Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в подсистеме netfilter, позволяющая выполнить код на уровне ядра Linux"	+/–
Сообщение от opennews (??), 22-Фев-22, 13:21
В Netfilter, подсистеме ядра Linux, используемой для фильтрации и модификации сетевых пакетов, выявлена уязвимость (CVE-2022-25636), позволяющая выполнить код на уровне ядра. Заявлено о подготовке примера эксплоита, позволяющего локальному пользователю поднять свои привилегии в Ubuntu 21.10 c отключённым механизмом защиты KASLR. Проблема проявляется начиная с ядра 5.4. Исправление пока доступно в виде патча (корректирующие выпуски ядра не сформированы). Проследить за публикаций обновления пакетов в дистрибутивах можно на данных страницах: Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56742
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (-), 22-Фев-22, 13:21	–20 +/–
Вот и наслаждайтесь своим безопасным и стабильным лялексом. // b.
Ответить | Правка | Наверх | Cообщить модератору

2. Сообщение от Аноним (2), 22-Фев-22, 13:22	+13 +/–
Сколько наворочено всяких концепций, которые управляют другими, которые... Пора возвращаться к простоте.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #11, #13, #24

3. Сообщение от Аноним (3), 22-Фев-22, 13:26	+5 +/–
Черт... опять нашли нашу закладку... (с) АНБ
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #14

4. Сообщение от Урри (ok), 22-Фев-22, 13:28	+2 +/–
> Проблема проявляется начиная с ядра 5.4. Ну вот. А я надеялся на своем ведроиде временный рут получить. Придется искать старые cve.
Ответить | Правка | Наверх | Cообщить модератору

5. Сообщение от Аноним (5), 22-Фев-22, 13:30	–4 +/–
> Ошибка проявляется при настройке правил "dup" и "fwd" в цепочках, для которых применяется аппаратное ускорение обработки пакетов (offload). Т.е. затрагивает в лучшем случае 50 серверов во всём Интернете. Please disperse. // b.
Ответить | Правка | Наверх | Cообщить модератору

6. Сообщение от Аноним (6), 22-Фев-22, 13:32	+9 +/–
> Пора возвращаться к простоте. Ставьте FreeBSD.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #9, #18, #69, #74

7. Сообщение от Аноним (7), 22-Фев-22, 13:34	–1 +/–
Да и ничего страшного, сейчас вон Microsoft запушит в ядро новую. // b.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #12

8. Сообщение от пох. (?), 22-Фев-22, 13:38	+6 +/–
из соседней новости, прекрасное: > Непосредственно правила фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после > чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в ядре в специальной виртуальной машине, напоминающей BPF > (Berkeley Packet Filters). Подобный подход позволяет значительно сократить размер кода фильтрации, работающего на уровне ядра и вынести > все функции разбора правил и логики работы с протоколами в пространство пользователя. что, что тут могло бы пойти не так?!
Ответить | Правка | Наверх | Cообщить модератору

9. Сообщение от пох. (?), 22-Фев-22, 13:40	–11 +/–
Там та, которая хуже воровства. Ставьте ведро 3.0.100какоето- там еще нормальный iptables. Без вот этого вот "очень похожего на BPF, но не так чтоб сохранить копирайты Berkley"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #10, #21, #30, #44, #65, #105

10. Сообщение от Аноним (10), 22-Фев-22, 13:42	+5 +/–
>Ставьте ведро 3.0.100какоето- Старый код = неисправленные уязвимости.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #39, #48

11. Сообщение от Аноним (11), 22-Фев-22, 13:44	+/–
- Человек - это много данных. Аденин, цитозин, гуанин, тимин - алфавит человека - четыре символа. У меня лишь два - ноль и единица. - В два раза проще, зато в два раза прекраснее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #37, #111

12. Сообщение от Apple (?), 22-Фев-22, 13:50	+2 +/–
А мы червей откусываем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #113

13. Сообщение от Жироватт (ok), 22-Фев-22, 13:53	+2 +/–
QNX. Куня спасет весь мир могильных устройств
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #22, #62, #112

14. Сообщение от Жироватт (ok), 22-Фев-22, 13:54	+2 +/–
Кладмена своего увольте, а? У нас и так уже полядра изрыто, и надписи какие-то.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

16. Сообщение от Сергей (??), 22-Фев-22, 13:54	–3 +/–
То, что ее эксплуатировать можно только локально никого не смущает?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17

17. Сообщение от hshhhhh (ok), 22-Фев-22, 14:01	+5 +/–
> Уязвимость также может быть использована для атак на системы контейнерной изоляции.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

18. Сообщение от Sultan (?), 22-Фев-22, 14:08	+8 +/–
Если фря наберёт такие обороты, то и там найдут кучи дырок. Нахождение уязвимостей - вопрос интереса к системе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #27, #41, #46

20. Сообщение от Аноним (20), 22-Фев-22, 14:11	+1 +/–
Проверка границ массива это слишком медленно и всё будет тормозить говорили они. Взамен уже десятки лет огребают трудновыловимые дыры в безопасности.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23, #25, #26, #28, #34, #52

21. Сообщение от Аноним (21), 22-Фев-22, 14:12	+/–
Уязвимость в _netfilter_. Не важно, кто там правила загружает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #53

22. Сообщение от Аноним (21), 22-Фев-22, 14:14	+2 +/–
Куня спасет весь мир
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

23. Сообщение от Аноним (-), 22-Фев-22, 14:16	–2 +/–
Именно так, зато щас как на Rust перепишем! Да как все дыры залатаем! // b.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

24. Сообщение от Аноним (21), 22-Фев-22, 14:16	+/–
И хостеры останутся без контейнеров?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #55

25. Сообщение от Аноним (11), 22-Фев-22, 14:18	–1 +/–
Надо было десятки лет сидеть в панике?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #72

26. Сообщение от Аноним (21), 22-Фев-22, 14:18	+/–
А чему тормозить в данном случае? Если тут проверять только при загрузке правил.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

27. Сообщение от Аноним (2), 22-Фев-22, 14:23	+2 +/–
Не только. Ещё и качества кода и организации структуры.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

28. Сообщение от Аноним (28), 22-Фев-22, 14:25	+/–
Ну пока ломом по голове ен настучит это все они так и будут избегать языки с тостыми указателями
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #114

30. Сообщение от crypt (ok), 22-Фев-22, 15:16	+/–
я сидел на 2.6.32 до упора, но поддержка rhel6 закончилась:( с нее на freebsd чуть ли не проще мигрировать, чем на новый systemd/Linux. даже запостил историю "Переход с Linux на FreeBSD. Успех, но..." https://www.linux.org.ru/gallery/screenshots/16719927 p.s. анонимные комментаторы там в игноре
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #49, #64

34. Сообщение от Ordu (ok), 22-Фев-22, 15:45	+1 +/–
Справедливости ради стоит отметить, что тогда ещё говорили о том, что вообще нельзя писать систему на высокоуровневом языке, потому что тормозить будет. C смог пролезть в системное программирование потому, что он позиционировался как кроссплатформенный ассемблер. Ну и да, тогда проверка границ была дороже: компиляторы были тупыми, подметить что условия цикла гарантируют, что проверка всегда даст true и вышвырнуть её за ненадобностью, они не могли. Да и языки были другие -- итераторов нет, лямбд нет, а значит нет способов свалить на массив организацию цикла так, чтобы с минимумом проверок. И спекулятивного выполнения тогда не было, чтобы эта проверка задним числом выполнялась бы параллельно с выполнением другого кода.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #134

37. Сообщение от Аноним (37), 22-Фев-22, 16:22	+/–
Откуда?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #80

38. Сообщение от Аноним (38), 22-Фев-22, 16:44	+/–
Камни с неба прилетели
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #43

39. Сообщение от Аноним (39), 22-Фев-22, 16:49	–1 +/–
Зря ты так про фряху. Фряха идеальна!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #45, #106

41. Сообщение от Аноним (39), 22-Фев-22, 16:50	+/–
Во всех плейстейшенах и в нинтендо свитч фряха. Это прям дофига устройств. И что ты там найдешь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #70, #76

43. Сообщение от Аноним (39), 22-Фев-22, 16:52	+/–
Зато мы в родном Линуксе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #79

44. Сообщение от ух (?), 22-Фев-22, 17:04	+1 +/–
а мусью может пояснить, что именно не устроило их величество? в handbook много букв? нет systemd? kde не патчится? докер не едет через докер?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #56

45. Сообщение от Аноним (2), 22-Фев-22, 17:09	+/–
Я не про фряху.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

46. Сообщение от ух (?), 22-Фев-22, 17:13	+3 +/–
белые тоже едят друг друга, но хорошо скрывают. это не аргумент, это попытка оправдаться. но в общем с идей согласный - п.о. пишут люди, которым свойственно ошибаться. и вот тут начинаются ньюансы, потому что эти люди разные. одни в ластах и с гиперактивностью, а другие в кедах и с дипломами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #91

47. Сообщение от Онаним (?), 22-Фев-22, 17:19	–1 +/–
> в цепочках, для которых применяется аппаратное ускорение обработки пакетов Так, уже легче. На боевых системах оффлоуда нетфильтра нет.
Ответить | Правка | Наверх | Cообщить модератору

48. Сообщение от пох. (?), 22-Фев-22, 17:26	–1 +/–
То ли дело зеродеи в новом, модном коде! (а из серьезных там разьве что n_tty, да и та вроде в последних версиях кое-как прикрыта)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #51, #107

49. Сообщение от Аноним (2), 22-Фев-22, 17:30	+/–
> 3.4 FreeBSD - это единственная ОС из других *BSD с проприетарными драйверами. Полный успех. В любой есть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

51. Сообщение от Аноним (2), 22-Фев-22, 17:36	+1 +/–
Сложите вместе эти два факта. Из этого следует, что стоит искать актуальный код, но не "модно-молодёжный".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #77

52. Сообщение от InuYasha (??), 22-Фев-22, 18:34	+/–
Мы не говорили. Мы и на null проверяли, и на выход за границы, и на порчу/сглаз данных.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

53. Сообщение от пох. (?), 22-Фев-22, 18:49	–1 +/–
Уязвимость в модном-молодежном "почти как bpf но без лицензии bsd" нетфильтре. А в 3.0.100 немодный, он правила выполняет в том виде, в котором их собирает iptables, и там нет никакого nf_tables_api.c поскольку они никуда не "компилируются". Офлоада, правда, тоже нет, но полагаю это не последний баг и не все они будут связаны с офлоадом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

54. Сообщение от Аноним12345 (?), 22-Фев-22, 19:08	+/–
Нет худа без добра
Ответить | Правка | Наверх | Cообщить модератору

55. Сообщение от Аноним (55), 22-Фев-22, 19:10	–1 +/–
Хипстеры вы хотели сказать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

56. Сообщение от пох. (?), 22-Фев-22, 19:14	–2 +/–
Могу, но ты все равно не сможешь понять. У вас три пакетных фильтра с невменяемым синтаксисом, один мертвый, второй полуработающий а третий вообще ни для чего непригоден из-за плоского конфига с номерками, здравствуй 96й год когда сети были примитивные и списки правил умещались на экран 80x24. userspace helpers, XXI век, userspace helpers для тривиального исправления одного байта в передаваемом пакетике а не какой-то суперсложной обработки (на которую в линуксе закладывались но так и не придумали к чему бы применить)...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

59. Сообщение от Аноним (65), 22-Фев-22, 21:03	–1 +/–
Новость не читал. Надо было ставить pf. По факту увизгвимостей в нфт. Вангую, что из-за синтаксиса основные уязвимости будут из-за неверного написания правил. Сейчас ведь некоторые даже не понимают как в айпитабле работают правила и сперва пишут разрешения а дроп в конце. Видел на форуме недавно такие примеры.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #63

62. Сообщение от Аноним (62), 22-Фев-22, 21:31	+1 +/–
Сдохла куня.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #71, #133

63. Сообщение от john_erohin (?), 22-Фев-22, 21:36	–1 +/–
> некоторые даже не понимают как в айпитабле работают правила а я и не собираюсь "понимать" (т.е. гадить себе же в мозг еще одним собачьим языком). пусть за меня понимает firehol. к сожалению аналог для nftables мне неизвестен. >  и сперва пишут разрешения а дроп в конце. всегда так делаю. недавно удалось убрать ил логов чью-то протекшеую в провайдерский влан локалку. именно тихим дропом в конце.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #67

64. Сообщение от Аноним (64), 22-Фев-22, 21:54	+/–
> p.s. >анонимные комментаторы там в игноре ) Только ум, честь и совесть эпохи. Кстати, в свете последних постановлений надо доставать РК-86?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #109

65. Сообщение от Аноним (65), 22-Фев-22, 21:59	+/–
>Ставьте ведро 3.0.100какоето Когда-то в линуксе развитие сопровождалось прогрессом. А теперь фанатики с "прогрессом" борятся. Прекрасно, чо!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #78

67. Сообщение от Аноним (65), 22-Фев-22, 22:02	+1 +/–
>> некоторые даже не понимают как в айпитабле работают правила > а я и не собираюсь "понимать" (т.е. гадить > себе же в мозг еще одним собачьим языком). > пусть за меня понимает firehol. > к сожалению аналог для nftables мне неизвестен. >>  и сперва пишут разрешения а дроп в конце. > всегда так делаю. недавно удалось убрать ил логов > чью-то протекшеую в провайдерский влан локалку. > именно тихим дропом в конце. Вы молодец! Продолжайте в том же духе!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

69. Сообщение от BSDunya (?), 22-Фев-22, 22:05	+2 +/–
К простоте, но не в каменный век.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

70. Сообщение от Аноним (70), 23-Фев-22, 00:00	+/–
Ты думаешь Сони и Нинтендо искали баги, а не просто взяли готовую кодовую базы и сделали на ее основе продукт под свои нужды? Или к чему тогда твое сообщение, оно ведь никак не контраргументирует высказывание про баги фряхи, которые не нашли ибо не искали
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #73

71. Сообщение от Аноним (-), 23-Фев-22, 00:00	+/–
Убили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #83

72. Сообщение от anonymous (??), 23-Фев-22, 00:28	+/–
Если будет попытка взлома, то лучше уйти в панику, чем позволять выполнять произвольный код.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #81

73. Сообщение от Аноним (-), 23-Фев-22, 00:40	+/–
>>> Если фря наберёт такие обороты >> ... Это прям дофига устройств. > Ты думаешь Сони и Нинтендо искали баги, а не просто взяли готовую > кодовую базы и сделали на ее основе продукт под свои нужды? > Или к чему тогда твое сообщение, оно ведь никак не контраргументирует > высказывание про баги фряхи, которые не нашли ибо не искали Попробуйте перед ответом читать. Глазками. Очевидно, что отвечали в контексте "во фре не находят дыры, потому что мало где испольюзубт" и "контраргумент" тут ничем не хуже "не нашли, потому что не искали!"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #87, #131

74. Сообщение от Аноним (74), 23-Фев-22, 01:46	+/–
BSD который хакинтош особенно рекомендую
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #92

76. Сообщение от Igor (??), 23-Фев-22, 02:41	+3 +/–
Ну так PS4 поломали именно через сеть и встроенный браузер, который открывал руководство пользователя из сети. Через браузер грузился эксплоит, который использовал дыры в ядре, позволившие получить доступ к ядреному пространству и заменить ключи шифрования. В результате появилась возможность расшифровать игрушки и зашифровывать их с нулевым ключем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #110, #129

77. Сообщение от Анто Нимно (?), 23-Фев-22, 07:17	–1 +/–
Молодёжно-халявный, так, вероятно, стоит трактовать модно-молодёжность в контексте кода.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #86

78. Сообщение от Анто Нимно (?), 23-Фев-22, 07:20	+/–
Когда софт стали делать не инженеры, а инженеры с бизнесменами, то качество изменилось - заболачивается. Оборотная сторона победы. Победа интересна с перспективы продать, на ней карьеру построить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

79. Сообщение от Анто Нимно (?), 23-Фев-22, 07:26	+/–
Много званых, да мало избранных.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #85

80. Сообщение от Аноним (11), 23-Фев-22, 09:56	+/–
Из экранизации "Мечтают ли андроиды об электроовцах? 2049"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #88

81. Сообщение от Аноним (11), 23-Фев-22, 10:29	+1 +/–
Если будет не попытка взлома?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72 Ответы: #144

83. Сообщение от Аноним (11), 23-Фев-22, 10:40	+/–
Воскреснет и вознесется в облака, ой, небеса. Ждем второго пришествия. Да будет так и во веки веков!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

85. Сообщение от Аноним (11), 23-Фев-22, 11:20	+/–
> да мало избранных Голосуй, а то проиграешь!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

86. Сообщение от Антон Им (?), 23-Фев-22, 11:25	+/–
> Молодёжно-халявный Антикварно-роскошный
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77

87. Сообщение от Аноним (87), 23-Фев-22, 11:51	+/–
В плойке я знаю довольно эпичные дыры находили. Но сравнение не совсем корректное, в плойке архитектура не писи и дрм во все дыры.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #100

88. Сообщение от likeyourdaddy (?), 23-Фев-22, 11:56	+/–
зумер, спок
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80 Ответы: #89

89. Сообщение от Аноним (11), 23-Фев-22, 12:00	+1 +/–
Зумер, зумеры не в состоянии запомнить такой диалог.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88

91. Сообщение от пох. (?), 23-Фев-22, 12:20	+/–
> белые тоже едят друг друга, но хорошо скрывают. а что с этим тезисом-то не так? > п.о. пишут люди но есть большая разница между Рыжим дол..ом писавшим ранний iptables just for fun и потому что мог, пусть и оставившего после себя развалины, их еще можно было восстанавливать, и моральным уродом комитером в CoC который "всех засужу за нарушение GPL!" - после которого восстанавливать уже нечего, надо наоборот, заливать напалмом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #130

92. Сообщение от пох. (?), 23-Фев-22, 12:21	+/–
там еще большее г-но с пакетным фильтром - из трех полуработающих работает один совсем бесполезный.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

100. Сообщение от Аноним (-), 23-Фев-22, 12:49	+/–
>> Если фря наберёт такие обороты, то и там найдут кучи дырок. >> баги фряхи, которые не нашли ибо не искали > В плойке я знаю довольно эпичные дыры находили. Хреноватый "качественно-количественный" анализ, если честно. Впрочем, аналитики выше вообще не в курсе, что Сонька платит 50000$ баг-баунти > Но сравнение не совсем корректное, в плойке архитектура не писи и дрм во все дыры. Вообще-то, сравнение "только ядро!" и "полноценная ОС с браузером и шахматессами"  -- не только "не совсем", а даже "совсем не".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87

101. Сообщение от Аноним (-), 23-Фев-22, 12:59	+/–
> возможно только при наличии привилегий CAP_NET_ADMIN, При таких привилегиях права можно особо и не повышать - а зачем? :)
Ответить | Правка | Наверх | Cообщить модератору

105. Сообщение от Аноним (-), 23-Фев-22, 13:09	+/–
> Ставьте ведро 3.0.100какоето- там еще нормальный iptables. и получите мешочек известных вулнов в подарок, при том фиксить их там уже точно никто не будет и что мешает отключить вон то в билдконфиге ядра? джедаи не ищут простых путей?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

106. Сообщение от Аноним (-), 23-Фев-22, 13:12	–1 +/–
> Зря ты так про фряху. Фряха идеальна! История с вайргадом в фряхе сойдет за идеальныое что, детектив?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #126

107. Сообщение от Аноним (-), 23-Фев-22, 13:17	+/–
> То ли дело зеродеи в новом, модном коде! можно подумать в старом их не бывает, старый сишный код вообще часто писан без секурити в голове, лишь бы работало, долбать эксплойтами стали ведь уже потом
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

109. Сообщение от Аноним (-), 23-Фев-22, 13:20	–1 +/–
а что ему делать было, когда основная трабла - "нет исходников иконок в svg" и операционки некроманские это гарантирует характерные коменты и жесты пальцами около виска )))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

110. Сообщение от Аноним (-), 23-Фев-22, 13:22	–1 +/–
ну хоть кто-то изучил секурити бздей... хоть и по таксебешной причине, да и фряха поди с этого получит как обычно - ничего
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76 Ответы: #124

111. Сообщение от Аноним (-), 23-Фев-22, 13:23	+/–
в чем проблема, по 2 бита на символ недурно упаковывается
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #122

112. Сообщение от Аномни (?), 23-Фев-22, 13:24	+/–
> мир могильных устройств и фрибсдшные черти с вилами стоят...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

113. Сообщение от Сири (?), 23-Фев-22, 13:25	+/–
вы сделали опечатку в слове надкусываем
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #118

114. Сообщение от Аноним (-), 23-Фев-22, 13:27	+/–
Юзеры не желают тормозные ядра и денег за это не несут. Хоть вы там с жиру полопайтесь с вашими указателями.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

118. Сообщение от Дядюшка Apple (?), 23-Фев-22, 14:01	+/–
Девочка, у Вас ротик маленький.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113

121. Сообщение от Аноним (121), 23-Фев-22, 14:17	+/–
> непривилегированным пользователем в отдельном сетевом пространстве имён (network namespaces) cgroups & namesoaces & BPF - выкинуть с ядра. > позволяющего локальному пользователю поднять свои привилегии в Ubuntu 21.10 c отключённым механизмом защиты KASLR. ASLR необходим и в ядре и в юзерспейсе.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #123, #139

122. Сообщение от Аноним (11), 23-Фев-22, 14:29	+/–
- Будь это правдой, за мной всю мою жизнь охотился кто-то вроде меня. - Но так здорово помечтать, согласись. - Лучше не надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111 Ответы: #137

123. Сообщение от старый_админ (?), 23-Фев-22, 14:38	+/–
en.wikipedia.org/wiki/OpenBSD
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #121

124. Сообщение от Аноним (-), 23-Фев-22, 15:06	+/–
> да и фряха поди с этого получит как обычно - ничего commit d6c6c7850d14846c7106a09712f2ed97f87988cd Author: Mark Johnston <markj@FreeBSD.org> Date:   Thu Apr 2 15:30:51 2020 +0000     MFC r359154:     Fix synchronization in the IPV6_2292PKTOPTIONS set handler. Очередной опеннетно-лапчатый онализ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110

125. Сообщение от Аноним (65), 23-Фев-22, 15:14	+1 +/–
1.5 анончика, обращение к вам: Что-то смотрю совсем тут поплохело. Помимо лора (что там знаю) вы еще где-то несете свет в прогрессивные массы? На лор не пойду, там толерастия цвет и попахивает.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #127

126. Сообщение от Аноним (126), 23-Фев-22, 15:52	+/–
>> Зря ты так про фряху. Фряха идеальна! > История с вайргадом в фряхе сойдет за идеальныое что, детектив?! Не попавшая в релиз и за которую разраба с треском выперли? То ли дело история с патчами от всяких минесот, где часть "протухла сама по себе - даже исправлять не надо!", ага. https://www.opennet.ru/opennews/art.shtml?num=55095 > Также были проанализированы 435 коммитов, включающих исправления, отправленные разработчиками из Университета Миннесоты и не связанные с проведением эксперимента по продвижению скрытых уязвимостей. > 349 коммитов признаны корректными и оставлены без изменений. В 39 коммитах обнаружены проблемы, требующие исправления - данные коммиты отменены и до выпуска ядра 5.13 будут заменены на более корректные исправления. Ошибки в 25 коммитах оказались исправлены в последующих изменениях. 12 коммитов потеряли актуальность,
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106 Ответы: #136

127. Сообщение от Аноним (11), 23-Фев-22, 15:55	+/–
> свет Это не бесконечная тьма. Света мало, конечное(?) количество. Иначе весь космос светился бы ослепительными красками в любое время суток. Так что строго дозировано в неведомых просторах космоса согласно парадоксу Ферми.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #125 Ответы: #128

128. Сообщение от Аноним (65), 23-Фев-22, 17:17	+/–
Ну тогда делом займусь. Хотя и лениво. Нашим еще полутора оставшимся, сохранившим и идеалы и мозги, привет при случае. "Тьма проходит и истинный свет уже светит..."(с). Не сдавайте позиции, посоны! Честь имею.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #127

129. Сообщение от Аноним (64), 23-Фев-22, 17:53	+/–
Ключём, извините )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

130. Сообщение от Аноним (64), 23-Фев-22, 17:56	+/–
Прекращайте коммунизм восхвалять!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91

131. Сообщение от Аноним (70), 23-Фев-22, 18:07	+/–
То есть использование кода фряхи в проприетарных системах Сони и Нинтендо делает такой же популярной как и Линукс? Радует, что адепты фряхи ещё где-то остались, хоть и вот такие
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #141

133. Сообщение от Аноним (133), 23-Фев-22, 18:52	+/–
Куни живо
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

134. Сообщение от Аноним (-), 23-Фев-22, 19:02	+/–
Даже сишный компилер может мастерски изгадить код, тормознув в пару раз на ровном месте. Или, наоборот, удалить "ненужных" проверок NULL, прувер штука такая, докажет "never happens" на раз, и пофиг ему что full view большой системы где-то уже продолбали. Если код раз в день выполняется - черт с ним с всем этим, но ядро выполняет вообще все запросы программ и ворочает БОЛЬШИМИ потоками данных. Есть юзеры с 8K дисплеями, NVME всякие, 100GigE - и их обладатели считают что это должно работать на скорости железа. Четвертинка от этой скорости их вообще совсем не устраивает. А за спекулятив мы получили спектры с мельдонием, когда оказаолсь что задним числом оно эвона как, проц на допинге попадается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #135

135. Сообщение от Ordu (ok), 23-Фев-22, 19:34	+/–
> Даже сишный компилер может мастерски изгадить код, тормознув в пару раз на > ровном месте. На это есть профайлер. > Или, наоборот, удалить "ненужных" проверок NULL, прувер штука такая, > докажет "never happens" на раз, и пофиг ему что full view > большой системы где-то уже продолбали. Это не было проблемой, пока C был кроссплатформенным ассемблером. Он генерил машинный код максимально приближенный к C'шному.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #134 Ответы: #138

136. Сообщение от Аноним (-), 23-Фев-22, 19:35	+/–
> Не попавшая в релиз и за которую разраба с треском выперли? После того как он втянул код и саботировал вынос этого трэша, и все это потребовало вмешательства автора вайргада. Наверное кернел тим так и должен работать... у кого-нибудь другого, мне такой кернелтим имхо ни к чему. > То ли дело история с патчами от всяких минесот, где часть "протухла > сама по себе - даже исправлять не надо!", ага. Так их же вычислили как раз на гуанокоде и для предосторожности снесли и остальные комиты. > на более корректные исправления. Ошибки в 25 коммитах оказались исправлены в последующих > изменениях. 12 коммитов потеряли актуальность, Да, стоило бы посмтоетреть на ту же статистику в фрибсд... кмк там просто всем по...й бы было, трэш гангстера вообще никого кроме автора вайргада не напряг, при том что он не девтим вообще.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #126 Ответы: #143

137. Сообщение от Аноним (-), 23-Фев-22, 19:38	+/–
мечты выполняются, так что...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #122

138. Сообщение от Аноним (-), 23-Фев-22, 19:45	+/–
> На это есть профайлер. Как вы себе это представляете на штуках типа линукс кернела в среднеотфонарных конфигах, работающих для вон той толпы народа? И что делать с комбинаторным взрывом и тем фактом что для одних лучше так, а для других эдак? Реально оно приходит к неким компромиссам, а что-то такое более реально для секурити типа kasan толпой ботов. > Это не было проблемой, пока C был кроссплатформенным ассемблером. Он генерил машинный > код максимально приближенный к C'шному. Всего лишь это сейчас уже никого не устраивает. Крутой оптимизатор может намного больше. А если можно выжать больше из того же железа... нет, бизнес совершенно точно свою халяву никаким концептуалам не подарит. Ничего личного, это бизнес и это их бабки. А докупите на 10% больше серваков - за это в ином энтерпрайзе так то можно на мороз уйти. Другого нанять дешевле будет. А LTO на коде более нескольких кило легко даст мне мастер класс по фолдингу констант, оптимизации перемещений регистров и проч. Я просто потеряюсь в этом объеме - а компилеру пофиг, он железный.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #135 Ответы: #140

139. Сообщение от Аноним (-), 23-Фев-22, 19:48	+/–
> cgroups & namesoaces & BPF - выкинуть с ядра. Конфигуряемо при билде ядра. > ASLR необходим и в ядре и в юзерспейсе. Тоже конфигуряемо, и как правило активно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #121

140. Сообщение от Ordu (ok), 23-Фев-22, 19:56	+/–
Я не понимаю о чём ты споришь. Речь идёт о том, что "вас же предупреждали, что надо выход за границы проверять, а вместо этого вы десятками лет баги ловите". Вот когда предупреждали дешевизна проверки на выход за границы была очень неочевидной. Ситуация сейчас изменилась, и я не спорю с этим.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #138 Ответы: #142

141. Сообщение от Аноним (126), 23-Фев-22, 20:18	+/–
> То есть использование кода фряхи в проприетарных системах Сони и Нинтендо делает > такой же популярной как и Линукс? Т.е. ты опять ведешь диалог с самим собою, увлеченно что-то придумывая и оспаривая.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #131

142. Сообщение от Аноним (142), 23-Фев-22, 22:52	+/–
> "вас же предупреждали, что надо выход за границы проверять, а вместо > этого вы десятками лет баги ловите". Все хотят и рыбку съесть и косточкой не подавиться. С растом столько возятся в основном потому что он похоже на это смотрится благодаря паре интересных идей. И меня так то устроит если компилер математически докажет "never happens" и выпилит проверку. Если оно стопудово так. Это даже желательно. Проблемы начинаются когда он что-то профакапил, упс... Там вон еще некий ZIG вылупился, для сишного кода как-то логичнее как путь апгрейда смотрится, радикально переписывать не надо а секурити может улучшить. > Вот когда предупреждали дешевизна проверки на выход за границы была > очень неочевидной. Ситуация сейчас изменилась, и я не спорю с этим. Ну попробуйте с пакетами в 100Г сетевку или NVME так. IO с тех пор тоже не стоял на месте. Можно поискать историю с PPS и IOPSами в паре последних ядер, начните на форониксе, они такое любят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #140

143. Сообщение от Аноним (-), 24-Фев-22, 00:58	+/–
> Так их же вычислили как раз на гуанокоде и для предосторожности снесли и остальные комиты. Занятное врань^W "motivated reasoning". Для "предосторожности" - эти коммиты проанализировали и " 349 коммитов признаны корректными и оставлены без изменений.", а 12 - "протухли сами по себе" >> на более корректные исправления. Ошибки в 25 коммитах оказались исправлены в последующих >> изменениях. 12 коммитов потеряли актуальность, > Да, стоило бы посмтоетреть на ту же статистику в фрибсд... кмк там > просто всем по...й бы было, трэш гангстера вообще никого кроме автора вайргада не напряг, при том что он не девтим вообще. Юли фантазер^W Емеля, твоя неделя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #136

144. Сообщение от anonymous (??), 25-Фев-22, 02:16	+/–
Хорошо: лучше уйти в явную панику с описанием конкретной проблемы, чем втихоря начинать непредсказуемое поведение
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема