. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от Гришаemail (?), 10-Апр-21, 03:27 
Какие-же вы странные все.

Этот JIT очень простой, он, просто транслирует байткод в машинные инструкции практически 1-в-1. Никакой сложной логики обычно ассоциированной со словом JIT там нет, там файл на 2к строк кода всего.

Ошибка не связанна с JIT. Это, насколько я понимаю, обычный buffer overrun при копированнии массива. Там как-то не так проверяют его длинну.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

90. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от Аноним (14), 10-Апр-21, 10:17 
Проблема в том, что у пользователя вообще есть возможность загружать "машинный код" в ядро. Так лучше?
Ответить | Правка | Наверх | Cообщить модератору

94. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от Аноним (94), 10-Апр-21, 18:32 
Чем это отличается от загрузки модуля ядра, о великий эксперт openneta?
Ответить | Правка | Наверх | Cообщить модератору

98. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от Аноним (14), 10-Апр-21, 18:46 
> Чем это отличается от загрузки модуля ядра, о великий эксперт openneta?

Модуль может загрузить только пользователь с правами рута, тут же смысл в том чтобы позволять это делать всем пользователям.

Ответить | Правка | Наверх | Cообщить модератору

100. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от Аноним (14), 10-Апр-21, 18:49 
> Чем это отличается от загрузки модуля ядра, о великий эксперт openneta?

Причём, левые модули не загружаются в норме, рут имеет только возможность выбирать из готового и подписанного набора модулей. Так что, отличается.

Ответить | Правка | К родителю #94 | Наверх | Cообщить модератору

95. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от Анончик (?), 10-Апр-21, 18:38 
"опасность проблемы зависит от доступности пользователю системного вызова eBPF"
Так доступно?

Ответить | Правка | К родителю #90 | Наверх | Cообщить модератору

97. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от Аноним (14), 10-Апр-21, 18:45 
> "опасность проблемы зависит от доступности пользователю системного вызова eBPF"
> Так доступно?

Перечитай ещё раз и попробуй осмыслить.

Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимости в подсистеме eBPF ядра Linux"  +1 +/
Сообщение от Аноним (15), 09-Апр-21, 14:12 
>>в специальной виртуальной машине с JIT

Это из самого названия понятно что это не может быть без дыр априори. Это два сложных непонятных механизма закрученный один в другой.

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от 1 (??), 09-Апр-21, 14:55 
да ещё и в юзерспейсе
Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимости в подсистеме eBPF ядра Linux"  +1 +/
Сообщение от пох. (?), 09-Апр-21, 18:35 
> да ещё и в юзерспейсе

там не юзерспейс, там именно kernel space, с доступом к коду из userspace.

Причем, если мой эклер мне опять изменяет, еще и с возможностью доступа от непривиллегированного юзера в некоторых комбинациях настроек.

Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимости в подсистеме eBPF ядра Linux"  +4 +/
Сообщение от Алексей (??), 09-Апр-21, 14:21 
> уязвимость может быть эксплуатирована при включении BPF JIT и наличии у пользователя прав CAP_SYS_ADMIN

То есть root может взломать сам себя? Галактика в опасности!

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимости в подсистеме eBPF ядра Linux"  +1 +/
Сообщение от Аноним (14), 09-Апр-21, 14:27 
Я тоже был уверен, что старательно везде убрал на всех бинарях (а ты проверь кстати в своём дистре), а потом ой /usr/bin/PCSX2 cap_net_admin,cap_net_raw=eip какие-то лишние права.

А вот cap_sys_admin я отключал у кучи софта. Хорошо теперь есть cap_checkpoint_restore и можно убрать sys_admin и с criu.

Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от Онаним (?), 09-Апр-21, 14:44 
Как-то всё проще.

/usr/bin/newgidmap = cap_setgid+ep
/usr/bin/ping = cap_net_admin,cap_net_raw+p
/usr/bin/newuidmap = cap_setuid+ep
/usr/sbin/arping = cap_net_raw+p
/usr/sbin/clockdiff = cap_net_raw+p
/usr/sbin/fping = cap_net_raw+ep

И всё, в общем-то. А пользовательские файлухи вообще с noxattr монтируются, поэтому идут нафиг.

Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от Аноним (32), 09-Апр-21, 15:06 
Ну да, suid, конечно же, лучше.
Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от пох. (?), 09-Апр-21, 15:31 
лучше. Его сразу видно, о нем не забудешь, и писатели не надеются на "волшебные" механизмы.
Не говоря уже о том что лап4@поделка.

Ответить | Правка | Наверх | Cообщить модератору

91. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от Онаним (?), 10-Апр-21, 10:39 
> Ну да, suid, конечно же, лучше.

suid очень ограниченно.
Пользовательские файлухи ещё и с nosuid, ага. Местами с noexec вдогонку.

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

21. "Уязвимости в подсистеме eBPF ядра Linux"  +5 +/
Сообщение от Аноним (94), 09-Апр-21, 14:46 
Эх, не умеют они готовить святой C и C++. Сплошные дыры в безопасности (включая прошлые новости с конфы по взлому всего и вся на C и C++)

Вот туда бы экспертов с opennet...ууууххх
...они бы показали обезьяно-макакам (JS) и ржавым петушкам (Rust) как писать идеальный код без ошибок!

Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимости в подсистеме eBPF ядра Linux"  –2 +/
Сообщение от Michael Shigorinemail (ok), 09-Апр-21, 14:53 
"Шо, опять?!" (ц)

PS: и да, на e2k его не портировали ещё; по-моему, на данном этапе извития данной хреновины это скорее плюс.

Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от Аноним (34), 09-Апр-21, 15:04 
Порядочные люди при сборке ядра выключают всякое ненужное непотребство используемое лишь в редких сценариях.
Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимости в подсистеме eBPF ядра Linux"  +3 +/
Сообщение от пох. (?), 09-Апр-21, 18:36 
> Порядочные люди при сборке ядра выключают всякое ненужное непотребство используемое лишь
> в редких сценариях.

порядочные люди не занимаются пересборками ведра, у них дел и так полно.
К тому же определить, что там нужно, а что не очень - задача для несреднего васяна.

Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимости в подсистеме eBPF ядра Linux"  –1 +/
Сообщение от Alen (??), 09-Апр-21, 20:54 
Порядочные люди невежество не восхваляют
Ответить | Правка | Наверх | Cообщить модератору

78. "Уязвимости в подсистеме eBPF ядра Linux"  +1 +/
Сообщение от InuYasha (??), 10-Апр-21, 00:16 
Всё-таки "уметь" и "заниматься" - понятия разные.
Ответить | Правка | Наверх | Cообщить модератору

81. "Уязвимости в подсистеме eBPF ядра Linux"  –3 +/
Сообщение от Alen (??), 10-Апр-21, 00:32 
>Всё-таки "уметь" и "заниматься" - понятия разные.

И часто у вас "уметь" наступает без "заниматься"? Вы теоретик ядерного удара?
А главное, основная мысль была не в том, что все должны уметь, а в том, что я написал - невежеством хвалиться стыдно.

Ответить | Правка | Наверх | Cообщить модератору

85. "Уязвимости в подсистеме eBPF ядра Linux"  +3 +/
Сообщение от пох. (?), 10-Апр-21, 09:27 
Ну так и не хвались. Твое умение кое-как собрать ведро - не повод для гордости.
Ты не понимаешь больше половины "выключаемых" тобой закорючек.

Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

102. "Уязвимости в подсистеме eBPF ядра Linux"  –2 +/
Сообщение от Аноним (102), 10-Апр-21, 21:05 
С чего не понимать то? Там ко всему есть комментарии в коде и можно загуглить. За 3 дня разобраться вполне можно.
Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от Аноним (36), 09-Апр-21, 15:12 
МСБС вовсе 2х юзают кажется. Умные люди. Вылизали версию и не парятся.
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

89. "Уязвимости в подсистеме eBPF ядра Linux"  +1 +/
Сообщение от пох. (?), 10-Апр-21, 09:39 
застрять на древней неподдерживаемой версии - вовсе не равно "вылизали".
Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от andy (??), 09-Апр-21, 16:00 
Кстати, мне надо кое-что пособирать, так что мне есть чем занять твой "горыныч" [c]
https://www.youtube.com/watch?v=it76PvJ8MnY
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

26. "Уязвимости в подсистеме eBPF ядра Linux"  +1 +/
Сообщение от ryoken (ok), 09-Апр-21, 14:54 
Почему-то как вижу тут на опеннете новости, где есть фраза "позволяющий запускать обработчики", так и начинаю подсознательно ждать всяческих граблей.
Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от Я (??), 09-Апр-21, 14:54 
а писали бы eBPF на расте не было бы такой фигни.
Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимости в подсистеме eBPF ядра Linux"  +1 +/
Сообщение от Аноним12345 (?), 09-Апр-21, 16:00 
ржунимагу
Ответить | Правка | Наверх | Cообщить модератору

88. "Уязвимости в подсистеме eBPF ядра Linux"  +1 +/
Сообщение от пох. (?), 10-Апр-21, 09:37 
да, я обеими лапами за. Еще много всякой й-ной фигни бы не было, от CoC.md и README вреда никакого.

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

107. "Уязвимости в подсистеме eBPF ядра Linux"  +1 +/
Сообщение от Аноним (106), 11-Апр-21, 10:24 
Насчёт CoC.md ты заблуждаешься. От его содержимого зависит то, кто будет коммитить в ядро.
Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от Аноним (53), 09-Апр-21, 18:50 
/proc/sys/net/core/bpf_jit_enable = 0
Дебиан, если что.
Ответить | Правка | Наверх | Cообщить модератору

60. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от Аноним (102), 09-Апр-21, 20:54 
А у меня включен почему-то.
Это вообще роль какую-то играет если компьютером пользуюсь только я?
Ответить | Правка | Наверх | Cообщить модератору

66. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от Аноним (53), 09-Апр-21, 21:51 
Думаю, вряд ли.
Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимости в подсистеме eBPF ядра Linux"  –1 +/
Сообщение от Ingener (??), 09-Апр-21, 19:07 
>уязвимость (CVE-2021-29154), позволяющая локальному пользователю добиться выполнения свого кода на уровне ядра

Что и говорили. В Лин полно закладок. Еще десятки лет их будут находить.

Ответить | Правка | Наверх | Cообщить модератору

68. "Уязвимости в подсистеме eBPF ядра Linux"  –1 +/
Сообщение от Аноним (102), 09-Апр-21, 22:23 
Мне кажется в лине даже больше закладок чем в винде. Ещё и код открытый, в разы легче исследовать
Ответить | Правка | Наверх | Cообщить модератору

70. "Уязвимости в подсистеме eBPF ядра Linux"  –1 +/
Сообщение от Аноним (70), 09-Апр-21, 22:51 
>Ещё и код открытый, в разы легче исследовать

Именно поэтому закладок меньше. Если безопасность строится на закрытости кода, грош ей цена.

Ответить | Правка | Наверх | Cообщить модератору

86. "Уязвимости в подсистеме eBPF ядра Linux"  +1 +/
Сообщение от пох. (?), 10-Апр-21, 09:31 
у вас опечатка в слове "добавлять"

Индуса в ms-то и выпороть могут за такое. А тут пожалуйста -

Signed-off-by: Dave Chinner <dchinner@redhat.com>
Reviewed-by: Carlos Maiolino <cmaiolino@redhat.com>
Reviewed-by: Darrick J. Wong <darrick.wong@oracle.com>
Signed-off-by: Darrick J. Wong <darrick.wong@oracle.com>
(трогательное сотрудничество редхатовского мекса с оракловым китаезой, не правда ли? Да, это подпись под изменением, делающим fs нерабочей. И ни один тысячекосоглаз не выступил - тут кого надо нога! Даже две!)

Ответить | Правка | К родителю #68 | Наверх | Cообщить модератору

109. "Уязвимости в подсистеме eBPF ядра Linux"  +1 +/
Сообщение от andy (??), 11-Апр-21, 13:16 
А ссылку на коммит можно. Или напиши пожалуйста, что там именно ломается?
Ответить | Правка | Наверх | Cообщить модератору

110. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от пох. (?), 11-Апр-21, 16:36 
> А ссылку на коммит можно. Или напиши пожалуйста, что там именно ломается?

Можно, но описывать что все это значит второй раз лень.
https://github.com/torvalds/linux/commit/fa4ca9c5574605d1e48...

And the mount fails. С мд-цкой "error -177" (отдельно бы аккуратно содрать с индусской макаки шкурку и солью мелкой посыпать) и без малейших шансов исправить.

Ответить | Правка | Наверх | Cообщить модератору

113. "Уязвимости в подсистеме eBPF ядра Linux"  –1 +/
Сообщение от Michael Shigorinemail (ok), 11-Апр-21, 21:03 
>> А ссылку на коммит можно. Или напиши пожалуйста, что там именно ломается?
> Можно, но описывать что все это значит второй раз лень.
> https://github.com/torvalds/linux/commit/fa4ca9c5574605d1e48...

Может, тот же текст вот сюда в комментарии и закиньте?

Ответить | Правка | Наверх | Cообщить модератору

114. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от пох. (?), 11-Апр-21, 23:21 
его робот удалит.
Да и причем бы тут ebpf. Только при том что тут все такими же руками сделано...

Ответить | Правка | Наверх | Cообщить модератору

103. "Уязвимости в подсистеме eBPF ядра Linux"  –1 +/
Сообщение от Ananimasss (?), 10-Апр-21, 22:06 
Проиграл. Тебе с шиндовс апдейтом может прилететь что индусу угодно и даже мнением твоим не поинтересуются.
Ответить | Правка | К родителю #68 | Наверх | Cообщить модератору

104. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от пох. (?), 10-Апр-21, 22:40 
Конечно же редхатовский кумар очень поинтересуется твоим мнением, и конечно же тысячегласс непременно помешает обновлению его авторства добраться до твоей б-жественной бубунточки.
(нет)

Ответить | Правка | Наверх | Cообщить модератору

108. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от Ananimasss (?), 11-Апр-21, 12:29 
> Конечно же редхатовский кумар очень поинтересуется твоим мнением, и конечно же тысячегласс
> непременно помешает обновлению его авторства добраться до твоей б-жественной бубунточки.
> (нет)

С бубунточкой мимо, у меня бсд, но у лин.упсов автоапдейты хотя бы опциональны, а еще есть генту, где непонятная бинарь прилетит разве что с блобиками в ядре.

А у шиндовс стали хотя бы спрашивать о перезагрузке после неотключаемых обновлениях?
Я вообще в шоке от шиндусятников, когда в 7ке микрософт без спроса обновил проверку лицензионности, с отключенными автообновлениями, ор поднялся выше гор, а как пришла 8ка с неубиваемым дефендером и 10ка с неотключаемыми обновлениями, так все просто проглотили и попросили добавить унижений.
До сих пор ржу с "игрового режима" десяточки, когда отключалась вся ненужная пользователю деятельность, просто чтобы хотя бы выдавать схожую с 7кой производительность.

Ответить | Правка | Наверх | Cообщить модератору

117. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от пох. (?), 13-Апр-21, 15:45 
> С бубунточкой мимо, у меня бсд, но у лин.упсов автоапдейты хотя бы
> опциональны, а еще есть генту, где непонятная бинарь прилетит разве что

угу, опциональны, поэтому меня долбят sshшные трояны от таких необновлянцев.

> А у шиндовс стали хотя бы спрашивать о перезагрузке после неотключаемых обновлениях?

У нее круче - она уже три года как ПЕРЕСТАЛА под руку спрашивать эти глупости, и просто аккуратно перезагружается во время, по данным ее телеметрии, когда тебе точно не нужен компьютер.
Да, это можно на некоторое небесконечное время - отложить (ну и правильно написанный софт просто не даст перезагружаться пока обрабатывает фоновую задачу). Но обычно ненужно. Все делает за тебя, и ест тоже.

> Я вообще в шоке от шиндусятников, когда в 7ке микрософт без спроса
> обновил проверку лицензионности, с отключенными автообновлениями, ор поднялся выше гор,

у мелких воришек-то? Я вот ничего не заметил.
Наверное, потому что ей нечего там было проверять?

> До сих пор ржу с "игрового режима" десяточки, когда отключалась вся ненужная
> пользователю деятельность, просто чтобы хотя бы выдавать схожую с 7кой производительность.

признак дурачины, угу.
А на деле - убираются всего лишь интерактивные оповещения, лезущие не в том графрежиме или пытающиеся управлять звуком.


Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимости в подсистеме eBPF ядра Linux"  +2 +/
Сообщение от анончик (?), 09-Апр-21, 21:24 
а при Rust'е все будет зашибись, там все будет бесплатно и все будет в кайф. Надо только немножко подождать
Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от Аноним (63), 09-Апр-21, 21:34 
А дедушка Тененбаум говорил этому студенту шо надо пилить микроядро.
Ответить | Правка | Наверх | Cообщить модератору

96. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от Анончик (?), 10-Апр-21, 18:44 
Надеюсь ты хотя бы знаешь кто это, может потом даже научишься его к месту упоминать правильно.
Ответить | Правка | Наверх | Cообщить модератору

69. "Уязвимости в подсистеме eBPF ядра Linux"  +1 +/
Сообщение от Аноним (69), 09-Апр-21, 22:29 
Есть же еще kernel.unprivileged_bpf_disabled = 1 и net.core.bpf_jit_harden = 2.

А на что повлияет полное отключение BPF JIT?

Ответить | Правка | Наверх | Cообщить модератору

76. "Уязвимости в подсистеме eBPF ядра Linux"  +1 +/
Сообщение от Аноним (-), 09-Апр-21, 23:58 
Ни на что . Ненужная п..бень .
Ответить | Правка | Наверх | Cообщить модератору

82. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от Аноним (82), 10-Апр-21, 01:41 
А разве современный iptables не на BPF построен?
Ответить | Правка | Наверх | Cообщить модератору

87. "Уязвимости в подсистеме eBPF ядра Linux"  +1 +/
Сообщение от пох. (?), 10-Апр-21, 09:35 
iptables - нет. Но он несовременный и его срочно надо выбросить.

А над тем что вы хотите - работают, но пока, вроде, ничего кроме нерабочих poc не родили, nft только планирует перевестись на bpf-машину, когда-нибудь, потом.

Ответить | Правка | Наверх | Cообщить модератору

99. "Уязвимости в подсистеме eBPF ядра Linux"  –1 +/
Сообщение от Анончик (?), 10-Апр-21, 18:47 
поздравляю вы достигли нового уровня "Местный эксперт"
Ответить | Правка | К родителю #82 | Наверх | Cообщить модератору

93. "Уязвимости в подсистеме eBPF ядра Linux"  –1 +/
Сообщение от Аноним (93), 10-Апр-21, 17:42 
> выполняемые внутри ядра Linux в специальной виртуальной машине с JIT

JIT - зло которое надо искоренить!

Ответить | Правка | Наверх | Cообщить модератору

111. "Уязвимости в подсистеме eBPF ядра Linux"  +/
Сообщение от Аноним (111), 11-Апр-21, 18:02 
Linux!!!
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру