The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимости в подсистеме eBPF ядра Linux

09.04.2021 13:26

В подсистеме eBPF, позволяющей запускать обработчики для трассировки, анализа работы подсистем и управления трафиком, выполняемые внутри ядра Linux в специальной виртуальной машине с JIT, выявлена уязвимость (CVE-2021-29154), позволяющая локальному пользователю добиться выполнения своего кода на уровне ядра. Проблема проявляется вплоть до выпуска 5.11.12 (включительно) и ещё не исправлена в дистрибутивах (Debian, Ubuntu, RHEL, Fedora, SUSE, Arch). Исправление доступно в виде патча.

По заявлению исследователей, выявивших уязвимость, им удалось разработать рабочий прототип эксплоита для 32- и 64-разрядных систем x86, который может быть использован непривилегированным пользователем. При этом компания Red Hat отмечает, что опасность проблемы зависит от доступности пользователю системного вызова eBPF. Например, в конфигурации по умолчанию в RHEL и большинстве других дистрибутивов Linux для эксплуатации уязвимости требуется наличие у пользователя прав CAP_SYS_ADMIN и включение BPF JIT. В качестве обходной меры защиты рекомендуется отключить BPF JIT при помощи команды:


   echo 0 > /proc/sys/net/core/bpf_jit_enable

Проблема вызвана ошибкой вычисления смещения для команд ветвления в процессе генерации машинного кода JIT-компилятором. В частности, при генерации инструкций ветвления не учитывается, что смещение может измениться после прохождения стадии оптимизации. Указанная недоработка может использоваться для формирования аномального машинного кода и его выполнения на уровне ядре.

Примечательно, что это не единственная уязвимость в подсистеме еBPF за последнее время. В конце марта в ядре были выявлены ещё две уязвимости (CVE-2020-27170, CVE-2020-27171), предоставляющие возможность использовать еBPF для обхода защиты от уязвимостей класса Spectre, позволяющих определять содержимое памяти ядра в результате создания условий для спекулятивного выполнения определённых операций. Для атаки Spectre требуется наличие в привилегированном коде определённой последовательности команд, приводящих к спекулятивному выполнению инструкций. В еBPF найдено несколько способов генерации подобных инструкций через манипуляции с передаваемыми для выполнения BPF-программами.

Уязвимость CVE-2020-27170 вызвана наличием в верификаторе BPF манипуляций с указателями, вызывающими спекулятивные операции обращения к области вне границ буфера. Уязвимость CVE-2020-27171 связана с ошибкой целочисленной арифметики (integer underflow) при работе с указателями, приводящей к спекулятивному обращению к данным вне буфера. Указанные проблемы уже устранены в выпусках ядра 5.11.8, 5.10.25, 5.4.107, 4.19.182 и 4.14.227, а также вошли в состав обновлений ядра большинства дистрибутивов Linux. Исследователями подготовлен прототип эксплоита, позволяющий непривилегированному пользователю извлечь данные из памяти ядра.

  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Уязвимость в ядре Linux, позволяющая повысить свои привилегии через BPF
  3. OpenNews: Критические уязвимости в подсистеме eBPF ядра Linux
  4. OpenNews: Уязвимость в Bluetooth-стеке BlueZ, позволяющая удалённо выполнить код с правами ядра Linux
  5. OpenNews: Уязвимости в ядре Linux, затрагивающие реализации VSOCK, Futex и io_uring
  6. OpenNews: В eBPF найдена возможность обхода защиты ядра Linux от атаки Spectre
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/54932-bpf
Ключевые слова: bpf, kernel, linux
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (104) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, leibniz (??), 13:45, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    это ядро монструозно, в нём слишком много кода и, соответственно, ошибок
     
     
  • 2.3, Аноним (3), 13:47, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • –6 +/
    плюсую, гайка или маленькая птичка, пьющая нектар, выглядят поинтереснее
     
     
  • 3.61, анончик (?), 21:22, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    у птички, пьющей нектар, экзистенциальный кризис очень давно, лет так 7 точно. Разрабы чето коммитят, но у проекта вообще никаких целей нет. Полная разруха и анархия
     
  • 2.5, Аноним (5), 13:52, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Отчасти ebpf и решает эту проблему, вынося специфические части в байткод и юзерспейс.
     
     
  • 3.58, ананим.orig (?), 20:46, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    да,да. которые в конечном счете грузятся.. куда?

    точно! сабж жеж!
    смешно
    и всегда было смешно.

     
  • 2.13, Alen (??), 14:12, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    В статье нет самого главного!
    Для тех у кого есть голова и руки, в ядре опция:
    /Networking support/Networking options/enable BPF Just In Time compiler
    должна быть отлкюченной. Н этом инцидент исчерпывается.
     
     
  • 3.67, Аноним (67), 22:09, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    без ebpf не будет работать ни wireshark, ни firejail.
     
     
  • 4.79, Alen (??), 00:23, 10/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    без указанной мной опции wireshark успешно работает
     
  • 4.116, bOOster (ok), 10:20, 13/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    isc_dhcpd также уйдет в небытье.
     
  • 2.22, kai3341 (ok), 14:48, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > это ядро монструозно, в нём слишком много кода и, соответственно, ошибок

    Если бы всё было так просто. eBPF -- попытка выжать максимум производительности. Производительности же всегда мало -- как однажды сказал мой друг, задачи в идеале должны выполняться за отрицательное время

     
     
  • 3.24, ryoken (ok), 14:52, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> задачи в идеале должны выполняться за отрицательное время

    так их сформулировать не успеете

     
     
  • 4.39, Аноним (39), 15:39, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Формулировка будет строиться после выполнения, т.е. подгоняем ТЗ под результат.
     
     
  • 5.77, InuYasha (??), 00:13, 10/04/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    тогда я даже знаю пару мест где такое реализовано )
     
  • 5.106, Аноним (106), 10:18, 11/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Квантовые вычисления?
     
  • 4.56, ананим.orig (?), 20:39, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> задачи в идеале должны выполняться за отрицательное время
    > так их сформулировать не успеете

    с тех пор так и живем.

     
  • 3.46, Ананоним (?), 16:37, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Пусть твоему другу зарплату платят в отрицательном количестве. А если серьёзно, остерегайся таких друзей.
     
  • 3.57, ананим.orig (?), 20:41, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > eBPF -- попытка выжать максимум производительности.

    нет.
    и никогда не была.

     
  • 2.44, user90 (?), 16:09, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > это ядро монструозно

    Держи, GNU Hurd ;)

     
  • 2.112, Zz (?), 20:04, 11/04/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не хотите багов и кода от трансов?
    Добро пожаловать в OpenBSD
     

  • 1.2, пох. (?), 13:46, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    sysctl net.core.bpf_jit_enable=0
    sysctl: setting key "net.core.bpf_jit_enable": Invalid argument

    (с echo все прокатит, но внутри файлика останется 1)

    Что-то этот хак редхата, похоже, только для редхата. У которого там и так 0

     
     
  • 2.47, kissmyass (?), 16:44, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    c echo

    bash: echo: write error: Invalid argument

     
  • 2.64, bpf (?), 21:36, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    $ man 2 bpf

          Since Linux 4.15, the kernel may configured with the
           CONFIG_BPF_JIT_ALWAYS_ON option.  In this case, the JIT compiler
           is always enabled, and the bpf_jit_enable is initialized to 1 and
           is immutable.  (This kernel configuration option was provided as
           a mitigation for one of the Spectre attacks against the BPF
           interpreter.)

     
     
  • 3.65, пох. (?), 21:49, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    бггг. Поебдили несуществующую атаку, оставив незакрываемую реальную дыру. Молодцы, чо.

     

  • 1.4, Аноним (4), 13:47, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –16 +/
    Архаичные уязвимости отсталых языков программирования.
     
     
  • 2.10, Онаним (?), 14:09, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +14 +/
    С моднявыми язычками ситуация ещё интереснее
    "Нет софта - нет уязвимостей" называется
     
  • 2.19, Урри (ok), 14:40, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    В данном случае проблема алгоритма реализации. Ваш модномолодежный язык такие проблемы не умеет решать.

    Впрочем, никого из использующих модномолодежные языки к реализации таких сложных задач и не подпускают.

     
     
  • 3.40, Аноним (39), 15:40, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Согласен, такие задачи надо решать на COBOL, а не этих ваших молодежных Си.
     
  • 3.83, Гриша (?), 03:22, 10/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Насколько я могу судить, по исправленному if-у, там обычный buffer overrun. Memcpy слишком длинного чего-то в локальный массив temp. Типичная ошибка вызванная тем что C не проверяет границы массивов.

    https://elixir.bootlin.com/linux/latest/source/arch/x86/net/bpf_jit_comp.c#L14

     
  • 2.48, Аноним (48), 17:20, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    точно! Rust на них нет!
     
  • 2.55, Аноним (55), 20:33, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Дурачок?

    Тебе тут целый Jit запилили. Можешь хоть на Расте писать и в него перегонять.

    Проблема, таже, что и у JS. Не должен никакой левый код выполняться в ядре, как и в браузере.

     
     
  • 3.105, Аноним (105), 23:25, 10/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Не должен никакой левый код выполняться в ядре, как и в браузере.

    Несравнимо. В ядре, в отличие от браузера, будет выполнятся только тот eBPF-код, которому ты позволишь выполниться и это не будет код от любой программы в системе. И программ в твоей системе меньше чем сайтов, которые ты посещаешь в интернете. А в браузер тебе прилетает нечто обфускированное в мегабайт весом, что ты не в силах проанализировать до конца жизни. И сайтов этих "тыщи"

     
  • 3.115, BorichL (?), 13:35, 12/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да давайте уже код ядра вынесем из ядра!
     
  • 2.101, szt1980 (ok), 19:49, 10/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Надо срочно переписать на жабаскрипте. И обязательно с блокчейном.
     

  • 1.6, Аноним (6), 14:00, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    Давайте запихнём в ядро виртуальную машину с JIT!
    Что может пойти не так?
     
     
  • 2.11, Онаним (?), 14:10, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Восамомделенуштовы
     

  • 1.8, Lex (??), 14:03, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А все потому, что джит.
    Даёт серьезный прирост скорости норм ЯП, но делая само выполнение кода фундаментально дырявым.
     
  • 1.9, Онаним (?), 14:08, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну наконец-то
    Я прямо ждал когда в этом ядерном JIT-шерете что-нибудь таки протечёт
    JIT в ядре - зло
     
     
  • 2.23, Аноним84701 (ok), 14:51, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > Ну наконец-то
    > Я прямо ждал когда в этом ядерном JIT-шерете что-нибудь таки протечёт

    С разморозкой!
    https://www.opennet.ru/opennews/art.shtml?num=47792
    > Критические уязвимости в подсистеме eBPF ядра Linux
    > 23.12.2017 10:23

    https://www.opennet.ru/opennews/art.shtml?num=52640
    > Уязвимость в ядре Linux, позволяющая повысить свои привилегии через BPF
    > 04.02.2019 12:19

     
     
  • 3.92, Онаним (?), 10:42, 10/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Раз в два года жеж, а потом снова ждать.
     
  • 2.41, Аноним (39), 15:42, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В ядре и в частях без JIT регулярно дырки находят, это подов запретить любые рантаймы? Нет кода - нет проблем, я считаю!
     

  • 1.12, Аноним (12), 14:12, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Казалось бы, причём тут Rust?..
     
     
  • 2.32, Аноним (32), 15:02, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    В данном случае не поможет. Проблема реализации алгоритмов самого JIT.
     

  • 1.14, Аноним (14), 14:12, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Никогда не было и вот опять. Я и в polkit отключил жит и в qml, хотя непроверенный уод вроде не собираюсь исполнять.

    А от eBPF мне до сих пор щекотно, потому что позволять пользователю загружать код в вм с житом прямо в ядре, ну то такое. К сожалению, это единственная надежда для динамического файервола (чтобы блокировать и фильтровать исходящий трафик на уровне приложений, скажем).

     
     
  • 2.16, Аноним (14), 14:16, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я пытался отключить в ядре, но оно что-то больше не отключается. Однако, в proc не светится. Т.е. никаких /proc/sys/net/core/bpf_*



    CONFIG_BPF=y
    # CONFIG_BPF_SYSCALL is not set
    CONFIG_ARCH_WANT_DEFAULT_BPF_JIT=y
    # CONFIG_NETFILTER_XT_MATCH_BPF is not set
    # CONFIG_BPFILTER is not set
    # CONFIG_BPF_JIT is not set
    CONFIG_HAVE_EBPF_JIT=y


     
  • 2.75, Аноним (75), 23:45, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Я и в polkit отключил жит

    Как?

     
     
  • 3.80, Аноним (14), 00:27, 10/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> Я и в polkit отключил жит
    > Как?

    Собрал spidermoney с которым тот линукется без жита. И надеюсь, что этого достаточно. Наверно достаточно, я не проверял.

     
  • 2.84, Гриша (?), 03:27, 10/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Какие-же вы странные все.

    Этот JIT очень простой, он, просто транслирует байткод в машинные инструкции практически 1-в-1. Никакой сложной логики обычно ассоциированной со словом JIT там нет, там файл на 2к строк кода всего.

    Ошибка не связанна с JIT. Это, насколько я понимаю, обычный buffer overrun при копированнии массива. Там как-то не так проверяют его длинну.

     
     
  • 3.90, Аноним (14), 10:17, 10/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Проблема в том, что у пользователя вообще есть возможность загружать "машинный код" в ядро. Так лучше?
     
     
  • 4.94, Аноним (94), 18:32, 10/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Чем это отличается от загрузки модуля ядра, о великий эксперт openneta?
     
     
  • 5.98, Аноним (14), 18:46, 10/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Чем это отличается от загрузки модуля ядра, о великий эксперт openneta?

    Модуль может загрузить только пользователь с правами рута, тут же смысл в том чтобы позволять это делать всем пользователям.

     
  • 5.100, Аноним (14), 18:49, 10/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Чем это отличается от загрузки модуля ядра, о великий эксперт openneta?

    Причём, левые модули не загружаются в норме, рут имеет только возможность выбирать из готового и подписанного набора модулей. Так что, отличается.

     
  • 4.95, Анончик (?), 18:38, 10/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    "опасность проблемы зависит от доступности пользователю системного вызова eBPF"
    Так доступно?

     
     
  • 5.97, Аноним (14), 18:45, 10/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > "опасность проблемы зависит от доступности пользователю системного вызова eBPF"
    > Так доступно?

    Перечитай ещё раз и попробуй осмыслить.

     

  • 1.15, Аноним (15), 14:12, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >>в специальной виртуальной машине с JIT

    Это из самого названия понятно что это не может быть без дыр априори. Это два сложных непонятных механизма закрученный один в другой.

     
     
  • 2.28, 1 (??), 14:55, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    да ещё и в юзерспейсе
     
     
  • 3.50, пох. (?), 18:35, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > да ещё и в юзерспейсе

    там не юзерспейс, там именно kernel space, с доступом к коду из userspace.

    Причем, если мой эклер мне опять изменяет, еще и с возможностью доступа от непривиллегированного юзера в некоторых комбинациях настроек.

     

  • 1.17, Алексей (??), 14:21, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > уязвимость может быть эксплуатирована при включении BPF JIT и наличии у пользователя прав CAP_SYS_ADMIN

    То есть root может взломать сам себя? Галактика в опасности!

     
     
  • 2.18, Аноним (14), 14:27, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я тоже был уверен, что старательно везде убрал на всех бинарях (а ты проверь кстати в своём дистре), а потом ой /usr/bin/PCSX2 cap_net_admin,cap_net_raw=eip какие-то лишние права.

    А вот cap_sys_admin я отключал у кучи софта. Хорошо теперь есть cap_checkpoint_restore и можно убрать sys_admin и с criu.

     
     
  • 3.20, Онаним (?), 14:44, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Как-то всё проще.

    /usr/bin/newgidmap = cap_setgid+ep
    /usr/bin/ping = cap_net_admin,cap_net_raw+p
    /usr/bin/newuidmap = cap_setuid+ep
    /usr/sbin/arping = cap_net_raw+p
    /usr/sbin/clockdiff = cap_net_raw+p
    /usr/sbin/fping = cap_net_raw+ep

    И всё, в общем-то. А пользовательские файлухи вообще с noxattr монтируются, поэтому идут нафиг.

     
     
  • 4.35, Аноним (32), 15:06, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да, suid, конечно же, лучше.
     
     
  • 5.38, пох. (?), 15:31, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    лучше. Его сразу видно, о нем не забудешь, и писатели не надеются на "волшебные" механизмы.
    Не говоря уже о том что лап4@поделка.

     
  • 5.91, Онаним (?), 10:39, 10/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну да, suid, конечно же, лучше.

    suid очень ограниченно.
    Пользовательские файлухи ещё и с nosuid, ага. Местами с noexec вдогонку.

     

  • 1.21, Аноним (94), 14:46, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Эх, не умеют они готовить святой C и C++. Сплошные дыры в безопасности (включая прошлые новости с конфы по взлому всего и вся на C и C++)

    Вот туда бы экспертов с opennet...ууууххх
    ...они бы показали обезьяно-макакам (JS) и ржавым петушкам (Rust) как писать идеальный код без ошибок!

     
  • 1.25, Michael Shigorin (ok), 14:53, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    "Шо, опять?!" (ц)

    PS: и да, на e2k его не портировали ещё; по-моему, на данном этапе извития данной хреновины это скорее плюс.

     
     
  • 2.34, Аноним (34), 15:04, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Порядочные люди при сборке ядра выключают всякое ненужное непотребство используемое лишь в редких сценариях.
     
     
  • 3.51, пох. (?), 18:36, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Порядочные люди при сборке ядра выключают всякое ненужное непотребство используемое лишь
    > в редких сценариях.

    порядочные люди не занимаются пересборками ведра, у них дел и так полно.
    К тому же определить, что там нужно, а что не очень - задача для несреднего васяна.

     
     
  • 4.59, Alen (??), 20:54, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Порядочные люди невежество не восхваляют
     
     
  • 5.78, InuYasha (??), 00:16, 10/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Всё-таки "уметь" и "заниматься" - понятия разные.
     
     
  • 6.81, Alen (??), 00:32, 10/04/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >Всё-таки "уметь" и "заниматься" - понятия разные.

    И часто у вас "уметь" наступает без "заниматься"? Вы теоретик ядерного удара?
    А главное, основная мысль была не в том, что все должны уметь, а в том, что я написал - невежеством хвалиться стыдно.

     
  • 5.85, пох. (?), 09:27, 10/04/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ну так и не хвались. Твое умение кое-как собрать ведро - не повод для гордости.
    Ты не понимаешь больше половины "выключаемых" тобой закорючек.

     
     
  • 6.102, Аноним (102), 21:05, 10/04/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    С чего не понимать то? Там ко всему есть комментарии в коде и можно загуглить. За 3 дня разобраться вполне можно.
     
  • 2.36, Аноним (36), 15:12, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    МСБС вовсе 2х юзают кажется. Умные люди. Вылизали версию и не парятся.
     
     
  • 3.89, пох. (?), 09:39, 10/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    застрять на древней неподдерживаемой версии - вовсе не равно "вылизали".
     
  • 2.42, andy (??), 16:00, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, мне надо кое-что пособирать, так что мне есть чем занять твой "горыныч" [c]
    https://www.youtube.com/watch?v=it76PvJ8MnY
     

  • 1.26, ryoken (ok), 14:54, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Почему-то как вижу тут на опеннете новости, где есть фраза "позволяющий запускать обработчики", так и начинаю подсознательно ждать всяческих граблей.
     
  • 1.27, Я (??), 14:54, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а писали бы eBPF на расте не было бы такой фигни.
     
     
  • 2.43, Аноним12345 (?), 16:00, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ржунимагу
     
  • 2.88, пох. (?), 09:37, 10/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    да, я обеими лапами за. Еще много всякой й-ной фигни бы не было, от CoC.md и README вреда никакого.

     
     
  • 3.107, Аноним (106), 10:24, 11/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Насчёт CoC.md ты заблуждаешься. От его содержимого зависит то, кто будет коммитить в ядро.
     

  • 1.53, Аноним (53), 18:50, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    /proc/sys/net/core/bpf_jit_enable = 0
    Дебиан, если что.
     
     
  • 2.60, Аноним (102), 20:54, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А у меня включен почему-то.
    Это вообще роль какую-то играет если компьютером пользуюсь только я?
     
     
  • 3.66, Аноним (53), 21:51, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Думаю, вряд ли.
     

  • 1.54, Ingener (??), 19:07, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >уязвимость (CVE-2021-29154), позволяющая локальному пользователю добиться выполнения свого кода на уровне ядра

    Что и говорили. В Лин полно закладок. Еще десятки лет их будут находить.

     
     
  • 2.68, Аноним (102), 22:23, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Мне кажется в лине даже больше закладок чем в винде. Ещё и код открытый, в разы легче исследовать
     
     
  • 3.70, Аноним (70), 22:51, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Ещё и код открытый, в разы легче исследовать

    Именно поэтому закладок меньше. Если безопасность строится на закрытости кода, грош ей цена.

     
  • 3.86, пох. (?), 09:31, 10/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    у вас опечатка в слове "добавлять"

    Индуса в ms-то и выпороть могут за такое. А тут пожалуйста -

    Signed-off-by: Dave Chinner <dchinner@redhat.com>
    Reviewed-by: Carlos Maiolino <cmaiolino@redhat.com>
    Reviewed-by: Darrick J. Wong <darrick.wong@oracle.com>
    Signed-off-by: Darrick J. Wong <darrick.wong@oracle.com>
    (трогательное сотрудничество редхатовского мекса с оракловым китаезой, не правда ли? Да, это подпись под изменением, делающим fs нерабочей. И ни один тысячекосоглаз не выступил - тут кого надо нога! Даже две!)

     
     
  • 4.109, andy (??), 13:16, 11/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А ссылку на коммит можно. Или напиши пожалуйста, что там именно ломается?
     
     
  • 5.110, пох. (?), 16:36, 11/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > А ссылку на коммит можно. Или напиши пожалуйста, что там именно ломается?

    Можно, но описывать что все это значит второй раз лень.
    https://github.com/torvalds/linux/commit/fa4ca9c5574605d1e48b7e617705230a0640b

    And the mount fails. С мд-цкой "error -177" (отдельно бы аккуратно содрать с индусской макаки шкурку и солью мелкой посыпать) и без малейших шансов исправить.

     
     
  • 6.113, Michael Shigorin (ok), 21:03, 11/04/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> А ссылку на коммит можно. Или напиши пожалуйста, что там именно ломается?
    > Можно, но описывать что все это значит второй раз лень.
    > https://github.com/torvalds/linux/commit/fa4ca9c5574605d1e48b7e617705230a0640b

    Может, тот же текст вот сюда в комментарии и закиньте?

     
     
  • 7.114, пох. (?), 23:21, 11/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    его робот удалит.
    Да и причем бы тут ebpf. Только при том что тут все такими же руками сделано...

     
  • 3.103, Ananimasss (?), 22:06, 10/04/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Проиграл. Тебе с шиндовс апдейтом может прилететь что индусу угодно и даже мнением твоим не поинтересуются.
     
     
  • 4.104, пох. (?), 22:40, 10/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Конечно же редхатовский кумар очень поинтересуется твоим мнением, и конечно же тысячегласс непременно помешает обновлению его авторства добраться до твоей б-жественной бубунточки.
    (нет)

     
     
  • 5.108, Ananimasss (?), 12:29, 11/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Конечно же редхатовский кумар очень поинтересуется твоим мнением, и конечно же тысячегласс
    > непременно помешает обновлению его авторства добраться до твоей б-жественной бубунточки.
    > (нет)

    С бубунточкой мимо, у меня бсд, но у лин.упсов автоапдейты хотя бы опциональны, а еще есть генту, где непонятная бинарь прилетит разве что с блобиками в ядре.

    А у шиндовс стали хотя бы спрашивать о перезагрузке после неотключаемых обновлениях?
    Я вообще в шоке от шиндусятников, когда в 7ке микрософт без спроса обновил проверку лицензионности, с отключенными автообновлениями, ор поднялся выше гор, а как пришла 8ка с неубиваемым дефендером и 10ка с неотключаемыми обновлениями, так все просто проглотили и попросили добавить унижений.
    До сих пор ржу с "игрового режима" десяточки, когда отключалась вся ненужная пользователю деятельность, просто чтобы хотя бы выдавать схожую с 7кой производительность.

     
     
  • 6.117, пох. (?), 15:45, 13/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > С бубунточкой мимо, у меня бсд, но у лин.упсов автоапдейты хотя бы
    > опциональны, а еще есть генту, где непонятная бинарь прилетит разве что

    угу, опциональны, поэтому меня долбят sshшные трояны от таких необновлянцев.

    > А у шиндовс стали хотя бы спрашивать о перезагрузке после неотключаемых обновлениях?

    У нее круче - она уже три года как ПЕРЕСТАЛА под руку спрашивать эти глупости, и просто аккуратно перезагружается во время, по данным ее телеметрии, когда тебе точно не нужен компьютер.
    Да, это можно на некоторое небесконечное время - отложить (ну и правильно написанный софт просто не даст перезагружаться пока обрабатывает фоновую задачу). Но обычно ненужно. Все делает за тебя, и ест тоже.

    > Я вообще в шоке от шиндусятников, когда в 7ке микрософт без спроса
    > обновил проверку лицензионности, с отключенными автообновлениями, ор поднялся выше гор,

    у мелких воришек-то? Я вот ничего не заметил.
    Наверное, потому что ей нечего там было проверять?

    > До сих пор ржу с "игрового режима" десяточки, когда отключалась вся ненужная
    > пользователю деятельность, просто чтобы хотя бы выдавать схожую с 7кой производительность.

    признак дурачины, угу.
    А на деле - убираются всего лишь интерактивные оповещения, лезущие не в том графрежиме или пытающиеся управлять звуком.


     

  • 1.62, анончик (?), 21:24, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    а при Rust'е все будет зашибись, там все будет бесплатно и все будет в кайф. Надо только немножко подождать
     
  • 1.63, Аноним (63), 21:34, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А дедушка Тененбаум говорил этому студенту шо надо пилить микроядро.
     
     
  • 2.96, Анончик (?), 18:44, 10/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Надеюсь ты хотя бы знаешь кто это, может потом даже научишься его к месту упоминать правильно.
     

  • 1.69, Аноним (69), 22:29, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Есть же еще kernel.unprivileged_bpf_disabled = 1 и net.core.bpf_jit_harden = 2.

    А на что повлияет полное отключение BPF JIT?

     
     
  • 2.76, Аноним (-), 23:58, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ни на что . Ненужная п..бень .
     
     
  • 3.82, Аноним (82), 01:41, 10/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А разве современный iptables не на BPF построен?
     
     
  • 4.87, пох. (?), 09:35, 10/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    iptables - нет. Но он несовременный и его срочно надо выбросить.

    А над тем что вы хотите - работают, но пока, вроде, ничего кроме нерабочих poc не родили, nft только планирует перевестись на bpf-машину, когда-нибудь, потом.

     
  • 4.99, Анончик (?), 18:47, 10/04/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    поздравляю вы достигли нового уровня "Местный эксперт"
     

  • 1.93, Аноним (93), 17:42, 10/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > выполняемые внутри ядра Linux в специальной виртуальной машине с JIT

    JIT - зло которое надо искоренить!

     
  • 1.111, Аноним (111), 18:02, 11/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Linux!!!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Ideco
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру