URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 129142
[ Назад ]
Исходное сообщение
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено opennews , 02-Дек-22 15:01 
Компания  Qualys выявила третью в этому году опасную уязвимость (CVE-2022-3328) в утилите snap-confine, поставляемой с флагом SUID root и вызываемой процессом snapd для формирования исполняемого окружения для приложений, распространяемых в самодостаточных пакетах в формате snap. Уязвимость позволяет локальному непривилегированному пользователю добиться выполнения кода с правами root в конфигурации Ubuntu по умолчанию. Проблема устранена в выпуске snapd 2.57.6. Обновления пакетов выпущены для всех поддерживаемых веток Ubuntu...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=58242

Содержание
Сообщения в этом обсуждении
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Аноним , 02-Дек-22 15:01 
Ладно
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Аноним , 02-Дек-22 19:10 
как и ожидалось - троянский шнапс!
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Тот_Самый_Анонимус_ , 04-Дек-22 05:31 
Сморти шире. Линь — троян, ведь каждую уязвимость внедряли умышленно.
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Андрей , 02-Дек-22 15:11 
Ну наконец!

Дождались!

"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Аноним , 02-Дек-22 15:15 
>Уязвимость позволяет локальному непривилегированному пользователю добиться выполнения кода с правами root
>Уязвимость в snap-confine вызвана состоянием гонки в функции must_mkdir_and_open_with_perms()

Как мило ;) Rust - это безопастно, говорили они (растаманы).

"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Жироватт , 02-Дек-22 15:17 
Оно написано на другом невероятностно безопастном языке - Go
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Анонн , 02-Дек-22 15:34 
Ыкспертиза опеннетовских комментаторов велика как никогда!
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено pashev.ru , 02-Дек-22 15:18 
Бггг.
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Аноним , 02-Дек-22 15:23 
Ништяк, что это жс программисты только не придумывают, лишь бы не использовать dirfd.
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Аноним , 02-Дек-22 16:39 
Тупяк, что это опеннет эксперты только не напишут, лишь бы не думать.

  

"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Аноним , 02-Дек-22 16:52 
> Тупяк, что это опеннет эксперты только не напишут, лишь бы не думать.

Так даже в расте давно озабатились тем, что файлы могут подменять, если их не идентифицировать однозначно. А тут не догадались. При чём тут эксперты?

"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Аноним , 02-Дек-22 15:25 
Мда.. это даже не ping у freebsd, это просто с какой нить веб странички можно поиметь юзера..
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Аноним , 02-Дек-22 17:04 
>Уязвимость позволяет локальному непривилегированному пользователю добиться выполнения кода с правами root в конфигурации Ubuntu по умолчанию.

Не может

"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Аноним , 02-Дек-22 15:42 
Почему Canonical не может отказаться от Snap?
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Аноним , 02-Дек-22 15:59 
Зачем им это делать?
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено user32.dll , 02-Дек-22 15:59 
Чтобы от Mi-6 пакеты правильные совать
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено fuggy , 02-Дек-22 18:57 
Выпилили бы snapd и уязвимость была бы решена.
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Аноним , 02-Дек-22 22:51 
> Почему Canonical не может отказаться от Snap?

Ещё не время, сперва Маркуша будет пыжится-пыжится, а потом на всех обидится и закопает свой велосипед, согласно устоявшейся уже традиции...

А если реально смотреть, то если они сольют snap в пользую флатпака, то они нехило так сдадут позиции намного быстрее, чем сейчас, ибо для конченного пользователя нет разницы на каком дистре будет флатпаками намазано.

"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Аноним , 03-Дек-22 15:06 
Потому что самонадеянные пакеты это будущее линукс, хочешь ты этого или нет.
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Аноним , 02-Дек-22 15:57 
Как мы можем видеть из новости, Go вполне подоходит для промышленного применения — CVE на нём пишутся не хуже, чем на C.
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено user32.dll , 02-Дек-22 16:01 
Конечно, столовый нож отрезает пальцы не хуже, чем канцелярский, другое дело ржавый нож, да?
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Анонушка , 02-Дек-22 16:15 
snap-confine написан на си, и фиксы касались кода на си
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Аноним , 02-Дек-22 22:54 
> snap-confine написан на си, и фиксы касались кода на си

Проблема не в том, на чём написан snap-балаган, а в том, что юзеру, не имеющему прав админа давать возможность ставить пакеты - это дичь изначально, как и реализация путём волочения в систему жирнорантаймов и тонны повторяющихся кривых версий либ, которые, тем более, никто не будет проверять.

Это ещё в новости забыли упомянуть про тот случай, когда в снапстор залили заведомо вредоносных пакетов.

Сикурность во все поля.

"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Аноним , 02-Дек-22 16:15 
CVE и на р.... отлично пишутся. Так что ты пердеж не засчитан.
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Аноним , 02-Дек-22 16:33 
Только фикс делали в файле mount-support-test.c
https://github.com/snapcore/snapd/commit/21ebc51f00b8a141788...

Опять сишные дыры! Причем в Go проекте!

"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Аноним , 02-Дек-22 17:47 
То есть в данном случае мы действительно можем наблюдать как ненастоящие сишники прокрались в проект и cve напрогали? Ой-вей.
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Аноним , 02-Дек-22 18:32 
А в ping и openssl тоже ненастоящие сишники прокрались? А в grub2? А в zlib?
Ой-вей, сколько ж их развелось однако. А настоящие вообще существуют? Или они как драконы или единороги?
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Аноним , 02-Дек-22 23:29 
Ехал void через void видил void void void.
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Аноним , 02-Дек-22 16:01 
Шляпа космонавта, ненужно! Самое нормальное это appimage.
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Аноним , 02-Дек-22 16:15 
Как его обновлять прикажешь?
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Аноним , 02-Дек-22 17:03 
AppImageUpdate
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Аноним , 02-Дек-22 18:27 
Можете хоть ржать хоть смеяться, но пропреетарному/коммерческому/портабельному-опенсорцному(или бесплатному закрытому) софту в упор не сдались никакие флатпаки, никакие снапы от слова вообще. Все что хочет microsoft и прочие мега-корпорации лишь то, чтобы в линуксе наконец-то появилось стабильное api/abi. И тогда появятся больше технологий по типа mojosetup (который, честно говоря, был брошен на пол пути своего развития). Люди ржут по типа "хаха-лол setup.exe", какая-нибудь mozilla вообще была рада распространять установщик firefox для линукса под setup.exe более того если эта платформа будет поддерживает фоновые процессы на автостарте системы для фонового автообновления браузера Mozilla Maintenance Service в венде.

Люди совсем не понимают, что кроме "централизованного репозитория/а теперь еще и магазинов" что флатпак что снап пытаются решить проблему "base os" банально предоставляя либы базовых lts систем. Мы в систему установим рядом такую же систему, но более старенькую в надежде что там нет багов, крашей и заведомо потенциальных уязвимостей bleeding-edge версий Си библиотек.

"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено BrainFucker , 02-Дек-22 20:14 
> какая-нибудь mozilla вообще была рада распространять установщик firefox для линукса под setup.exe

А она и распространяет. У неё с сайта можно скачать портабельный тарбол бандл Firefox и Thunderbird, распаковать куда хочешь и использовать без всяких плясок с dependency hell. Чем я и пользуюсь с удовольствием.

"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Аноним , 02-Дек-22 23:31 
tar.bz2 это не exe. 🤳
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено BrainFucker , 03-Дек-22 06:00 
> tar.bz2 это не exe. 🤳

Ну и что. Почти всё что надо бинарь может сделать при первом запуске. А самораспаковывающийся архив легко сделать даже на баше, если очень надо.

И кстати, никаких рут уязвимостей в этом случае, приложение можно поставить без прав рута. Чем не могут похвастаться даже традиционные пакетные менеджеры типа apt, с их встроенными pre-install и post-install скриптами может прозойти что угодно.
Правда, я предпочитаю распаковывать с рутовыми правами в директорию /opt, зато приложение доступно на запись только руту, чтобы никто не мог его модифицировать, но это частности. Но и в этом случае при распаковке ничего из архива с рутовыми правами не выполняется.

"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Искренне недоумеваю , 03-Дек-22 03:19 
>[оверквотинг удален]
> больше технологий по типа mojosetup (который, честно говоря, был брошен на
> пол пути своего развития). Люди ржут по типа "хаха-лол setup.exe", какая-нибудь
> mozilla вообще была рада распространять установщик firefox для линукса под setup.exe
> более того если эта платформа будет поддерживает фоновые процессы на автостарте
> системы для фонового автообновления браузера Mozilla Maintenance Service в венде.
> Люди совсем не понимают, что кроме "централизованного репозитория/а теперь еще и магазинов"
> что флатпак что снап пытаются решить проблему "base os" банально предоставляя
> либы базовых lts систем. Мы в систему установим рядом такую же
> систему, но более старенькую в надежде что там нет багов, крашей
> и заведомо потенциальных уязвимостей bleeding-edge версий Си библиотек.

Что не так со стабильностью api/abi в рамках цикла 10 лет жизни какого-нибудь RHEL?
Кто помешал корпорациям их считать единственным эталонным дистром?

Подскажу сразу - никто. Более того, многие так и считают, и пользуются этим. По факту, кому надо, для того уже есть свой, максимально подходящий под его задачи дистр, которым контора пользуется и не ноет про "зоопарк линуксов" и прочую чушь из методичек M$-маркетолухов, которые "любят linux".

"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Аноним , 02-Дек-22 19:03 
Скачать свежую версию .AppImage
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Аноним , 02-Дек-22 16:37 
А как его установить в систему так чтобы появилась иконка в меню, работала ассоциация с файлами по типам, можно было выбрать из списка подходящих к типу файла программ?

Еще нужно чтоб программа стала доступна в path, это легко, но само не произойдет. Особенно если внутри пакет должно быть несколько программ...

"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено НяшМяш , 02-Дек-22 17:22 
Примерно как-то так https://docs.appimage.org/user-guide/run-appimages.html#inte...
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено BrainFucker , 02-Дек-22 20:15 
> А как его установить в систему так чтобы появилась иконка в меню, работала ассоциация с файлами по типам,

У меня это KDE умеет делать с любым приложением не важно как оно установлено, хоть из тарбола.

"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Аноним , 02-Дек-22 23:00 
> Шляпа космонавта, ненужно! Самое нормальное это appimage.

Гавна из под коня, лучше уж простой архив со статической линковкой, чем он же, но затолканный в какой-то ошалелый формат образа, который хз кто проверял и хз кто собирал. При том, что как правило с ним вместе не то что цифровой подписи не идёт, но даже порой и хэшсумм. Такого шлака ещё поискать.

Самое вменяемое что есть из неродных пакетов и механизма их распространения, это пакетный менеджер nix и его стор. Другое дело, что никто из известных проектов не пытается его изкоробочно пропихнуть к себе в дистр, на замену снапам/флатпакам, и очень зря, была бы очень годная тема, потому что сам NixOS как полноценная рабочая основная ОС не подходит, шибко неустойчива, шибко R&D, шибко кpacнoглaзa.

"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено жявамэн , 02-Дек-22 16:28 
балдежно
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Аноним , 02-Дек-22 16:32 
>Уязвимость в snap-confine вызвана состоянием гонки в функции must_mkdir_and_open_with_perms()

с состоянием гонки в такой ситуации очень трудно что-то сделать

"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Анонн , 02-Дек-22 16:34 
Смешно. В безопасном Go решили чуток поиспользовать божественную сишечку... и она отстрелила обе ноги.
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено user32.dll , 02-Дек-22 16:49 
При чем тут язык, если дело в подходе? У тех, кто ради инклюзивности решил даже от мозга отказаться, лучше что ли получится, без таких архиткетурных и логических ошибок?
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Анонн , 02-Дек-22 16:59 
Да, конечно язык ни при чем.
На бажины совсем не влияют отсутствие optional, строки в виде char*, массивы в виде тупого указателя без знания размера, повсеместное использование кастов void* в то, что погромисту захотелось.
Поэтому лажают в вычислениях размеров массивов и буфферов, переписывают чужую память, кастят не то и не туда. Но язык тут абсолютно ни при чем, конечно)))
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено user32.dll , 02-Дек-22 17:04 
Попробуй написать какой-нибудь загрузчик ОС или микроконтроллера без этого всего и без unsafe конечно.
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Анонн , 02-Дек-22 17:12 
Ну так если оно тебе нужно только в загрузчике, то зачем тянуть его во все остальное, в том числе в юзерспейс? Может стоит отделать совсем низкоуровневые операции от которых отказаться нельзя, от тех, где в них необходимости?
Oh ,shi... мы только что (пере)придумали концепцию safe-unsafe кода!
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено user32.dll , 02-Дек-22 17:05 
И зачем перескакивать, если состояние гонки, например, в моем следующем посте упомянуто в в самом расте, а не каком-то даже проекте на нём
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Анонн , 02-Дек-22 17:18 
А чего ты все время пишешь про раст, если пробема в Го и сишечке? Что за фиксация?
Вот я пишу про дырявую сишку, но вообще не упоминал раст до твоих комментов.
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Вы забыли заполнить поле Name , 02-Дек-22 21:50 
Ты сейчас оскорбил очень многих петровичей. Жди в гости. А пока рекомендую сжечь и удолить все растоманские книжки.
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Вы забыли заполнить поле Name , 02-Дек-22 21:49 
> На бажины совсем не влияют отсутствие optional, строки в виде char*, массивы в виде тупого указателя без знания размера, повсеместное использование кастов void* в то, что погромисту захотелось.

Первые 2 проблемы решаются на изи своим кодом. Ты еще спроси почему в с нет хэшей в стандартной либе.

"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено АнонимКо , 02-Дек-22 23:02 
> Да, конечно язык ни при чем.
> На бажины совсем не влияют отсутствие optional, строки в виде char*, массивы
> в виде тупого указателя без знания размера, повсеместное использование кастов void*
> в то, что погромисту захотелось.
> Поэтому лажают в вычислениях размеров массивов и буфферов, переписывают чужую память, кастят
> не то и не туда. Но язык тут абсолютно ни при
> чем, конечно)))

Именно, язык не причём, если пользующаяся им макака - макака, как она есть.

"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Аноним , 02-Дек-22 20:35 
Растоманы с тобой не согласны, они считают, что язык решает все проблемы.
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Мимокрокодил , 02-Дек-22 23:04 
> Растоманы с тобой не согласны, они считают, что язык решает все проблемы.

Если его не вынимать из дупы менеджера по инклюзивности и специалиста по толерантному поведению, возможно он и решает какие-то проблемы растоманов, только причём здесь реальные проблемы программ?!

"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Антоннн , 02-Дек-22 16:34 
Кайф
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено user32.dll , 02-Дек-22 16:50 
Когда нигилисту нечего будет предъявить, он обычно самоликвидируется
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено user32.dll , 02-Дек-22 17:02 
The fix for CVE-2022-21658 (#93112, 54e22eb) appears to have introduced a regression that can cause file system corruption on some UNIX systems.
https://github.com/rust-lang/rust/issues/94335
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Skullnet , 02-Дек-22 17:13 
Всем неосиляторам flatpak посвящается!
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Аноним , 02-Дек-22 17:40 
Чем одна поделка лучше другой?
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Skullnet , 02-Дек-22 19:28 
> Чем одна поделка лучше другой?

Тем что flatpak работает.

"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Анонимъ , 02-Дек-22 23:05 
> Всем неосиляторам flatpak посвящается!

Fixed:
Всем неосиляторам собирать нативные пакеты посвящается!

"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Аноним , 06-Дек-22 09:56 
Сборка нативных пакетов из всякого овна типа игогошечки - это тот ещё номер, потому что оно заточено под хипстабардак и постоянное переразвёртывание.
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Аноним , 02-Дек-22 17:48 
ну наконец-то эта фейковая безопасность опровергнута.
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Аноним , 02-Дек-22 21:15 
Это сразу было понятно, что динамическая возня в папке, куда пишут все, кому не лень, кончится плохо.
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Аноним , 02-Дек-22 20:39 
Я сразу говорил что ничем хорошим snap не закончится.
От вашего раста тоже добра не ждите.
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Michael Shigorin , 02-Дек-22 21:56 
(озарило) А вот и наш ответ на Капитана Очевидность -- Капитан Зелёный! :)
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Чи , 02-Дек-22 22:17 
Давайте еще больше говна с SUID в дистры засунем
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено InuYasha , 02-Дек-22 22:18 
- What time is it?
- I don't know
- Time... to unpimp the auto!
- *crash*
- Oh, snap!
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Аноним , 02-Дек-22 22:48 
"Интересно, что рассматриваемая уязвимость была внесена в процессе исправления похожей февральской уязвимости в snap-confine"

Перезаложили закладку просто

"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Пахом , 03-Дек-22 00:40 
Снапы не нужны. Они противоречат самой идеи линпукса – шарить пакеты.
"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Аноним , 03-Дек-22 02:41 
> Qualys выявила третью в этому году опасную уязвимость

Что значит "нашла уязвимость"?! Не палите контору!
Майёр недоволен. Вставляйте новую - людям работать надо!

"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено А , 03-Дек-22 15:44 
Нормальные дистрибутивы - площадка для творчества и развития - взаимосогласованный набор сырцов под присмотром известной команды.

Снэпы - попытка всё это выбросить и стать на рельсы Андроида с магазином. С андроидом вышло плохо - не используется, кроме чтения газет и звонков. Увы, можно было гораздо больше.

А уж что за кабак внутри Снэпов в зависимостях от третьей, четвёртой+ сторон в бинарных блобах без сырцов.

Снэпы - плохо.

"Root-уязвимость в инструментарии управления пакетами Snap"
Отправлено Аноним , 03-Дек-22 19:59 
> С андроидом вышло плохо - не используется, кроме чтения газет и звонков.

Очередной отрицатель реальности. Откуда вы лезете?