https://www.opennet.ru/openforum/vsluhforumID3/113121.html В подсистеме eBPF (http://prototype-kernel.readthedocs.io/en/latest/bpf/), позволяющей запускать обработчики для трассировки, анализа работы подсистем и управления трафиком, выполняемые внутри ядра в специальной виртуальной машине с JIT, выявлена (http://openwall.com/lists/oss-security/2017/12/21/2) серия уязвимостей, которые могут быть использованы локальным атакующим для запуска кода с правами ядра через загрузку специально оформленного eBPF-приложения. Выявленные уязвимости проявляются в ядрах Linux 4.9+ и 4.14+, но в общем виде проблемы в eBPF представляют опасность начиная с ядра 4.4, в котором появилась возможность загрузки программ eBPF непривилегированными пользователями.<br><br><br><br>Так как помимо опубликованных исследователями прототипов эксплоитов (https://bugs.chromium.org/p/project-zero/issues/detail?id=1454&desc=3) в сети выявлено (https://www.decadent.org.uk/ben/blog/bpf-security-issues-in-debian.html) наличие публично доступного рабочего эксплоита для получения root-доступа через данные уязвимости, https://www.opennet.ru/openforum/vsluhforumID3/113121.html#88 Mon, 13 Aug 2018 09:38:06 GMT https://www.youtube.com/watch?v=sV3XfrfjrPo&feature=youtu.be&t=1851<br>Это таймкод, вот.<br> https://www.opennet.ru/openforum/vsluhforumID3/113121.html#87 Fri, 23 Feb 2018 20:33:25 GMT Не парься. Их трудно как-нибудь просветить.<br><br>Пофиг людям, что ракеты падают не из-за того, что инженеры дeбилы, а по другим причинам (например: отсутствие конкуренции, частных компаний, патентного права, поддержки, партнёрства, капитализации и вменяемого менеджмента + запугивание)<br><br>Пофиг им и то, что ко всему ведру нельзя прикрутить какой-то адский супер-мега-анализатор сходу, потому-что оно такое огромное, что его даже шланг года 3 прожевать не может (хоть и очень старается)<br><br>И вроде про rust им тоже объясняешь, типа "да, писание модулей как эксперимент -- это интересно и хорошо", они всё-равно недовольны. Но как начинаешь объяснять им что "ты радуйся, что они ассемблерных вставок хоть избегают" -- так уже "плохо, что избегают!"<br><br>Говоришь им, что в PREEMPT/RT-ядрах есть зачатки микроядерности, и звук в джеке пишется хорошо... но они снова про 12309 поясняют...<br><br><br>И вот никак же им не объяснишь, что на мобильных вендах всё в 1000 раз ужаснее, и что на яблочных девайсах поломали права (внезапный root https://www.opennet.ru/openforum/vsluhforumID3/113121.html#86 Fri, 23 Feb 2018 20:09:01 GMT &gt;Вы забыли ссылку на своё беспроблемное, хоть и ни разу не гениальное, ядро. Даже необязательно в исходниках.<br><br>Он какой-то левый утюг запакует щаз, и будет наблюдать как вы его тщетно загрузить пытаетесь.<br> https://www.opennet.ru/openforum/vsluhforumID3/113121.html#85 Tue, 26 Dec 2017 16:09:45 GMT &gt; Что ж теперь strace-ом и gdb юзерам запретить пользоваться?<br><br>Представляешь, было vuln-ов связанных с трассировкой процессов. И в лине и в бздях. Уж ptrace какой-нибудь отродясь подставлял все что можно.<br> https://www.opennet.ru/openforum/vsluhforumID3/113121.html#84 Mon, 25 Dec 2017 23:50:10 GMT &gt;&gt; Сабж про пингвина.<br>&gt; И там как раз написано что случается после того как нерут что-нибудь <br>&gt; основательно отдебажит. Как угодно но дебагинг это сложная и привилегированная штука, <br>&gt; откуда вытекают некоторые соотношения.<br><br>Однако, простой дебагинг приложения, без "влезания" в ядро, намного более простая штука, чем сабж с JIT. <br>Но, повторюсь - тема этой ветки было утверждение анонима что в солярисе и бзде dtrace можно было использовать без дополнительных привелегий. Это не так. Возможно, анон перепутал с truss, которым можно потрейсить системные вызовы (аналог strace).<br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/113121.html#83 Mon, 25 Dec 2017 23:37:50 GMT Ordu ты открыл мне глаза, большое человеческое спасибо!<br> https://www.opennet.ru/openforum/vsluhforumID3/113121.html#82 Mon, 25 Dec 2017 22:21:14 GMT &gt; Это eBPF оно мне вообще надо? И почему оно включено по умолчанию? <br><br>А где [было написано что] оно включено по умолчанию?<br>На первый вопрос ответ "нет".<br> <br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/113121.html#81 Mon, 25 Dec 2017 22:16:07 GMT &gt;&gt; Сабж про пингвина.<br>&gt; И там как раз написано что случается после того как нерут что-нибудь <br>&gt; основательно отдебажит. Как угодно но дебагинг это сложная и привилегированная штука, <br>&gt; откуда вытекают некоторые соотношения.<br><br>Что ж теперь strace-ом и gdb юзерам запретить пользоваться?<br> https://www.opennet.ru/openforum/vsluhforumID3/113121.html#79 Mon, 25 Dec 2017 21:34:47 GMT Ну так какой прок от eBPF (где цифры, слайды, видео)?<br>История успеха, так сказать...<br>