The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

29.09.2016 19:49  Локальная DoS-уязвимость в systemd

В системном менеджере systemd выявлена локальная уязвимость. Процесс PID 1 зависает на системном вызове pause() при поступлении в сокет уведомлений systemd сообщения нулевой длины, после чего невозможно запустить/остановить демоны или выполнить "чистую" перезагрузку, а systemd-сервисы в стиле inetd перестают принимать соединения. Так как сокет уведомлений /run/systemd/notify доступен всем на запись, то любые локальные пользователи могут вызвать отказ в обслуживании на системах с systemd.

Уязвимость проявляется во всех версиях systemd, начиная по крайней мере с версии 209. В настоящее время разработчики systemd занимаются подготовкой патча с устранением уязвимости. Атака сводится к выполнению команды


   NOTIFY_SOCKET=/run/systemd/notify systemd-notify ""


  1. Главная ссылка к новости (http://www.openwall.com/lists/...)
Автор новости: Аноним
Тип: Проблемы безопасности
Ключевые слова: systemd
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.5, Аноним (-), 21:33, 29/09/2016 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    нечему удивляться, хочешь миришься с этим, либо сидишь на дистре без сабжа. Или вон бсд подтянется 5го октября, правда там тоже не лучше и launchd притащат начнется тоже самое.
     
     
  • 2.6, АнонимХ (ok), 21:49, 29/09/2016 [^] [ответить]    [к модератору]
  • +/
    > launchd

    есть надежда, что оно будет академично по-бздешному продуманней, чем сабж. Например, pkg-ng, довольно хорош у них получился

     
     
  • 3.23, . (?), 23:43, 29/09/2016 [^] [ответить]     [к модератору]
  • –5 +/
    pkg-ng научился в человеческое разруливание циклических зависимостей Может он х... весь текст скрыт [показать]
     
     
  • 4.34, Аноним (-), 03:54, 30/09/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    CODE pkg info xcb-util xcb-util-0 4 0_1,1 Name xcb-util Version ... весь текст скрыт [показать]
     
     
  • 5.35, Аноним (-), 05:32, 30/09/2016 [^] [ответить]     [к модератору]  
  • –5 +/
    Версию и билд вижу Serial aka семейство - нет Это просто великолепно А бинар... весь текст скрыт [показать]
     
     
  • 6.45, тигар (ok), 08:58, 30/09/2016 [^] [ответить]     [к модератору]  
  • +/
    Расскажите, пожалуйста, что такое семейство а то может в более других отлич... весь текст скрыт [показать]
     
  • 6.59, Аноним (-), 13:35, 30/09/2016 [^] [ответить]    [к модератору]  
  • +/
    Плакали с такими конфликтами фронты на nginx перед апачем, на одной и той же машине. (Я конечно считаю, что апач не нужен, но не так радикально же)
     
  • 6.60, Аноним (-), 13:47, 30/09/2016 [^] [ответить]     [к модератору]  
  • +/
    Семейство чего Гуглить насчет serial несколько напряжно А посмотреть по ссыл... весь текст скрыт [показать]
     
     
  • 7.62, Michael Shigorin (ok), 14:35, 30/09/2016 [^] [ответить]     [к модератору]  
  • +/
    Скорее часть полной версии, перекрывающая собственно версию исходника Например,... весь текст скрыт [показать]
     
     
  • 8.65, Аноним (-), 16:41, 30/09/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    В следующей строчке Version 0 4 0_1,1 предпоследняя 1 после _ инкрем... весь текст скрыт [показать]
     
  • 8.66, Аноним (-), 16:43, 30/09/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    это он так эпоху в терминах RPM обозвал ?
     
     
  • 9.67, Michael Shigorin (ok), 16:49, 30/09/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    > это он так эпоху в терминах RPM обозвал ?

    Угу, это синонимы.  Рекомендуется s/^Serial:/Epoch:/g (со слов нашего майнтейнера rpm).

     
  • 4.40, alp (?), 08:02, 30/09/2016 [^] [ответить]    [к модератору]  
  • –3 +/
    Если пакетному менеджеру нужно большое количество pre/post и т.д. скриптов, то он просто имеет недостаточный функционал.
     
     
  • 5.54, fail (?), 10:08, 30/09/2016 [^] [ответить]     [к модератору]  
  • +2 +/
    как правило - это нужно не пактеному менеджеру, а пакету для выполнения тех или ... весь текст скрыт [показать]
     
  • 4.56, None (??), 10:31, 30/09/2016 [^] [ответить]     [к модератору]  
  • +/
    Интересно, зачем могут понадобиться циклические зависимости пакетов По факту, т... весь текст скрыт [показать]
     
  • 3.70, Аноним (-), 20:02, 30/09/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    Но пользоваться им нормально все-равно не получится Потому что монолиты 110 мет... весь текст скрыт [показать]
     
     
  • 4.80, Аноним (-), 21:23, 30/09/2016 [^] [ответить]     [к модератору]  
  • +2 +/
    Великий знаток опеннета не в курсе разницы между ракетным менеджером и собственн... весь текст скрыт [показать]
     
     
  • 5.81, Аноним (-), 22:04, 30/09/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    Хорошая опечатка При том что теоретически он есть Практически толку с этого не... весь текст скрыт [показать]
     
     
  • 6.89, Аноним (-), 00:36, 01/10/2016 [^] [ответить]     [к модератору]  
  • +/
    Бывает А по теме что-то будет Учитывая предыдущие вумности , смахивает на оч... весь текст скрыт [показать]
     
  • 2.53, Фунт (?), 10:00, 30/09/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    А в дистре без сабжа, типа, уязвимостей не бывает?
     
     
  • 3.57, Andrey Mitrofanov (?), 10:50, 30/09/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    > А в дистре без сабжа, типа, уязвимостей не бывает?

    В /bin/init-е-то? Серьёзно?!

     
     
  • 4.63, Michael Shigorin (ok), 14:39, 30/09/2016 [^] [ответить]     [к модератору]  
  • +/
    Кгм, у меня и бинаря-то такого нет -- следовательно, неуязвим CODE rpm -qf -... весь текст скрыт [показать]
     
     
  • 5.64, Andrey Mitrofanov (?), 15:03, 30/09/2016 [^] [ответить]    [к модератору]  
  • +/
    > Кгм, у меня и бинаря-то такого нет -- следовательно, неуязвим.

    ?) Лучше так:

    # ps -p 1
      PID TTY          TIME CMD
    # _

     
     ....нить скрыта, показать (22)

  • 1.7, Аноним (-), 21:53, 29/09/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +8 +/
    Говорили им - нечего лезть в иерархии, обязательно что-нибудь пойдет не так, так и случилось.
     
     
  • 2.46, Нанобот (ok), 09:03, 30/09/2016 [^] [ответить]    [к модератору]  
  • –2 +/
    волков бояться - в лес не ходить
     
     
  • 3.48, Аноним (-), 09:18, 30/09/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    Тут не про поход в лес, про нырок в канализацию.
     
  • 1.8, Michael Shigorin (ok), 22:13, 29/09/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    А, так вот о чём ldv@ вслух размышлял...
     
     
  • 2.13, KM (?), 23:07, 29/09/2016 [^] [ответить]    [к модератору]  
  • +/
    #32545 - исправлено?
     
     
  • 3.24, Michael Shigorin (ok), 23:45, 29/09/2016 [^] [ответить]     [к модератору]  
  • –2 +/
    Не-а Вообще говоря, поддержка ветки p7 уже завершена и всё, что в этом плане д... весь текст скрыт [показать]
     
     
  • 4.25, KM (?), 23:51, 29/09/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    Поэтому я и не выделял ветки, а закинул в общую секцию Чем могу ... весь текст скрыт [показать]
     
  • 2.31, Vkni (ok), 01:38, 30/09/2016 [^] [ответить]     [к модератору]  
  • +4 +/
    Я надеюсь не при дамах размышлял Вообще, Михаил, спасибо вам за sysV сборки Пе... весь текст скрыт [показать]
     
     
  • 3.73, Аноним (-), 20:17, 30/09/2016 [^] [ответить]     [к модератору]  
  • –2 +/
    Все познается в сравнении Если так попробовать почитать баги в инит-скриптах - ... весь текст скрыт [показать]
     
     
  • 4.77, Vkni (ok), 21:00, 30/09/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    Вот тут и познаётся разница между нормальной компонентной системой и кубик-рубик-монолитом. Те инит скрипты, которые я не запускаю, мне не мешают.
     
     
  • 5.82, Аноним (-), 22:29, 30/09/2016 [^] [ответить]     [к модератору]  
  • –2 +/
    При том большинство компонентов - из бамбука и лиан И работает характерно, заби... весь текст скрыт [показать]
     
     
  • 6.85, Vkni (ok), 23:55, 30/09/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    > горожить

    Ну вот примерно в таком стиле systemd и написан.

     
  • 6.93, Michael Shigorin (ok), 09:54, 01/10/2016 [^] [ответить]     [к модератору]  
  • +/
    В нормальных системах покрутить лимиты-приоритеты может и старый добрый sysvinit... весь текст скрыт [показать]
     
  • 4.91, Michael Shigorin (ok), 09:47, 01/10/2016 [^] [ответить]     [к модератору]  
  • +/
    Если надо, берёте monit и получаете _вменяемый_ мониторинг состояния сервисов ... весь текст скрыт [показать]
     
     
  • 5.106, Аноним (-), 03:52, 06/11/2016 [^] [ответить]     [к модератору]  
  • –2 +/
    Это чем он более вменяемый реализации в systemd Тем, что сделан через костыли с... весь текст скрыт [показать]
     
     
  • 6.107, Andrey Mitrofanov (?), 14:22, 07/11/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    Ваши познания уних-вея ввергают нас в ступор благоговения У не сам ли Леннарт п... весь текст скрыт [показать]
     
  • 6.108, Michael Shigorin (ok), 14:34, 07/11/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    Функциональными тестами Если бы Вы ещё сами этой функциональностью пользовались... весь текст скрыт [показать]
     
     
  • 7.109, Аноним (-), 22:10, 08/11/2016 [^] [ответить]     [к модератору]  
  • +/
    Это уже интересно И как выглядит функциональное тестирование сервиса, допустим,... весь текст скрыт [показать]
     
     
  • 8.110, Michael Shigorin (ok), 22:35, 08/11/2016 [^] [ответить]     [к модератору]  
  • +/
    Зависит от того, какие средства внешнего контроля предусматривает сервис Напри... весь текст скрыт [показать]
     
     ....нить скрыта, показать (15)

  • 1.11, Аноним (-), 22:58, 29/09/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +6 +/
    Это только начало, хехе.
     
     
  • 2.14, freehck (ok), 23:11, 29/09/2016 [^] [ответить]    [к модератору]  
  • +5 +/
    Естественно. Надо ведь не фичи релизить, а отлаживать существующий функционал.

    https://pp.vk.me/c637619/v637619910/fabc/5Xg8B3YfD_4.jpg

     
  • 1.12, vitalikp (?), 23:01, 29/09/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Забавный баг:)

    Походу нашли случайно.
    Но для пользователей ничего хорошего, хоть его и исправили,
    он еще долго может давать о себе знать.

     
     
  • 2.15, X2asd (ok), 23:13, 29/09/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    > он еще долго может давать о себе знать.

    Как?

     
     
  • 3.18, EuPhobos (ok), 23:20, 29/09/2016 [^] [ответить]    [к модератору]  
  • +/
    Как бамблби наверное, со своим "rm -rf /usr /share...", в айтишных байках.
     
  • 3.22, vitalikp (?), 23:28, 29/09/2016 [^] [ответить]     [к модератору]  
  • +/
    1 Ну в апстриме исправили, а в старых версиях надо еще патч адаптировать 2 Ес... весь текст скрыт [показать]
     
     
  • 4.37, Аноним (-), 06:16, 30/09/2016 [^] [ответить]    [к модератору]  
  • +/
    >Ну в апстриме исправили, а в старых версиях надо еще патч адаптировать  

    в убунте уже исправили. Вчера вечером команда работала, сегодня утром - уже нет

     
  • 4.49, Andrey Mitrofanov (?), 09:29, 30/09/2016 [^] [ответить]     [к модератору]  
  • +3 +/
    Даже так Если они входные данные не проверили в одном месте, то такого будет мн... весь текст скрыт [показать]
     
     
  • 5.78, Vkni (ok), 21:03, 30/09/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    Он давно уже идёт - я подписан на ALTовские рассылки, там периодически появляютс... весь текст скрыт [показать]
     
     
  • 6.83, Аноним (-), 22:38, 30/09/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    Достаточно посмотреть на опеннете на представителей альтлинукса, чтобы понять ка... весь текст скрыт [показать]
     
     
  • 7.87, Vkni (ok), 00:01, 01/10/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    > как у них системд будет работать.

    Без чудес, да. Падает, как у всех остальных.

     
  • 7.94, Michael Shigorin (ok), 11:11, 01/10/2016 [^] [ответить]     [к модератору]  
  • +/
    Ничего, что здесь обычно отмечаются mike , cas , vkni -- а вот shaba , который ... весь текст скрыт [показать]
     
  • 2.74, Аноним (-), 20:22, 30/09/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    Думаю что во всех мало-мальски ориентированных на продакшн дистрах майнтайнеры б... весь текст скрыт [показать]
     
     ....нить скрыта, показать (10)

  • 1.33, anonymous (??), 02:58, 30/09/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +12 +/
    Говорили же, чем больше всего намешано в PID 1, тем больше пространства для атак и сбоев.
     
     
  • 2.41, Аноним (-), 08:03, 30/09/2016 [^] [ответить]    [к модератору]  
  • –6 +/
    Не ошибается тот, кто ничего не делает.
     
     
  • 3.50, Andrey Mitrofanov (?), 09:30, 30/09/2016 [^] [ответить]    [к модератору]  
  • +8 +/
    > Не ошибается тот, кто ничего не делает.

    Признаёте s-d ошибкой?

     
  • 3.58, Аноним (-), 11:21, 30/09/2016 [^] [ответить]     [к модератору]  
  • +3 +/
    лол, пилить болгаркой стремянку, на которой стоишь, тоже можно а потом после ... весь текст скрыт [показать]
     
     
  • 4.71, anomymous (?), 20:15, 30/09/2016 [^] [ответить]    [к модератору]  
  • –2 +/
    Ну да, править кастомно 100500 скриптов от 100500 криворуких мейнтейнеров потому, что они делают что-то не так, как положено - куда лучше.
     
  • 4.75, Аноним (-), 20:25, 30/09/2016 [^] [ответить]    [к модератору]  
  • –2 +/
    > лол, пилить болгаркой стремянку, на которой стоишь, тоже можно...

    Поэтому фанаты sysv init утверждают что болгарки и стремянки не требуются. Максимум ручная дрель.

     
     
  • 5.79, Vkni (ok), 21:07, 30/09/2016 [^] [ответить]     [к модератору]  
  • +2 +/
    Язык Цэ, на котором написана система systemD - это и есть ручная дрель по сравне... весь текст скрыт [показать]
     
     
  • 6.84, Анонми (?), 22:45, 30/09/2016 [^] [ответить]     [к модератору]  
  • –3 +/
    Пока не попробуешь им namespace переключить, попутно расставляя лимиты и переклю... весь текст скрыт [показать]
     
     
  • 7.86, Vkni (ok), 00:00, 01/10/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    У вас функциональная неграмотность: я писал про языки Цэ и sh, а вы возражаете, рассказывая про системы инициализации.
     
  • 7.92, freehck (ok), 09:47, 01/10/2016 [^] [ответить]     [к модератору]  
  • +/
    Ну и нахрена вам всё это Ну и что вам такого дали эти ваши namespace-ы Улучшен... весь текст скрыт [показать]
     
     
  • 8.95, Michael Shigorin (ok), 11:37, 01/10/2016 [^] [ответить]     [к модератору]  
  • +/
    Он скорее о том, что ulimit из инитскриптов в обычных дистрибутивах штатно не ... весь текст скрыт [показать]
     
     
  • 9.96, freehck (ok), 17:33, 01/10/2016 [^] [ответить]     [к модератору]  
  • +2 +/
    Да я, Миш, собственно о том и говорю, что они ставят в заслугу своей любимой под... весь текст скрыт [показать]
     
     
  • 10.98, Vkni (ok), 18:14, 01/10/2016 [^] [ответить]     [к модератору]  
  • –2 +/
    Реально, если есть проблемы со скриптами, то нужно просто переходить на какой-ни... весь текст скрыт [показать]
     
     
  • 11.99, freehck (ok), 19:58, 01/10/2016 [^] [ответить]     [к модератору]  
  • +/
    Кстати, очень интересная мысль Предлагаю обсудить в почте vkni altlinux org, н... весь текст скрыт [показать]
     
     
  • 12.101, Vkni (ok), 22:48, 01/10/2016 [^] [ответить]     [к модератору]  
  • +/
    У меня тоже есть, но толку-то Основная проблема с заменой sh - это то, что нужн... весь текст скрыт [показать]
     
     
  • 13.103, freehck (ok), 15:57, 02/10/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    Вот мне тоже не понятно, куда там типизацию втыкать Основное применение shell -... весь текст скрыт [показать]
     
  • 10.100, Michael Shigorin (ok), 22:39, 01/10/2016 [^] [ответить]     [к модератору]  
  • +/
    Вообще это несложно поправить -- на конторе всё так же вечерами водится чай, а з... весь текст скрыт [показать]
     
     
  • 11.102, freehck (ok), 15:25, 02/10/2016 [^] [ответить]     [к модератору]  
  • +/
    А контора-то где Посмотрел Мне 4 часа ходу до Переславля Можно попробовать Х... весь текст скрыт [показать]
     
     
  • 12.105, Michael Shigorin (ok), 15:10, 03/10/2016 [^] [ответить]     [к модератору]  
  • +/
    На Дмитровской, см basealt ru Да, зимой по горкам с эпизодическими лесовозами ... весь текст скрыт [показать]
     
     ....нить скрыта, показать (18)

  • 1.44, anonymous (??), 08:23, 30/09/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    Я все жду когда Торвальдс хороший гемор от этой поделки получит
     
     
  • 2.51, Andrey Mitrofanov (?), 09:31, 30/09/2016 [^] [ответить]    [к модератору]  
  • +/
    > Я все жду когда Торвальдс хороший гемор от этой поделки получит

    LF РедХейту гешефт не выклюет!

     
  • 1.68, Аноним84701 (?), 17:42, 30/09/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    > При поступлении сообщения нулевой длины в сокет уведомлений systemd,
    > PID 1 зависает на системном вызове pause

    Немного напомнило давний баг
    https://bugs.freedesktop.org/show_bug.cgi?id=74589
    > systemd segfaults if no cgroups are available

    Вернее, ответ анонимного тезки Леннарту )
    (Lennart)
    >> To make this work we'd need a patch, as nobody of us tests this.

    (Тезка)
    > Yes, it's clear you don't test for NULL pointers before deferencing.
    > Nobody else should need to provide a patch to fix the bug you created.
    > If you can't figure out how to check for NULL pointers, STOP WRITING CODE IMMEDIATELY!
    > You should never EVER be deferencing any pointer without first sanity checking its value.
    >NO EXCEPTIONS!
    > P.S. Please go diе in a fire.
    >

    Вообще, проверок и аccертов в том коде системд, который я просматривал, немало. Но как-то немного беccистемно. Т.е. иногда как минимум двойные-тройные, когда параметры проверяются вызывающей функцией, а потом еще и в вызванной. Ну и поведение кода в "случае чего" как-то ... не всегда очевидно (вернее, так далеко я в код  не закaпывался, так что воздержусь от опрометчивых суждений).

     
     
  • 2.69, KonstantinB (ok), 19:17, 30/09/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Я тоже глубоко не закапывался, но на поверхностный взгляд "бессистемность" - это очень хорошая характеристика стиля кода systemd.

    Код upstart-а, по крайней мере, читать намного проще.

     
     
  • 3.72, anomymous (?), 20:16, 30/09/2016 [^] [ответить]    [к модератору]  
  • –2 +/
    upstart в целом был бы куда более интересен, если бы не имел такой полномасштабной жопы с отслеживанием разного рода зависимостей.

    В системды конфиги в целом логичны. А код - дело вылизываемое.

     
     
  • 4.88, Vkni (ok), 00:03, 01/10/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    > А код - дело вылизываемое.

    Можете приступать. Но что-то тот код с магическими константами как появился в 2010м году, так до сих пор торчит.

     
  • 4.90, Michael Shigorin (ok), 09:45, 01/10/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    > А код - дело вылизываемое.

    ...архитектура -- дело поправимое, задумка -- не беда...

    PS: привет с калужской конференции #ossdevconf :)

     
  • 4.104, KonstantinB (ok), 19:37, 02/10/2016 [^] [ответить]    [к модератору]  
  • +/
    Теперь-то да, деваться уже некуда. Пару лет назад еще имело смысл пробовать допилить upstart.
     
  • 3.76, Аноним (-), 20:32, 30/09/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    А радости с этого Ну вот надо мне чтобы моя программа взлетела перед какой-то е... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor