The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в подсистеме netfilter, позволяющая выполнить код на уровне ядра Linux

22.02.2022 13:16

В Netfilter, подсистеме ядра Linux, используемой для фильтрации и модификации сетевых пакетов, выявлена уязвимость (CVE-2022-25636), позволяющая выполнить код на уровне ядра. Заявлено о подготовке примера эксплоита, позволяющего локальному пользователю поднять свои привилегии в Ubuntu 21.10 c отключённым механизмом защиты KASLR. Проблема проявляется начиная с ядра 5.4. Исправление пока доступно в виде патча (корректирующие выпуски ядра не сформированы). Проследить за публикаций обновления пакетов в дистрибутивах можно на данных страницах: Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux.

Уязвимость вызвана ошибкой вычисления размера массива flow->rule->action.entries в функции nft_fwd_dup_netdev_offload (определена в файле net/netfilter/nf_dup_netdev.c), которая может привести к записи контролируемых атакующим данных в область памяти за границей выделенного буфера. Ошибка проявляется при настройке правил "dup" и "fwd" в цепочках, для которых применяется аппаратное ускорение обработки пакетов (offload). Так как переполнение возникает на этапе до создания правила пакетного фильтра и проверки поддержки offload, уязвимость также применима и для сетевых устройств, не поддерживающих аппаратное ускорение, таких как loopback-интерфейс.

Отмечается, что проблема достаточно проста в эксплуатации, так как выходящие за пределы буфера значения могут перезаписать указатель на структуру net_device, а данные о перезаписанном значении возвращаются в пространство пользователя, что позволяет узнать необходимые для совершения атаки адреса в памяти. Для эксплуатации уязвимости требуется создание определённых правил в nftables, что возможно только при наличии привилегий CAP_NET_ADMIN, которые могут быть получены непривилегированным пользователем в отдельном сетевом пространстве имён (network namespaces). Уязвимость также может быть использована для атак на системы контейнерной изоляции.

Дополнение: Опубликованы подробности о разработке эксплоита для рассматриваемой уязвимости.

  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Уязвимость в подсистеме ядра Linux Netfilter
  3. OpenNews: Уязвимость в подсистеме eBPF, позволяющая выполнить код на уровне ядра Linux
  4. OpenNews: Уязвимость в VFS ядра Linux, позволяющая повысить свои привилегии
  5. OpenNews: Уязвимость в механизме ucount ядра Linux, позволяющая повысить свои привилегии
  6. OpenNews: Удалённая уязвимость в ядре Linux, проявляющаяся при использовании протокола TIPC
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/56742-netfilter
Ключевые слова: netfilter, kernel
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (106) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 13:21, 22/02/2022 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –20 +/
     
  • 1.2, Аноним (2), 13:22, 22/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +13 +/
    Сколько наворочено всяких концепций, которые управляют другими, которые... Пора возвращаться к простоте.
     
     
  • 2.6, Аноним (6), 13:32, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +9 +/
    > Пора возвращаться к простоте.

    Ставьте FreeBSD.

     
     
  • 3.9, пох. (?), 13:40, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • –11 +/
    Там та, которая хуже воровства.

    Ставьте ведро 3.0.100какоето- там еще нормальный iptables.
    Без вот этого вот "очень похожего на BPF, но не так чтоб сохранить копирайты Berkley"

     
     
  • 4.10, Аноним (10), 13:42, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >Ставьте ведро 3.0.100какоето-

    Старый код = неисправленные уязвимости.

     
     
  • 5.39, Аноним (39), 16:49, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Зря ты так про фряху. Фряха идеальна!
     
     
  • 6.45, Аноним (2), 17:09, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Я не про фряху.
     
  • 6.106, Аноним (-), 13:12, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Зря ты так про фряху. Фряха идеальна!

    История с вайргадом в фряхе сойдет за идеальныое что, детектив?!

     
     
  • 7.126, Аноним (126), 15:52, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не попавшая в релиз и за которую разраба с треском выперли То ли дело история с... большой текст свёрнут, показать
     
     
  • 8.136, Аноним (-), 19:35, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    После того как он втянул код и саботировал вынос этого трэша, и все это потребов... большой текст свёрнут, показать
     
     
  • 9.143, Аноним (-), 00:58, 24/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Занятное врань W motivated reasoning Для предосторожности - эти коммиты про... текст свёрнут, показать
     
  • 5.48, пох. (?), 17:26, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    То ли дело зеродеи в новом, модном коде!

    (а из серьезных там разьве что n_tty, да и та вроде в последних версиях кое-как прикрыта)

     
     
  • 6.51, Аноним (2), 17:36, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сложите вместе эти два факта. Из этого следует, что стоит искать актуальный код, но не "модно-молодёжный".
     
     
  • 7.77, Анто Нимно (?), 07:17, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Молодёжно-халявный, так, вероятно, стоит трактовать модно-молодёжность в контексте кода.
     
     
  • 8.86, Антон Им (?), 11:25, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Антикварно-роскошный... текст свёрнут, показать
     
  • 6.107, Аноним (-), 13:17, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > То ли дело зеродеи в новом, модном коде!

    можно подумать в старом их не бывает, старый сишный код вообще часто писан без секурити в голове, лишь бы работало, долбать эксплойтами стали ведь уже потом

     
  • 4.21, Аноним (21), 14:12, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Уязвимость в _netfilter_. Не важно, кто там правила загружает.
     
     
  • 5.53, пох. (?), 18:49, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Уязвимость в модном-молодежном "почти как bpf но без лицензии bsd" нетфильтре.

    А в 3.0.100 немодный, он правила выполняет в том виде, в котором их собирает iptables, и там нет никакого nf_tables_api.c поскольку они никуда не "компилируются".

    Офлоада, правда, тоже нет, но полагаю это не последний баг и не все они будут связаны с офлоадом.

     
  • 4.30, crypt (ok), 15:16, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    я сидел на 2.6.32 до упора, но поддержка rhel6 закончилась:( с нее на freebsd чуть ли не проще мигрировать, чем на новый systemd/Linux.

    даже запостил историю "Переход с Linux на FreeBSD. Успех, но..."

    https://www.linux.org.ru/gallery/screenshots/16719927

    p.s.

    анонимные комментаторы там в игноре

     
     
  • 5.49, Аноним (2), 17:30, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > 3.4 FreeBSD - это единственная ОС из других *BSD с проприетарными драйверами. Полный успех.

    В любой есть.

     
  • 5.64, Аноним (64), 21:54, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > p.s.
    >анонимные комментаторы там в игноре

    ) Только ум, честь и совесть эпохи. Кстати, в свете последних постановлений надо доставать РК-86?

     
     
  • 6.109, Аноним (-), 13:20, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а что ему делать было, когда основная трабла - "нет исходников иконок в svg" и операционки некроманские это гарантирует характерные коменты и жесты пальцами около виска )))
     
  • 4.44, ух (?), 17:04, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а мусью может пояснить, что именно не устроило их величество? в handbook много букв? нет systemd? kde не патчится? докер не едет через докер?
     
     
  • 5.56, пох. (?), 19:14, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Могу, но ты все равно не сможешь понять.

    У вас три пакетных фильтра с невменяемым синтаксисом, один мертвый, второй полуработающий а третий вообще ни для чего непригоден из-за плоского конфига с номерками, здравствуй 96й год когда сети были примитивные и списки правил умещались на экран 80x24.

    userspace helpers, XXI век, userspace helpers для тривиального исправления одного байта в передаваемом пакетике а не какой-то суперсложной обработки (на которую в линуксе закладывались но так и не придумали к чему бы применить)...

     
  • 4.65, Аноним (65), 21:59, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Ставьте ведро 3.0.100какоето

    Когда-то в линуксе развитие сопровождалось прогрессом. А теперь фанатики с "прогрессом" борятся.
    Прекрасно, чо!

     
     
  • 5.78, Анто Нимно (?), 07:20, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Когда софт стали делать не инженеры, а инженеры с бизнесменами, то качество изменилось - заболачивается.

    Оборотная сторона победы. Победа интересна с перспективы продать, на ней карьеру построить.

     
  • 4.105, Аноним (-), 13:09, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Ставьте ведро 3.0.100какоето- там еще нормальный iptables.

    и получите мешочек известных вулнов в подарок, при том фиксить их там уже точно никто не будет

    и что мешает отключить вон то в билдконфиге ядра? джедаи не ищут простых путей?

     
  • 3.18, Sultan (?), 14:08, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Если фря наберёт такие обороты, то и там найдут кучи дырок. Нахождение уязвимостей - вопрос интереса к системе.
     
     
  • 4.27, Аноним (2), 14:23, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не только. Ещё и качества кода и организации структуры.
     
  • 4.41, Аноним (39), 16:50, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Во всех плейстейшенах и в нинтендо свитч фряха. Это прям дофига устройств. И что ты там найдешь?  
     
     
  • 5.70, Аноним (70), 00:00, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ты думаешь Сони и Нинтендо искали баги, а не просто взяли готовую кодовую базы и сделали на ее основе продукт под свои нужды? Или к чему тогда твое сообщение, оно ведь никак не контраргументирует высказывание про баги фряхи, которые не нашли ибо не искали
     
     
  • 6.73, Аноним (-), 00:40, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >>> Если фря наберёт такие обороты
    >> ... Это прям дофига устройств.
    > Ты думаешь Сони и Нинтендо искали баги, а не просто взяли готовую
    > кодовую базы и сделали на ее основе продукт под свои нужды?
    > Или к чему тогда твое сообщение, оно ведь никак не контраргументирует
    > высказывание про баги фряхи, которые не нашли ибо не искали

    Попробуйте перед ответом читать. Глазками.
    Очевидно, что отвечали в контексте "во фре не находят дыры, потому что мало где испольюзубт" и "контраргумент" тут ничем не хуже "не нашли, потому что не искали!"


     
     
  • 7.87, Аноним (87), 11:51, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В плойке я знаю довольно эпичные дыры находили. Но сравнение не совсем корректное, в плойке архитектура не писи и дрм во все дыры.
     
     
  • 8.100, Аноним (-), 12:49, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Хреноватый качественно-количественный анализ, если честно Впрочем, аналитики ... текст свёрнут, показать
     
  • 7.131, Аноним (70), 18:07, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    То есть использование кода фряхи в проприетарных системах Сони и Нинтендо делает такой же популярной как и Линукс? Радует, что адепты фряхи ещё где-то остались, хоть и вот такие
     
     
  • 8.141, Аноним (126), 20:18, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Т е ты опять ведешь диалог с самим собою, увлеченно что-то придумывая и оспарив... текст свёрнут, показать
     
  • 5.76, Igor (??), 02:41, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ну так PS4 поломали именно через сеть и встроенный браузер, который открывал руководство пользователя из сети. Через браузер грузился эксплоит, который использовал дыры в ядре, позволившие получить доступ к ядреному пространству и заменить ключи шифрования. В результате появилась возможность расшифровать игрушки и зашифровывать их с нулевым ключем.
     
     
  • 6.110, Аноним (-), 13:22, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ну хоть кто-то изучил секурити бздей... хоть и по таксебешной причине, да и фряха поди с этого получит как обычно - ничего
     
     
  • 7.124, Аноним (-), 15:06, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > да и фряха поди с этого получит как обычно - ничего




    commit d6c6c7850d14846c7106a09712f2ed97f87988cd
    Author: Mark Johnston <markj@FreeBSD.org>
    Date:   Thu Apr 2 15:30:51 2020 +0000

        MFC r359154:
        Fix synchronization in the IPV6_2292PKTOPTIONS set handler.



    Очередной опеннетно-лапчатый онализ.

     
  • 6.129, Аноним (64), 17:53, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ключём, извините )
     
  • 4.46, ух (?), 17:13, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    белые тоже едят друг друга, но хорошо скрывают. это не аргумент, это попытка оправдаться.

    но в общем с идей согласный - п.о. пишут люди, которым свойственно ошибаться. и вот тут начинаются ньюансы, потому что эти люди разные. одни в ластах и с гиперактивностью, а другие в кедах и с дипломами.

     
     
  • 5.91, пох. (?), 12:20, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > белые тоже едят друг друга, но хорошо скрывают.

    а что с этим тезисом-то не так?

    > п.о. пишут люди

    но есть большая разница между Рыжим дол..ом писавшим ранний iptables just for fun и потому что мог, пусть и оставившего после себя развалины, их еще можно было восстанавливать, и моральным уродом комитером в CoC который "всех засужу за нарушение GPL!" - после которого восстанавливать уже нечего, надо наоборот, заливать напалмом.

     
     
  • 6.130, Аноним (64), 17:56, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Прекращайте коммунизм восхвалять!
     
  • 3.69, BSDunya (?), 22:05, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    К простоте, но не в каменный век.
     
  • 3.74, Аноним (74), 01:46, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    BSD который хакинтош особенно рекомендую
     
     
  • 4.92, пох. (?), 12:21, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    там еще большее г-но с пакетным фильтром - из трех полуработающих работает один совсем бесполезный.
     
  • 2.11, Аноним (11), 13:44, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    - Человек - это много данных. Аденин, цитозин, гуанин, тимин - алфавит человека - четыре символа. У меня лишь два - ноль и единица.
    - В два раза проще, зато в два раза прекраснее.
     
     
  • 3.37, Аноним (37), 16:22, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Откуда?
     
     
  • 4.80, Аноним (11), 09:56, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Из экранизации "Мечтают ли андроиды об электроовцах? 2049"
     
     
  • 5.88, likeyourdaddy (?), 11:56, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    зумер, спок
     
     
  • 6.89, Аноним (11), 12:00, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зумер, зумеры не в состоянии запомнить такой диалог.
     
  • 3.111, Аноним (-), 13:23, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    в чем проблема, по 2 бита на символ недурно упаковывается
     
     
  • 4.122, Аноним (11), 14:29, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    - Будь это правдой, за мной всю мою жизнь охотился кто-то вроде меня.
    - Но так здорово помечтать, согласись.
    - Лучше не надо.
     
     
  • 5.137, Аноним (-), 19:38, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    мечты выполняются, так что...
     
  • 2.13, Жироватт (ok), 13:53, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    QNX. Куня спасет весь мир могильных устройств
     
     
  • 3.22, Аноним (21), 14:14, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Куня спасет весь мир
     
  • 3.62, Аноним (62), 21:31, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сдохла куня.
     
     
  • 4.71, Аноним (-), 00:00, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Убили.
     
     
  • 5.83, Аноним (11), 10:40, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Воскреснет и вознесется в облака, ой, небеса. Ждем второго пришествия. Да будет так и во веки веков!
     
  • 4.133, Аноним (133), 18:52, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Куни живо
     
  • 3.112, Аномни (?), 13:24, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > мир могильных устройств

    и фрибсдшные черти с вилами стоят...

     
  • 2.24, Аноним (21), 14:16, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    И хостеры останутся без контейнеров?
     
     
  • 3.55, Аноним (55), 19:10, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Хипстеры вы хотели сказать?
     

  • 1.3, Аноним (3), 13:26, 22/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Черт... опять нашли нашу закладку...
    (с) АНБ
     
     
  • 2.7, Аноним (7), 13:34, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да и ничего страшного, сейчас вон Microsoft запушит в ядро новую.

    // b.

     
     
  • 3.12, Apple (?), 13:50, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А мы червей откусываем.
     
     
  • 4.113, Сири (?), 13:25, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    вы сделали опечатку в слове надкусываем
     
     
  • 5.118, Дядюшка Apple (?), 14:01, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Девочка, у Вас ротик маленький.
     
  • 2.14, Жироватт (ok), 13:54, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Кладмена своего увольте, а? У нас и так уже полядра изрыто, и надписи какие-то.
     

  • 1.4, Урри (ok), 13:28, 22/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > Проблема проявляется начиная с ядра 5.4.

    Ну вот. А я надеялся на своем ведроиде временный рут получить.
    Придется искать старые cve.

     
  • 1.5, Аноним (5), 13:30, 22/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    > Ошибка проявляется при настройке правил "dup" и "fwd" в цепочках, для которых применяется аппаратное ускорение обработки пакетов (offload).

    Т.е. затрагивает в лучшем случае 50 серверов во всём Интернете.

    Please disperse.

    // b.

     
  • 1.8, пох. (?), 13:38, 22/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    из соседней новости, прекрасное:
    > Непосредственно правила фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после
    > чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в ядре в специальной виртуальной машине, напоминающей BPF
    > (Berkeley Packet Filters). Подобный подход позволяет значительно сократить размер кода фильтрации, работающего на уровне ядра и вынести
    > все функции разбора правил и логики работы с протоколами в пространство пользователя.

    что, что тут могло бы пойти не так?!

     
  • 1.16, Сергей (??), 13:54, 22/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    То, что ее эксплуатировать можно только локально никого не смущает?
     
     
  • 2.17, hshhhhh (ok), 14:01, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Уязвимость также может быть использована для атак на системы контейнерной изоляции.
     

  • 1.20, Аноним (20), 14:11, 22/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Проверка границ массива это слишком медленно и всё будет тормозить говорили они. Взамен уже десятки лет огребают трудновыловимые дыры в безопасности.
     
     
  • 2.23, Аноним (-), 14:16, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Именно так, зато щас как на Rust перепишем! Да как все дыры залатаем!

    // b.

     
  • 2.25, Аноним (11), 14:18, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Надо было десятки лет сидеть в панике?
     
     
  • 3.72, anonymous (??), 00:28, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Если будет попытка взлома, то лучше уйти в панику, чем позволять выполнять произвольный код.
     
     
  • 4.81, Аноним (11), 10:29, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если будет не попытка взлома?
     
     
  • 5.144, anonymous (??), 02:16, 25/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Хорошо: лучше уйти в явную панику с описанием конкретной проблемы, чем втихоря начинать непредсказуемое поведение
     
  • 2.26, Аноним (21), 14:18, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А чему тормозить в данном случае? Если тут проверять только при загрузке правил.
     
  • 2.28, Аноним (28), 14:25, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну пока ломом по голове ен настучит это все они так и будут избегать языки с тостыми указателями
     
     
  • 3.114, Аноним (-), 13:27, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Юзеры не желают тормозные ядра и денег за это не несут. Хоть вы там с жиру полопайтесь с вашими указателями.
     
  • 2.34, Ordu (ok), 15:45, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Справедливости ради стоит отметить, что тогда ещё говорили о том, что вообще нельзя писать систему на высокоуровневом языке, потому что тормозить будет. C смог пролезть в системное программирование потому, что он позиционировался как кроссплатформенный ассемблер.

    Ну и да, тогда проверка границ была дороже: компиляторы были тупыми, подметить что условия цикла гарантируют, что проверка всегда даст true и вышвырнуть её за ненадобностью, они не могли. Да и языки были другие -- итераторов нет, лямбд нет, а значит нет способов свалить на массив организацию цикла так, чтобы с минимумом проверок. И спекулятивного выполнения тогда не было, чтобы эта проверка задним числом выполнялась бы параллельно с выполнением другого кода.

     
     
  • 3.134, Аноним (-), 19:02, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Даже сишный компилер может мастерски изгадить код, тормознув в пару раз на ровном месте. Или, наоборот, удалить "ненужных" проверок NULL, прувер штука такая, докажет "never happens" на раз, и пофиг ему что full view большой системы где-то уже продолбали.

    Если код раз в день выполняется - черт с ним с всем этим, но ядро выполняет вообще все запросы программ и ворочает БОЛЬШИМИ потоками данных.

    Есть юзеры с 8K дисплеями, NVME всякие, 100GigE - и их обладатели считают что это должно работать на скорости железа. Четвертинка от этой скорости их вообще совсем не устраивает.

    А за спекулятив мы получили спектры с мельдонием, когда оказаолсь что задним числом оно эвона как, проц на допинге попадается.

     
     
  • 4.135, Ordu (ok), 19:34, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Даже сишный компилер может мастерски изгадить код, тормознув в пару раз на
    > ровном месте.

    На это есть профайлер.

    > Или, наоборот, удалить "ненужных" проверок NULL, прувер штука такая,
    > докажет "never happens" на раз, и пофиг ему что full view
    > большой системы где-то уже продолбали.

    Это не было проблемой, пока C был кроссплатформенным ассемблером. Он генерил машинный код максимально приближенный к C'шному.

     
     
  • 5.138, Аноним (-), 19:45, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Как вы себе это представляете на штуках типа линукс кернела в среднеотфонарных к... большой текст свёрнут, показать
     
     
  • 6.140, Ordu (ok), 19:56, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Я не понимаю о чём ты споришь. Речь идёт о том, что "вас же предупреждали, что надо выход за границы проверять, а вместо этого вы десятками лет баги ловите". Вот когда предупреждали дешевизна проверки на выход за границы была очень неочевидной. Ситуация сейчас изменилась, и я не спорю с этим.
     
     
  • 7.142, Аноним (142), 22:52, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Все хотят и рыбку съесть и косточкой не подавиться С растом столько возятся в о... большой текст свёрнут, показать
     
  • 2.52, InuYasha (??), 18:34, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Мы не говорили. Мы и на null проверяли, и на выход за границы, и на порчу/сглаз данных.
     

  • 1.38, Аноним (38), 16:44, 22/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Камни с неба прилетели
     
     
  • 2.43, Аноним (39), 16:52, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Зато мы в родном Линуксе.
     
     
  • 3.79, Анто Нимно (?), 07:26, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Много званых, да мало избранных.
     
     
  • 4.85, Аноним (11), 11:20, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > да мало избранных

    Голосуй, а то проиграешь!

     

  • 1.47, Онаним (?), 17:19, 22/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > в цепочках, для которых применяется аппаратное ускорение обработки пакетов

    Так, уже легче. На боевых системах оффлоуда нетфильтра нет.

     
  • 1.54, Аноним12345 (?), 19:08, 22/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Нет худа без добра
     
  • 1.59, Аноним (65), 21:03, 22/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Новость не читал.
    Надо было ставить pf.
    По факту увизгвимостей в нфт.
    Вангую, что из-за синтаксиса основные уязвимости будут из-за неверного написания правил.
    Сейчас ведь некоторые даже не понимают как в айпитабле работают правила и сперва пишут разрешения а дроп в конце. Видел на форуме недавно такие примеры.
     
     
  • 2.63, john_erohin (?), 21:36, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > некоторые даже не понимают как в айпитабле работают правила

    а я и не собираюсь "понимать" (т.е. гадить
    себе же в мозг еще одним собачьим языком).
    пусть за меня понимает firehol.
    к сожалению аналог для nftables мне неизвестен.

    >  и сперва пишут разрешения а дроп в конце.

    всегда так делаю. недавно удалось убрать ил логов
    чью-то протекшеую в провайдерский влан локалку.
    именно тихим дропом в конце.

     
     
  • 3.67, Аноним (65), 22:02, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> некоторые даже не понимают как в айпитабле работают правила
    > а я и не собираюсь "понимать" (т.е. гадить
    > себе же в мозг еще одним собачьим языком).
    > пусть за меня понимает firehol.
    > к сожалению аналог для nftables мне неизвестен.
    >>  и сперва пишут разрешения а дроп в конце.
    > всегда так делаю. недавно удалось убрать ил логов
    > чью-то протекшеую в провайдерский влан локалку.
    > именно тихим дропом в конце.

    Вы молодец! Продолжайте в том же духе!

     

  • 1.101, Аноним (-), 12:59, 23/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > возможно только при наличии привилегий CAP_NET_ADMIN,

    При таких привилегиях права можно особо и не повышать - а зачем? :)

     
  • 1.121, Аноним (121), 14:17, 23/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > непривилегированным пользователем в отдельном сетевом пространстве имён (network namespaces)

    cgroups & namesoaces & BPF - выкинуть с ядра.

    > позволяющего локальному пользователю поднять свои привилегии в Ubuntu 21.10 c отключённым механизмом защиты KASLR.

    ASLR необходим и в ядре и в юзерспейсе.

     
     
  • 2.123, старый_админ (?), 14:38, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    en.wikipedia.org/wiki/OpenBSD
     
  • 2.139, Аноним (-), 19:48, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > cgroups & namesoaces & BPF - выкинуть с ядра.

    Конфигуряемо при билде ядра.

    > ASLR необходим и в ядре и в юзерспейсе.

    Тоже конфигуряемо, и как правило активно.

     

  • 1.125, Аноним (65), 15:14, 23/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    1.5 анончика, обращение к вам: Что-то смотрю совсем тут поплохело. Помимо лора (что там знаю) вы еще где-то несете свет в прогрессивные массы? На лор не пойду, там толерастия цвет и попахивает.
     
     
  • 2.127, Аноним (11), 15:55, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > свет

    Это не бесконечная тьма. Света мало, конечное(?) количество. Иначе весь космос светился бы ослепительными красками в любое время суток. Так что строго дозировано в неведомых просторах космоса согласно парадоксу Ферми.

     
     
  • 3.128, Аноним (65), 17:17, 23/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну тогда делом займусь. Хотя и лениво.
    Нашим еще полутора оставшимся, сохранившим и идеалы и мозги, привет при случае. "Тьма проходит и истинный свет уже светит..."(с). Не сдавайте позиции, посоны! Честь имею.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру