https://www.opennet.me/openforum/vsluhforumID3/60543.html Во всех Linux ядрах серии 2.6.x найдена (http://www.securityfocus.com/bid/36901) серьезная уязвимость, позволяющая локальному пользователю выполнить свой код с root-привилегиями. Проблема вызвана возможностью разыменования NULL-указателя при выполнения определенных действий с неименованными каналами (pipe). Уязвимости подвержены большинство Linux дистрибутивов. <br><br><br>В качестве метода защиты можно запретить маппинг страниц по нулевому адресу через установку в отличное от нуля значение переменной /proc/sys/vm/mmap_min_addr.<br><br><br>Уязвимость очень похожа по своей сути на обнаруженную (http://www.opennet.ru/opennews/art.shtml?num=23014) в августе проблему в функции the sock_sendpage() и на представленную несколько дней назад уязвимость (http://www.opennet.ru/opennews/art.shtml?num=24073) в сетевом стеке OpenBSD. Кстати говоря разработчики OpenBSD уже успели обсудить (http://www.pubbs.net/openbsd/200911/4582/) скептическое отношение Линуса Торвальдса к проблемам безопасности, не желающего по ...<br><br>URL: http://www.sec https://www.opennet.me/openforum/vsluhforumID3/60543.html#123 Mon, 16 Nov 2009 16:45:24 GMT &gt;&gt;Если будет оказия -- гляньте в альтовском Ark Server 5.0 (модуль alterator-mkve). <br>&gt;Уже, наверно, не смогу - я всё перевожу на VmWare Sphere. <br><br>BTW там kvm в качестве основного варианта.<br><br>В любом разе спасибо за обсуждение, интересно.<br> https://www.opennet.me/openforum/vsluhforumID3/60543.html#122 Mon, 16 Nov 2009 15:36:06 GMT &gt;&gt;в 2.6.18/AMD64 я встретил очень редкий баг с утечкой памяти, который кроме <br>&gt;&gt;меня на форуме только один пользователь описал.<br>&gt;<br>&gt;Если вдруг попадётся -- может, забросьте ссылочку или слова. То ли <br>&gt;не замечаю, то ли на UP/SMP AMD64 и SMP EM64T не <br>&gt;встречал. <br><br>Уже не могу найти. У меня AMD64 однопроцессорный , на 24 перестала пропадать память.<br><br>... <br>&gt;Благодарю, отложил себе в тематический архив. Если будет оказия -- гляньте <br>&gt;в альтовском Ark Server 5.0 (модуль alterator-mkve). Правда, предложение непроверенное <br>&gt;-- я использовал (и исправлял немного) только alterator-ovz из 4.0: сейчас <br>&gt;до дистрибутивов руки не доходят особо, отошёл от тематики внедрений покамест. <br><br>Уже, наверно, не смогу - я всё перевожу на VmWare Sphere.<br><br><br>&gt;&gt;Например, живая миграция возможна только на однотипное оборудование, но это мелочи;<br>&gt;<br>&gt;До неё собирался, но не добрался за отсутствием необходимости, только "из рук" <br>&gt;видел. Однотипное -- это о x86/x86_64? (у меня большинство контейнеров <br>&gt;вне офиса пока 32- https://www.opennet.me/openforum/vsluhforumID3/60543.html#121 Mon, 16 Nov 2009 15:00:02 GMT &gt;в 2.6.18/AMD64 я встретил очень редкий баг с утечкой памяти, который кроме <br>&gt;меня на форуме только один пользователь описал.<br><br>Если вдруг попадётся -- может, забросьте ссылочку или слова. То ли не замечаю, то ли на UP/SMP AMD64 и SMP EM64T не встречал.<br><br>&gt;&gt;&gt;тем более что для OpenVZ практически нет хороших бесплатных панелей управления.<br>&gt;&gt;Тут не смотрел -- webvz/easyvz совсем не то? <br>&gt;webvz [...]<br>&gt;easyvz [...]<br>&gt;proxmos [...]<br>&gt;hypervm [...]<br><br>Благодарю, отложил себе в тематический архив. Если будет оказия -- гляньте в альтовском Ark Server 5.0 (модуль alterator-mkve). Правда, предложение непроверенное -- я использовал (и исправлял немного) только alterator-ovz из 4.0: сейчас до дистрибутивов руки не доходят особо, отошёл от тематики внедрений покамест.<br><br>&gt;Например, живая миграция возможна только на однотипное оборудование, но это мелочи;<br><br>До неё собирался, но не добрался за отсутствием необходимости, только "из рук" видел. Однотипное -- это о x86/x86_64? (у меня большинство контейнеров вне офиса п https://www.opennet.me/openforum/vsluhforumID3/60543.html#120 Mon, 16 Nov 2009 13:46:30 GMT &gt;&gt;Очень сложно соблюдать дисциплину при разделении ресурсов<br>&gt;<br>&gt;Вот почему и сказал про 2.6.18/rhel5 branch. Там ещё не было <br>&gt;всё разломано при переезде на linux containers, и --cpus работает, и <br>&gt;всё прочее задокументированное (по крайней мере у меня). <br>&gt;<br><br>в 2.6.18/AMD64 я встретил очень редкий баг с утечкой памяти, который кроме меня на форуме только один пользователь описал.<br><br>&gt;&gt;тем более что для OpenVZ практически нет хороших бесплатных панелей управления.<br>&gt;<br>&gt;Тут не смотрел -- webvz/easyvz совсем не то? <br><br>webvz я даже пытался править - там от меня на каждой странице в последних релизах есть одна строчка. Но принципиально я ruby не использую - слишком много тащить с ним надо, и есть у webvz фундаментальный глюк - долгие операции типа копирования или создания, при прерывании HTTP сеанса, могут окончится плохо, и уж точно я не узнаю о результатах их выполнения, так что это только запускалка скриптов. Машины три я этим оснастил, потом забил.<br><br>easyvz смотреть не стал. Такого уровня поделки я могу https://www.opennet.me/openforum/vsluhforumID3/60543.html#119 Mon, 16 Nov 2009 13:31:11 GMT &gt;Очень сложно соблюдать дисциплину при разделении ресурсов<br><br>Вот почему и сказал про 2.6.18/rhel5 branch. Там ещё не было всё разломано при переезде на linux containers, и --cpus работает, и всё прочее задокументированное (по крайней мере у меня).<br><br>&gt;тем более что для OpenVZ практически нет хороших бесплатных панелей управления.<br><br>Тут не смотрел -- webvz/easyvz совсем не то?<br><br>&gt;Миграция машины на другое оборудование может привести к самым неожиданным эффектам,<br>&gt;причём не сразу.<br><br>По части лимитов, если памяти/процессоров существенно иначе? Вообще-то мне доводилось таскать и HN+VE, и отдельные VE по совсем разным железкам и как раз был поражён, насколько _мало_ это заняло времени и насколько _не_ породило проблем (в том числе и в дальнейшем).<br> https://www.opennet.me/openforum/vsluhforumID3/60543.html#118 Mon, 16 Nov 2009 10:23:25 GMT &gt;[угу] <br>&gt;<br>&gt;&gt;Вообще OpenVZ - пережиток дорогой памяти... <br>&gt;<br>&gt;Не сказал бы, с администрированием у чрутообразных в ряде случаев тоже куда <br>&gt;практичней, чем у полностью прикидывающихся. <br><br>Очень сложно соблюдать дисциплину при разделении ресурсов, тем более что для OpenVZ практически нет хороших бесплатных панелей управления. Миграция машины на другое оборудование может привести к самым неожиданным эффектам, причём не сразу. Но администрировать действительно удобно.<br> https://www.opennet.me/openforum/vsluhforumID3/60543.html#117 Sun, 15 Nov 2009 20:44:12 GMT [угу]<br><br>&gt;Вообще OpenVZ - пережиток дорогой памяти... <br><br>Не сказал бы, с администрированием у чрутообразных в ряде случаев тоже куда практичней, чем у полностью прикидывающихся.<br> https://www.opennet.me/openforum/vsluhforumID3/60543.html#116 Mon, 09 Nov 2009 09:54:49 GMT Эксплоит на Debian Etch:<br><br>[gw-lower:remote]# uname -a<br>Linux gw-lower 2.6.24-etchnhalf.1-686 #1 SMP Tue Dec 2 07:56:33 UTC 2008 i686 GNU/Linux<br><br>~/cheddar_bay$ ./exploit<br> [+] MAPPED ZERO PAGE!<br> [+] Resolved tun_fops to 0xd0b56da0<br> [+] Resolved nf_unregister_hooks to 0xc0275cd5<br> [+] Resolved sel_read_enforce to 0xc01c67e0<br> [+] *0xd0b56dcc &#124;= 1<br> [+] b00m!<br> [+] Disabled security of : nothing, what an insecure machine!<br> [+] Failed to get root :( Something's wrong. Maybe the kernel isn't vulnerable?<br> https://www.opennet.me/openforum/vsluhforumID3/60543.html#115 Sat, 07 Nov 2009 22:50:47 GMT Он работает только с /usr/bin/pulseaudio или есть другие опасные суидные программы ?<br>