https://opennet.dev/openforum/vsluhforumID3/107951.html В ядре kernel-rt c реализацией режима реального времени для Red Hat Enterprise Linux выявлена (http://seclists.org/oss-sec/2016/q2/349) проблема с безопасностью, позволяющая организовать атаку по выполнению произвольных команд SysRq (https://ru.wikipedia.org/wiki/SysRq) через отправку специально оформленных пакетов ICMP echo. Проблема связана с недоработкой в реализации функции (https://lwn.net/Articles/448790/) отправки команд SysRq по сети, которая не была принята в состав основного ядра, но вошла в состав пакета kernel-rt с набором патчей PREEMPT_RT (https://rt.wiki.kernel.org/index.php/Main_Page). Патч также используется в пакетах с ядром для некоторых других дистрибутив, например проблема присутствует (https://security-tracker.debian.org/tracker/CVE-2016-3707) в ядре из состава Debian. Обычное (не "-rt") ядро RHEL проблеме не подвержено.<br><br><br>Патч отправки SysRq по сети был создан для реагирования на зависания системы, при которых система никак не реагирует на клавиатурный ввод, но продолжает отвечать н https://opennet.dev/openforum/vsluhforumID3/107951.html#27 Wed, 18 May 2016 08:26:31 GMT &gt; У тебя RHEL? Новость вообще то про неё<br><br>Там дебьян приписали..<br>Да и для RHEL проблемы как таковой нет, если есть мозги у админа и руки из плеч.<br> https://opennet.dev/openforum/vsluhforumID3/107951.html#26 Wed, 18 May 2016 07:03:58 GMT Бред, какой то, какая же это уязвимость то, НОРМАЛЬНЫЙ админ, который устанавливает подобные системы должен изолировать их от инета что бы не мешал, ибо rt-шный системы делают не для инета.<br> https://opennet.dev/openforum/vsluhforumID3/107951.html#25 Wed, 18 May 2016 07:01:17 GMT &gt;Ой ли?..<br><br>У тебя RHEL? Новость вообще то про неё<br> https://opennet.dev/openforum/vsluhforumID3/107951.html#24 Tue, 17 May 2016 22:32:14 GMT А как проверить, что ключ подошёл? Слать команду "ребут" и детектить момент, когда пинги перестанут идти, что ли?<br> https://opennet.dev/openforum/vsluhforumID3/107951.html#23 Tue, 17 May 2016 21:36:12 GMT Молодец, сили дальше без PREEMPT_RT<br> https://opennet.dev/openforum/vsluhforumID3/107951.html#22 Tue, 17 May 2016 18:28:55 GMT Софт должен попадать в репы с минимальными изменениями.<br>Вот поэтому арч выгодно отличается от подобных дистрибутивов, в которых пользователя всего обмазывают всякими низкокачественными патчами.<br> https://opennet.dev/openforum/vsluhforumID3/107951.html#21 Tue, 17 May 2016 18:10:56 GMT Ага, для его успешности надо подождать всего лишь жалкие двадцать секстиллионов лет.<br> https://opennet.dev/openforum/vsluhforumID3/107951.html#20 Tue, 17 May 2016 16:08:30 GMT Чё панику развели?<br>Написано же: не использовать в небезопасном окружении.<br>Реализацию сделали, а как закрыться - пусть думает админ.<br>Не надо - не используй модуль.<br><br>diff --git a/Documentation/networking/sysrq-ping.txt b/Documentation/networking/sysrq-ping.txt<br>....<br>+ Allows execution of sysrq-X commands via ping over ipv4. This is a<br>+ known security hazard and should not be used in unsecure<br>+ environments.<br><br><br>И вообще, патчу 5 лет. С разморозкой, RedHat!<br> https://opennet.dev/openforum/vsluhforumID3/107951.html#19 Tue, 17 May 2016 15:46:28 GMT А вы их айпишники знаете?<br>