| 1.1, Аноним (1), 15:48, 11/12/2023 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– | |
> выявлены шесть уязвимостей, позволяющих в ходе перехвата транзитного трафика (MITM) добиться внесения изменений в генерируемые системные образы или организовать выполнение кода на уровне сборочной системы.
какая-то чушь от свидетелей безопаснсти, во первых пакетики без хешей только совсем малонужные и неиспользуемые - поэтому и нет хешей, и что мешает легально добавить сборочный сценарий с валидными хешами но с неизвестным содержимым в исходниках, как будто кто-то там проверяет все сценарии make
| | |
| |
| 2.12, 007 (??), 21:52, 11/12/2023 [^] [^^] [^^^] [ответить]
| +/– | |
Там эпичность в том, что тулчейн RISC-V как самый "модно-молодежный" входит в набор, которым пользуются 80% меинтейнеров тамошних пакетов при локальном тестировании сборок.
Ну а хеши этого горе-тулчейна там дропнули, ибо задолбались менять (и коммитить эти изменения в репу), так как ночвые бага-фичи в тулчейн добавляются быстрее чем исправляются старые.
| | |
| |
| 3.14, Аноним (14), 22:25, 11/12/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> пользуются 80% меинтейнеров тамошних пакетов при локальном тестировании сборок
они в контейнерах и виртуалках тестируют
| | |
| |
| 4.22, 007 (??), 13:01, 12/12/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> они в контейнерах и виртуалках тестируют
Это спасает от шуток типа "rm -rf /", но никак не от более-менее приличной целевой атаки.
Тут почти 100% вероятность возможности пробития и компрометации всей инфраструктуры buildroot, включая 50% мэинтейнеров.
Другое дело, что (скорее всего, пока еще) это никому не было нужно.
Хотя мэинтейнеров я бы подергал за причинные места - и для профилактики, ну и ради баловства.
| | |
| |
| |
| 6.24, 007 (??), 14:45, 12/12/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> каким образом если каждая запущенная сборочная задача тестирует свою локальную копию ?
Не образом, а подсвешником ;)
Например, пробивается через:
- подстановку payload по статусу сборок в gitlab (периодически находят и фиксят, сейчас вроде-бы чисто);
- подстановку payload для пробития при разоре заголовков в proxy между серверами c CI-агентами и самим gitlab;
- эскалацию привилегий с пробитием через какой-нибудь драйвер/шлюз/namespace;
- побег из виртуалки, суммарно примерно десяток способов;
- а половина меинтейнеров запускает сборку просто на рабочей машине, это вообще примерно везде так... (а собрав ключи можно вообще всю инфраструктуру застелсить/заруткитеть).
В целом, пока не показаны положительные результаты приличного аудита, можно считать что рeшет0.
За >10 лет практики ни разу не видел иначе.
Погуглите хвастовство Positive Technologies, Digital Security, Group-IB, Касперов и т.д.
> кросскомпилятор riscv вообще для барметал - сборку пакетов на нём не тестируют, он их просто не соберёт
Buildroot он как-бы в принципе для bare metal и традиционных deb/rpm пакетов там нет.
А "пакеты" (ну или как их назвать) собираются именно тулчейнами для конечных платформ -- это примерно 90% объема "тестирования" как такового.
Где-то есть запуск тестов под qemu, кто-то из меинтейнеров использует железо, но в основном просто производится сборка, а тесты по конкретным жалобам пользователей.
| | |
| |
| 7.25, Аноним (14), 14:58, 12/12/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> Buildroot он как-бы в принципе для bare metal и традиционных deb/rpm пакетов там нет.
ты конкретно не понимаешь - есть кросскомпилятор для сборки для Linux а есть для bare metal, линуксовым можно собрать барметал а наборот - нет, этот барметал компилятор для конкретного загрузчика от процессора sifive потому что он какой-то кривой и линуксовым не собирается
> This commit adds a new package for a prebuilt bare-metal toolchain for
> RISC-V 64-bit. Indeed, some bootloader/firmware for the BeagleV (and
> potentially later for other platforms?) do not build with a
> Linux-capable toolchain. | | |
| |
| 8.26, 007 (??), 15:13, 12/12/2023 [^] [^^] [^^^] [ответить] | +/– | Ну , вы не спешите делать столь смелые выводы и давать ненужные пояснения Тео... текст свёрнут, показать | | |
| |
| 9.27, Аноним (14), 15:20, 12/12/2023 [^] [^^] [^^^] [ответить] | +/– | а как практически выполняют MITM на gitlab были примеры надо ещё sifive взлома... текст свёрнут, показать | | |
| |
| 10.28, 007 (??), 15:40, 12/12/2023 [^] [^^] [^^^] [ответить] | +/– | Гуглите Были дыры уже пофикшены , были примеры Зачем Для тех кто в танке ... текст свёрнут, показать | | |
| |
| |
| 12.30, 007 (??), 17:04, 12/12/2023 [^] [^^] [^^^] [ответить] | +/– | Лучше прочитайте текст новости еще раз Но в принципе можно и согласиться с форм... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
| 4.33, Аноним (-), 09:37, 13/12/2023 [^] [^^] [^^^] [ответить]
| +/– |
>> пользуются 80% меинтейнеров тамошних пакетов при локальном тестировании сборок
> они в контейнерах и виртуалках тестируют
И, собственно, чего? Запустить майнер, спамер или ддосер на виртуалке ничуть не хуже чем на железке.
| | |
| |
| 5.34, Аноним (14), 12:13, 13/12/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> Запустить майнер, спамер или ддосер на виртуалке ничуть не хуже чем на железке.
осталось рассказать как это сделать
| | |
|
|
|
| 2.15, YetAnotherOnanym (ok), 22:27, 11/12/2023 [^] [^^] [^^^] [ответить]
| +3 +/– |
 Мы забор ставим только там, где много людей ходит. Где не ходят или один-два изредка пройдёт - там забор не нужен.
| | |
|
| 1.3, Аноним (3), 16:07, 11/12/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>возможности использования HTTP для загрузки файлов
Нужно было просто дропнуть поддержку http без s. Хочешл грузить, не пользуясь чужими CA? Создай свой CA и залей серт. Не хочешь? Ну знаешь, куда идти.
| | |
| |
| 2.5, Электрон (?), 17:46, 11/12/2023 [^] [^^] [^^^] [ответить]
| +/– | |
Надо отдавать http/80 только по субдомену http, а на www, корень оставить только HTTPS.
Хотя... митму ничто не мешает вклиниться в "отключенный" 80-ый порт. Вот вроде был certificate pinning :/ А постоянные редиректы вряд ли прикладным софтом запоминаются.
| | |
| |
| 3.7, Аноним (7), 18:12, 11/12/2023 [^] [^^] [^^^] [ответить]
| +/– |
Нахрена такие извращения? Просто не TLS дропнуть и всё. Я уже много лет в TLS-only режиме. Поначалу с помощью HE, сейчас - нативно. HE правда зря дропнули. Их дэйтасет был полезен для массового автоматического переписывания ссылок в гитхаб-рееозиториях.
| | |
| |
| 4.18, Бывалый смузихлёб (?), 09:44, 12/12/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> дэйтасет
Казалось бы, как можно настолько извратить простое и лаконичное "набор данных" / "база данных" / "база знаний"
| | |
| |
| 5.20, Электрон (?), 09:55, 12/12/2023 [^] [^^] [^^^] [ответить]
| +/– |
Без дэйтасэтов не грести вам деньги дэйтасаентиста. Смузи - прошлое десятилетие.
| | |
|
| 4.19, Электрон (?), 09:54, 12/12/2023 [^] [^^] [^^^] [ответить]
| +/– | |
Я же сам написал почему. Софт сам откатывается с 443 на 80. Ну или как минимум не перехрдит на 443. Значит MITM такое и будет провоцировать. Будь у вас хоть трижды только TLS1.2 включен.
Про HTTPS Everywhere хорошая идея, запомню.
| | |
|
|
| 2.32, Аноним (32), 20:13, 12/12/2023 [^] [^^] [^^^] [ответить]
| +/– |
Вы простите, надеюсь вы меня услышите: что ваше решение - крайность, имхо, что оригинальное "нет хеша? Так просто его не проверяем".
У вас - "просто отрезать возможность https".
В оригинале - "сбилдить во чтобы-то не стало".
То, что вы предлагаете, это, кажется, нынче называется технофашизм? Т.е. "мне пох, как у вас там что, теперь только tls и сношайтесь как хотите". Решение неплохое, строгое... но радикальное.
Кажется, норм дефолтным вариантом было бы "всегда https, всегда проверять хеши, если хешей нет, стопиться". А для тех, кому это не подходит, возможность выставить ключики типа --https-only=false и skip-no-hash=true?
| | |
|
| 1.4, Аноним (4), 16:24, 11/12/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
>пакеты aufs и aufs-util загружались по HTTP и не проверялись по хэшам
>Некоторые пакеты, такие как ядро Linux, U-Boot и versal-firmware, допускали загрузку последних версий, для которых ещё не сформированы проверочные хэши
И как использование безопасных языков поможет боротся с такими уязвимостями?
| | |
| |
| 2.6, Электрон (?), 17:48, 11/12/2023 [^] [^^] [^^^] [ответить]
| +/– |
Безопасных ножей не бывает. Только некоторые их типы чаще соскальзывают, когда не ждешь.
| | |
| 2.8, Alladin (?), 18:33, 11/12/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
Все просто, мы просто перехватим ваш код встроенный в http(образно:) ) и скажем ошибка.
| | |
| 2.10, Аноним (10), 21:45, 11/12/2023 [^] [^^] [^^^] [ответить]
| +/– |
В безопасных языках такое поведение в принципе нормальное и допустимо в тулинге языка. Чтобы было проще и просто работало.
| | |
|
| 1.21, Аноним (14), 09:57, 12/12/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
> позволяющих в ходе перехвата транзитного трафика (MITM) добиться внесения изменений в генерируемые системные образы
а как это происходит - хаекры вычисляют сборщика buildroot, едут к нему из другой страны, нейтрализуют соседей и ждут в их квартире когда он начнёт прошивку собирать чтобы митмить его вафай ? а если он в текущем году не намерен собирать - ворвутся к нему и заставят собирать чтобы помитмить ?
| | |
|
