The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Опасные уязвимости в Firejail, Connman и GNU Guix"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Опасные уязвимости в Firejail, Connman и GNU Guix"  +/
Сообщение от opennews (?), 10-Фев-21, 00:25 
В системе для изолированного выполнения приложений Firejail выявлена  уязвимость (CVE-2021-26910),  позволяющая повысить свои привилегии до пользователя root. Firejail использует для изоляции механизм пространств имён (namespaces), AppArmor и фильтрацию системных вызовов (seccomp-bpf) в Linux, но для настройки изолированного запуска требует повышенных привилегий, которые получает через привязку к утилите флага suid root или запуск при помощи sudo...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54564

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Опасные уязвимости в Firejail, Connman и GNU Guix"  +3 +/
Сообщение от FuckMan (?), 10-Фев-21, 00:25 
ConnMan это вообще, что-то упоротое и вечно теряющее сеть поделие
Ответить | Правка | Наверх | Cообщить модератору

12. "Опасные уязвимости в Firejail, Connman и GNU Guix"  +5 +/
Сообщение от Аноним (12), 10-Фев-21, 08:35 
Проверь dmesg на падения драйвера чипа.

P.S. Проприетарный драйвер броадкома wl для Линукса - это п****ц.

Ответить | Правка | Наверх | Cообщить модератору

30. "Опасные уязвимости в Firejail, Connman и GNU Guix"  +/
Сообщение от Аноним (-), 11-Фев-21, 08:17 
Вообще-то терять соединение - не его прерогатива. Он как максимум реконект может инициировать, если сеть по какой-то причине отпала.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Опасные уязвимости в Firejail, Connman и GNU Guix"  +2 +/
Сообщение от Аноним (2), 10-Фев-21, 00:33 
как только хочу первое попробовать прикрутить для безопасности оно оказывается само еще более опасно...
Ответить | Правка | Наверх | Cообщить модератору

4. "Опасные уязвимости в Firejail, Connman и GNU Guix"  –2 +/
Сообщение от Аноним (4), 10-Фев-21, 01:03 
> так как .firejail создан в каталоге пользователя, пользователь может его переименовать

у тебя много пользователей на ноуте или ты сам себя взламывать собрался?

Ответить | Правка | Наверх | Cообщить модератору

5. "Опасные уязвимости в Firejail, Connman и GNU Guix"  +4 +/
Сообщение от Аноним (5), 10-Фев-21, 03:37 
Нам не нужно автоматическое управление памятью, мы же не будем дабл фри сами себе делать.
Ответить | Правка | Наверх | Cообщить модератору

7. "Опасные уязвимости в Firejail, Connman и GNU Guix"  –3 +/
Сообщение от Аноним (7), 10-Фев-21, 07:08 
Фига себе дрова! Гонку от управления памятью не отличает. Подумаешь, фигня какая.
Ответить | Правка | Наверх | Cообщить модератору

20. "Опасные уязвимости в Firejail, Connman и GNU Guix"  +/
Сообщение от Аноним (20), 10-Фев-21, 12:42 
А что вы его минусуете? Он ведь правильно сказал, тут логическая ошибка в программе.
>Уязвимость вызвана состоянием гонки, связанным с тем, что операции выполняются не атомарно и между проверкой и монтированием остаётся короткий момент
Ответить | Правка | Наверх | Cообщить модератору

33. "Опасные уязвимости в Firejail, Connman и GNU Guix"  +/
Сообщение от Аноним (33), 14-Фев-21, 07:40 
Да тут есть какой-то больной на голову растовик, занимающийся накруткой, забей на него.
Ответить | Правка | Наверх | Cообщить модератору

14. "Опасные уязвимости в Firejail, Connman и GNU Guix"  +3 +/
Сообщение от Аноним (14), 10-Фев-21, 09:42 
От имени пользователя работает не только пользователь, но и процессы, которые он запускает, в т числе и браузер. А вот браузер да, хочет взломать всё.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

27. "Опасные уязвимости в Firejail, Connman и GNU Guix"  +/
Сообщение от Аноним (4), 11-Фев-21, 05:53 
Я тебе по секрету скажу что если у тебя браузер не в firejail, а на хосте то для управления firejail взламывать firejail не нужно, он и так может им управлять как пользователь.

Так что ты там взламывать то собрался, то что и так доступно?

Ответить | Правка | Наверх | Cообщить модератору

10. "Опасные уязвимости в Firejail, Connman и GNU Guix"  –1 +/
Сообщение от Аноним (10), 10-Фев-21, 07:47 
https://wiki.gentoo.org/wiki/Chrooting_proxy_services
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

31. "Опасные уязвимости в Firejail, Connman и GNU Guix"  +/
Сообщение от Аноним (-), 12-Фев-21, 09:19 
У статьи проблемы с форматированием, ее надо удалить.
Ответить | Правка | Наверх | Cообщить модератору

22. "Опасные уязвимости в Firejail, Connman и GNU Guix"  +1 +/
Сообщение от Аноним (-), 10-Фев-21, 14:07 
А ты думал безопасность вот так вот просто делается ? Типа "скачать с интернета" две безопасности и еще одну на всякий случай.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Опасные уязвимости в Firejail, Connman и GNU Guix"  +1 +/
Сообщение от Dzen Python (ok), 10-Фев-21, 01:03 
Ну, по крайней мере теперь они будут исправлены (ежели не забьют, как г-н П-ринг с WONTFIX). Это тебе не по 15 лет в "надежных" проприентарных продуктах баге сидеть.
Ответить | Правка | Наверх | Cообщить модератору

6. "Опасные уязвимости в Firejail, Connman и GNU Guix"  +/
Сообщение от Аноним (6), 10-Фев-21, 05:21 
> Проблема вызвана переполнением буфера

*танцующий банан*

Ответить | Правка | Наверх | Cообщить модератору

8. "Опасные уязвимости в Firejail, Connman и GNU Guix"  –2 +/
Сообщение от Аноним (7), 10-Фев-21, 07:09 
Предложи его хрустосу логотипом.
Ответить | Правка | Наверх | Cообщить модератору

23. "Опасные уязвимости в Firejail, Connman и GNU Guix"  –1 +/
Сообщение от Аноним (-), 10-Фев-21, 14:08 
у них рак
Ответить | Правка | Наверх | Cообщить модератору

29. "Опасные уязвимости в Firejail, Connman и GNU Guix"  +1 +/
Сообщение от Аноним (-), 11-Фев-21, 08:15 
При том в этом случае видимо - головного мозга.
Ответить | Правка | Наверх | Cообщить модератору

11. "Опасные уязвимости в Firejail, Connman и GNU Guix"  +/
Сообщение от Аноним (12), 10-Фев-21, 08:31 
>Уязвимость вызвана состоянием гонки, связанным с тем, что операции выполняются не атомарно

mandatory lockи не нужны - решили в убунту и выпилили их при компиляции.

Ответить | Правка | Наверх | Cообщить модератору

21. "Опасные уязвимости в Firejail, Connman и GNU Guix"  +1 +/
Сообщение от PnD (??), 10-Фев-21, 13:47 
Крайне противоречивое утверждение. Я тоже недолюбливаю ubuntu, но.

Во-первых, почитайте https://www.kernel.org/doc/Documentation/filesystems/mandato...
Там желающих этот самый mandatory-locking честно предупреждают.
Предупреждённые обычно используют fcntl(), который в целом проверенный и рабочий. * Хотя у меня похоже что есть пример не-атомарности в вызове rename(), как раз на ubuntu + tmpfs. Который внутри таки должен быть завязан на те же механизмы…

Во-вторых, "mandatory-locking" сам и есть дурное виндо-изобретение. Проистёкшее из однопользовательского DOS-детства. В *nix ядро старается (пока по крайней мере) не лезть туда где может нормально разрулить пользовательский софт. Тем самым локализуя проблему.
Это мешает (уже́ почти нет) играть в игры, но позволяет не падать в BSOD при просмотре PDF (например). …Хотя, некий not-a-bug не первый год трудится над таким глобальным софтом, который позволяет linux "складываться" не хуже винды. Прогресс, он такой…

Ответить | Правка | Наверх | Cообщить модератору

13. "Опасные уязвимости в Firejail, Connman и GNU Guix"  –1 +/
Сообщение от Аноним (14), 10-Фев-21, 09:40 
>>По умолчанию разделы OverlayFS монтируются в домашнем каталоге пользователя, при том, что владельцем данных каталогов устанавливается root, чтобы текущий пользователь не смог напрямую изменить их содержимое.

Серьёзно? И это разрабов не смущало? В каталоге пользователя папка, в которую он писать не может. Как до этого вообще можно было додуматься? Она же для этого и предназначена, чтобы юзер в ней делал всё что хотел. И все нормальные люди предполагают что юзер может написать в свою папку всё что угодно и относятся к этим данным соответственно. Это не случайный "баг". У такого подхода не могло быть другого результата, кроме как дыры в безопасности.

Ответить | Правка | Наверх | Cообщить модератору

16. "Опасные уязвимости в Firejail, Connman и GNU Guix"  –1 +/
Сообщение от Аноним (12), 10-Фев-21, 10:07 
Двачую. Нужно было создать для каждой тюрьмы своего пользователя.
Ответить | Правка | Наверх | Cообщить модератору

15. "Опасные уязвимости в Firejail, Connman и GNU Guix"  –2 +/
Сообщение от Онаним (?), 10-Фев-21, 10:07 
Кто все эти лю... простите, софтины?
Ни одной никогда не пользовался.
Ответить | Правка | Наверх | Cообщить модератору

18. "Опасные уязвимости в Firejail, Connman и GNU Guix"  +2 +/
Сообщение от Аноним (12), 10-Фев-21, 10:10 
Firejail - мегаполезная (и мегагеморройная) софтина. Пользуюсь каждый день. Мегагеморройная - ибо нельзя дать доступ динамически под конкретное действие. Мегаполезная - потому что firefox не должен иметь доступ к ssh-ключам.
Ответить | Правка | Наверх | Cообщить модератору

26. "Опасные уязвимости в Firejail, Connman и GNU Guix"  –2 +/
Сообщение от vn971 (ok), 10-Фев-21, 21:36 
Попробуй bubblewrap, рекоммендую. Там нужно чуточку больше понимать чего ты делаешь и нет там OverlayFS . (Смешно что это совпадает с темой новости, в bubblewrap как раз по причине безопасности overlayfs не добавляют, но не об этом).
Но зато что есть в bubblewrap, это очень простой и надёжный интерфейс для изоляции приложений (например, те же ssh ключи спрятать прям-таки насовсем).

Ещё удобная фича -- это можно монтировать любую директорию в ~, а поверх добавлять любые папки которые тебе нужны пошаренными. Например:
--bind ~/.firefox-jail ~ --bind ~/.Xauthority ~/.Xauthority --bind ~/my-sweet-shared-dir ~/my-sweet-shared-dir

Последнее означает что не нужно запускать firejail миллион раз выискивая куда оно пишет всякие свои файлы.

P.S. Пользовался firejail несколько лет. Пару лет назад переехал на bubblewrap по причине безопасности. Не хочется иметь кошмарного размера SUID

Ответить | Правка | Наверх | Cообщить модератору

19. "Опасные уязвимости в Firejail, Connman и GNU Guix"  +/
Сообщение от Аноним (12), 10-Фев-21, 10:14 
Firejail походу вошла в Sailfish OS

https://github.com/netblue30/firejail/issues/3960

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

28. "Опасные уязвимости в Firejail, Connman и GNU Guix"  +/
Сообщение от Аноним (-), 11-Фев-21, 06:05 
ConnMan же пилится силами программистов Enlightenment.
Ответить | Правка | Наверх | Cообщить модератору

32. "Опасные уязвимости в Firejail, Connman и GNU Guix"  +/
Сообщение от Аноним (32), 12-Фев-21, 16:40 
Безопасности нет. Не было. И не будет.
Всё время будешь затыкать дыры и вытаскивать зонды.
Только успевать это делать не будешь.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру