forum.opennet.ru

Составление сообщения

Исходное сообщение

"Выпуск системного менеджера systemd 241"
Отправлено opennews, 14-Фев-19 17:58

Опубликован (https://lists.freedesktop.org/archives/systemd-devel/2019-Fe...) релиз системного менеджера systemd 241 (http://www.freedesktop.org/software/systemd/), в котором устранены  ранее выявленные уязвимости (https://www.opennet.ru/opennews/art.shtml?num=49931) в systemd-journald, позволяющие непривилегированному локальному пользователю получить права root. Для защиты от эксплуатации уязвимостей в  systemd-journald и systemd-journal-remote теперь отбрасываются записи со слишком большим числом полей и установлены лимиты на размер данных командной строки.

Среди других изменений в systemd 241:
-  Включены по умолчанию sysctl fs.protected_regular и fs.protected_fifos, реализованные в ядре Linux 4.19 и запрещающие в каталогах с флагом sticky (например, /tmp) открытия чужих FIFO-каналов или файлов с флагом O_CREAT (т.е. только владелец может пересоздать свои FIFO и файлы). Активация указанных sysctl позволяет блокировать атаки, в которых злоумышленник создаёт в /tmp подставной fifo или файл, используемый другим процессом. Для отключения в
/etc/sysctl.d/60-protected.conf  следует изменить значения              fs.protected_regular  и  fs.protected_fifos на "0";
-  В link-файлах реализован новый режим наименования сетевых устройств (NamePolicy) - "keep", который указан по умолчанию в файле 99-default.link (запасной набор настроек). Указанный режим добавлен для решения проблемы (https://www.opennet.ru/opennews/art.shtml?num=49969) с изменением логики переименования сетевых интерфейсов из-за регрессивного изменения в systemd 240. При использовании режима "keep"  или при обнаружении версии настроек (naming-scheme) меньше 240 будет сохранено старое поведение, при котором  уже установленные в пространстве пользователя имена (например, через опцию NAME в правилах udev) не будут переименовываться на автоматически сгенерированные;
-  Реализована возможность настройки выставляемой по умолчанию локали на этапе компиляции. Если не менять настройки локаль по умолчанию будет выбрана автоматически (C.UTF-8, en_US.UTF-8 или C);
-  Строка с номером версии, показываемая systemd  и другими утилитами, при сборке из Git теперь включает хэш коммита. При сборке данное поведение можно переопределить и использовать в номере версии, например, версию пакета из репозитория дистрибутива;
-  В утилиту systemd-cat добавлена поддержка фильтрации стандартного ввода (STDIN) и стандартного вывода ошибок (STDERR) на основании уровня приоритета syslog ("--stderr-priority");
-  В pam_systemd обеспечено выставление переменной окружения DBUS_SESSION_BUS_ADDRESS;
-  Из сборочных опций убран флаг "-fPIE", для сборки исполняемых файлов в режиме PIE следует использовать в сборочной системе meson  параметр "-Db_pie=true";
-  В процессе чтения файлов, указанных в настройке EnvironmentFile unit-файлов, внутри текста в кавычках теперь обрабатываются обратные слэши, в соответствии с поведением  POSIX shell;
-  Команды "udevadm trigger", "udevadm control", "udevadm settle" и "udevadm monitor" теперь автоматически определяют запуск в chroot-окружении и не выполняют в этом случае никаких действий;
-  Строки с флагом "C" в tmpfiles.d/ теперь копируют дерево каталогов не только когда целевой каталог отсутствует, но и когда целевой каталог существует, но не содержит файлов или вложенных каталогов;
-  В команду "udevadm control" добавлена опция "--ping" для проверки запуска и работоспособности процесса systemd-udevd.
URL: https://lists.freedesktop.org/archives/systemd-devel/2019-Fe...
Новость: https://www.opennet.ru/opennews/art.shtml?num=50147

Исходное сообщение
"Выпуск системного менеджера systemd 241" Отправлено opennews, 14-Фев-19 17:58
Опубликован (https://lists.freedesktop.org/archives/systemd-devel/2019-Fe...) релиз системного менеджера systemd 241 (http://www.freedesktop.org/software/systemd/), в котором устранены ранее выявленные уязвимости (https://www.opennet.ru/opennews/art.shtml?num=49931) в systemd-journald, позволяющие непривилегированному локальному пользователю получить права root. Для защиты от эксплуатации уязвимостей в systemd-journald и systemd-journal-remote теперь отбрасываются записи со слишком большим числом полей и установлены лимиты на размер данных командной строки. Среди других изменений в systemd 241: - Включены по умолчанию sysctl fs.protected_regular и fs.protected_fifos, реализованные в ядре Linux 4.19 и запрещающие в каталогах с флагом sticky (например, /tmp) открытия чужих FIFO-каналов или файлов с флагом O_CREAT (т.е. только владелец может пересоздать свои FIFO и файлы). Активация указанных sysctl позволяет блокировать атаки, в которых злоумышленник создаёт в /tmp подставной fifo или файл, используемый другим процессом. Для отключения в /etc/sysctl.d/60-protected.conf следует изменить значения fs.protected_regular и fs.protected_fifos на "0"; - В link-файлах реализован новый режим наименования сетевых устройств (NamePolicy) - "keep", который указан по умолчанию в файле 99-default.link (запасной набор настроек). Указанный режим добавлен для решения проблемы (https://www.opennet.ru/opennews/art.shtml?num=49969) с изменением логики переименования сетевых интерфейсов из-за регрессивного изменения в systemd 240. При использовании режима "keep" или при обнаружении версии настроек (naming-scheme) меньше 240 будет сохранено старое поведение, при котором уже установленные в пространстве пользователя имена (например, через опцию NAME в правилах udev) не будут переименовываться на автоматически сгенерированные; - Реализована возможность настройки выставляемой по умолчанию локали на этапе компиляции. Если не менять настройки локаль по умолчанию будет выбрана автоматически (C.UTF-8, en_US.UTF-8 или C); - Строка с номером версии, показываемая systemd и другими утилитами, при сборке из Git теперь включает хэш коммита. При сборке данное поведение можно переопределить и использовать в номере версии, например, версию пакета из репозитория дистрибутива; - В утилиту systemd-cat добавлена поддержка фильтрации стандартного ввода (STDIN) и стандартного вывода ошибок (STDERR) на основании уровня приоритета syslog ("--stderr-priority"); - В pam_systemd обеспечено выставление переменной окружения DBUS_SESSION_BUS_ADDRESS; - Из сборочных опций убран флаг "-fPIE", для сборки исполняемых файлов в режиме PIE следует использовать в сборочной системе meson параметр "-Db_pie=true"; - В процессе чтения файлов, указанных в настройке EnvironmentFile unit-файлов, внутри текста в кавычках теперь обрабатываются обратные слэши, в соответствии с поведением POSIX shell; - Команды "udevadm trigger", "udevadm control", "udevadm settle" и "udevadm monitor" теперь автоматически определяют запуск в chroot-окружении и не выполняют в этом случае никаких действий; - Строки с флагом "C" в tmpfiles.d/ теперь копируют дерево каталогов не только когда целевой каталог отсутствует, но и когда целевой каталог существует, но не содержит файлов или вложенных каталогов; - В команду "udevadm control" добавлена опция "--ping" для проверки запуска и работоспособности процесса systemd-udevd. URL: https://lists.freedesktop.org/archives/systemd-devel/2019-Fe... Новость: https://www.opennet.ru/opennews/art.shtml?num=50147

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Опубликован (https://lists.freedesktop.org/archives/systemd-devel/2019-February/042169.html) 
> релиз системного менеджера systemd 241 (http://www.freedesktop.org/software/systemd/), 
> в котором устранены  ранее выявленные уязвимости (https://www.opennet.ru/opennews/art.shtml?num=49931) 
> в systemd-journald, позволяющие непривилегированному локальному пользователю получить 
> права root. Для защиты от эксплуатации уязвимостей в  systemd-journald и 
> systemd-journal-remote теперь отбрасываются записи со слишком большим числом полей и установлены 
> лимиты на размер данных командной строки.

> Среди других изменений в systemd 241:

> -  Включены по умолчанию sysctl fs.protected_regular и fs.protected_fifos, реализованные 
> в ядре Linux 4.19 и запрещающие в каталогах с флагом sticky 
> (например, /tmp) открытия чужих FIFO-каналов или файлов с флагом O_CREAT (т.е. 
> только владелец может пересоздать свои FIFO и файлы). Активация указанных sysctl 
> позволяет блокировать атаки, в которых злоумышленник создаёт в /tmp подставной fifo 
> или файл, используемый другим процессом. Для отключения в 
> /etc/sysctl.d/60-protected.conf  следует изменить значения        
>       fs.protected_regular  и  fs.protected_fifos 
> на "0";

> -  В link-файлах реализован новый режим наименования сетевых устройств (NamePolicy) - 
> "keep", который указан по умолчанию в файле 99-default.link (запасной набор настроек). 
> Указанный режим добавлен для решения проблемы (https://www.opennet.ru/opennews/art.shtml?num=49969) 
> с изменением логики переименования сетевых интерфейсов из-за регрессивного изменения 
> в systemd 240. При использовании режима "keep"  или при обнаружении 
> версии настроек (naming-scheme) меньше 240 будет сохранено старое поведение, при котором 
>  уже установленные в пространстве пользователя имена (например, через опцию NAME 
> в правилах udev) не будут переименовываться на автоматически сгенерированные;

> -  Реализована возможность настройки выставляемой по умолчанию локали на этапе компиляции. 
> Если не менять настройки локаль по умолчанию будет выбрана автоматически (C.UTF-8, 
> en_US.UTF-8 или C);

> -  Строка с номером версии, показываемая systemd  и другими утилитами, 
> при сборке из Git теперь включает хэш коммита. При сборке данное 
> поведение можно переопределить и использовать в номере версии, например, версию пакета 
> из репозитория дистрибутива;

> -  В утилиту systemd-cat добавлена поддержка фильтрации стандартного ввода (STDIN) и 
> стандартного вывода ошибок (STDERR) на основании уровня приоритета syslog ("--stderr-priority");

> -  В pam_systemd обеспечено выставление переменной окружения DBUS_SESSION_BUS_ADDRESS;

> -  Из сборочных опций убран флаг "-fPIE", для сборки исполняемых файлов 
> в режиме PIE следует использовать в сборочной системе meson  параметр 
> "-Db_pie=true";

> -  В процессе чтения файлов, указанных в настройке EnvironmentFile unit-файлов, внутри 
> текста в кавычках теперь обрабатываются обратные слэши, в соответствии с поведением 
>  POSIX shell;

> -  Команды "udevadm trigger", "udevadm control", "udevadm settle" и "udevadm monitor" 
> теперь автоматически определяют запуск в chroot-окружении и не выполняют в этом 
> случае никаких действий;

> -  Строки с флагом "C" в tmpfiles.d/ теперь копируют дерево каталогов 
> не только когда целевой каталог отсутствует, но и когда целевой каталог 
> существует, но не содержит файлов или вложенных каталогов;

> -  В команду "udevadm control" добавлена опция "--ping" для проверки запуска 
> и работоспособности процесса systemd-udevd.

> URL: https://lists.freedesktop.org/archives/systemd-devel/2019-February/042169.html 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=50147

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру