The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость в ядре Linux, позволяющая обойти ограничения user..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от opennews (??), 22-Ноя-18, 21:04 
В ядре Linux в коде трансляции uid/gid из пространства имён идентификаторов пользователей (user namespace) в основной набор идентификаторов выявлена (https://www.openwall.com/lists/oss-security/2018/11/16/1) уязвимость (https://bugs.chromium.org/p/project-zero/issues/detail?id=1712) (CVE-2018-18955 (https://security-tracker.debian.org/tracker/CVE-2018-18955)), позволяющая непривилегированному пользователю, имеющему полномочия администратора в изолированном контейнере (CAP_SYS_ADMIN), обойти ограничения безопасности и получить доступ к ресурсам вне текущего пространства имён идентификаторов. Например, при использовании общей файловой системы в контейнере и хост-окружении можно через прямое обращение к i-node прочитать содержимое файла /etc/shadow в основном окружении.


Уязвимость вызвана (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin...) ошибкой в ядре 4.15, внесённой в октябре прошлого года, и исправлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin...) в выпусках 4.18.19, 4.19.2 и 4.20-rc2. Проблема присутствует в функции map_write(), определённой в файле kernel/user_namespace.c, и вызвана некорректной обработкой вложенных пространств идентификаторов пользователей, в которых используется более 5 диапазонов UID или GID. В частности, трансляция из пространства идентификаторов в ядре работает корректно, но не выполняется при обратном преобразовании (из ядра в пространство идентификаторов).

Уязвимость присутствует в дистрибутивах, использующих ядро 4.15 и более новые выпуски, например, в Ubuntu 18.04/18.10 (https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2...), Arch Linux (https://security.archlinux.org/) и Fedorа (https://bugzilla.redhat.com/show_bug.cgi?id=1652681) (в (Arch (https://security.archlinux.org/package/linux) и Fedora (https://bodhi.fedoraproject.org/updates/?releases=F28&type=s...)  уже доступно ядро 4.19.2 с исправлением). RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-18955) и SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2018-18955) не подвержены проблеме. В Debian и Red Hat Enterprise Linux поддержка "user namespace" по умолчанию не активирована, но она включена в Ubuntu и Fedora.

URL: https://www.openwall.com/lists/oss-security/2018/11/16/1
Новость: https://www.opennet.ru/opennews/art.shtml?num=49649

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +1 +/
Сообщение от Qwerty (??), 22-Ноя-18, 21:04 
>Уязвимость вызвана ошибкой в ядре 4.15

Но виноваты всё равно контейнеры!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +12 +/
Сообщение от Аноним (2), 22-Ноя-18, 21:14 
Но виноваты все равно корпорации и автор npm leftpad лично!
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +2 +/
Сообщение от .. (?), 22-Ноя-18, 21:24 
Поттеринга забыл же!
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +9 +/
Сообщение от Анонн (?), 22-Ноя-18, 21:45 
> Поттеринга забыл же!

Что, передумали фиксить и вместо этого объявили нот-а-багом?

Хотя то, что фанаты с незамутненной радостью и злорадством вынуждены пояснять "а вот тут Великий не виноват!", говорит уже о многом ))

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

13. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  –5 +/
Сообщение от Аноним (13), 22-Ноя-18, 22:33 
>Но виноваты все равно корпорации

А не так что ли? Классических, понятных ugo rwx с нашлёпкой в виде chroot хватает всем смертным, современные фортеля с правами, контейнерами, изоляциями - это всё поветрия со стороны копрораций.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

14. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от Анонн (?), 22-Ноя-18, 22:41 
> А не так что ли? Классических, понятных ugo rwx с нашлёпкой в
> виде chroot хватает всем смертным, современные фортеля с правами, контейнерами, изоляциями - это всё поветрия со стороны копрораций.

Очевидно же, что это все происки Заклятых Врагов:


man jail
HISTORY
     The jail utility appeared in FreeBSD 4.0. (март 2000г)

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

19. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  –5 +/
Сообщение от Sw00p aka Jerom (?), 22-Ноя-18, 23:25 
джейлы бсдешные тоже не торт, там тоже маппить нужно юиды/гиды, чтобы в топе(в системе) норм видеть а не неизвестные.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

58. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  –1 +/
Сообщение от bOOster (ok), 24-Ноя-18, 15:24 
uid/gid возьми из LDAP и будет тебе счастье где только угодно.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

59. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от Sw00p aka Jerom (?), 24-Ноя-18, 16:03 
> uid/gid возьми из LDAP и будет тебе счастье где только угодно.

ради одного узера в джейле мне лдап наворачивать? легче в самой системе такого же юзера создать

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

47. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +2 +/
Сообщение от нах (?), 23-Ноя-18, 13:52 
одна проблема - jail тоже требует рутовых прав - и не просто так это делает. А иначе будет:
jail: jail_set: Operation not permitted


никакого тебе userns...

Потому что jail - он как раз об изоляции и безопасности, а не о том как уйти от dependency hell путем наворачивания слоев поверх слоев поверх слоев.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

69. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от Sw00p aka Jerom (?), 04-Дек-18, 22:51 
> одна проблема - jail тоже требует рутовых прав - и не просто
> так это делает. А иначе будет:
> jail: jail_set: Operation not permitted
> никакого тебе userns...
> Потому что jail - он как раз об изоляции и безопасности, а
> не о том как уйти от dependency hell путем наворачивания слоев
> поверх слоев поверх слоев.

бесит за столько лет нормальный процесс монтирования и отмонтирования не придумали, крешится джейл процесс, а маунты висят, и хрен запустишь если не отмонтируешь.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

17. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +9 +/
Сообщение от КГБ СССР (?), 22-Ноя-18, 23:04 
Корпораций лишь в том смысле, что это попытка пресловутой экономии на персонале, то есть использовании копченных принесиподаев заместо квалифицированных админов и юзеров. Защита от дурака для дурака, если кратко. Но из этого ничего заведомо не может получиться хорошего, потому что это нарушение принципов юникса (та самая избирательность в выборе друзей, ага). А все такие нарушения ломают его целостность и приводят к предсказуемым последствиям. Не может любая домохозяйка управлять сложной системой, требующей реальных знаний и глубокого понимания. Не получается чуда.

Но корпорации корпорациями, а эти поветрия находят большой энтузиазм в рядах кибервасянов, только что слезших с пальмы. Происходит повсеместно внедрение в защиту того элемента, от которого, собственно, она должна защищать.

Единственное, что можно сказать в качестве резюме по таким случаям — что скупой платит дважды. Нельзя экономить на мозгах. Нельзя нанимать дураков на сложные задачи.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

21. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от Аноним (13), 22-Ноя-18, 23:50 
>Но корпорации корпорациями, а эти поветрия находят большой энтузиазм в рядах кибервасянов

Да, пожалуй, это пострашней будет.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

64. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от Аноним (-), 03-Дек-18, 09:32 
> виде chroot хватает всем смертным,

Проблема только в том что безопасность это если и улучшает то очень маргинально. А если сервис, даже работающий под юзером, ломанут - у него как-то многовато доступа получается в типовой системе.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

22. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  –3 +/
Сообщение от псевдонимус (?), 22-Ноя-18, 23:57 
До чего же дырявы линукс-контейнеры.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

27. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от Онаним (?), 23-Ноя-18, 00:57 
До чего же дырявы контейнеры.
Fixed.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

61. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от Аноним (-), 03-Дек-18, 09:19 
Так чтоб оно дырявым не было - ядро изнавально должно было писаться с учетом таких хотелок. Но кто ж на момент начала написания реально существующих ОС о таком задумывался? А когда это потом сбоку на проволоку и скотч примотано...
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

3. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +3 +/
Сообщение от Аноним (3), 22-Ноя-18, 21:18 
> >Уязвимость вызвана ошибкой в ядре 4.15
> Но виноваты всё равно контейнеры!

Да, эти все "спейсыс" - для контейнеров.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

12. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от Anon9999 (?), 22-Ноя-18, 22:12 
Но виновато всеравно сообщество, которое написало GNU/Linux!
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

16. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от Аноним (16), 22-Ноя-18, 23:02 
Прочитал "мейнтейнеры", в принципе, разницы нет.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

23. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  –1 +/
Сообщение от псевдонимус (?), 23-Ноя-18, 00:00 
Естественно. В линуксе они тот ещё шлак с точки зрения безопасности.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

26. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от Michael Shigorinemail (ok), 23-Ноя-18, 00:54 
> Естественно. В линуксе они тот ещё шлак с точки зрения безопасности.

Контейнеры-то?  Ну сломайте мне ovz.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

28. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  –1 +/
Сообщение от Led (ok), 23-Ноя-18, 01:49 
> Ну сломайте мне ovz >= 4.15

/fixed

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

33. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  –1 +/
Сообщение от Аноним (33), 23-Ноя-18, 05:52 
Мишень - OpenVZ это такое дикое глюкало... его ломать не надо - оно просто падает при определенных нагрузках.
Тем более официально 'stable'  там как г. мамонта - 2.6.32..
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

39. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +2 +/
Сообщение от agent_007 (ok), 23-Ноя-18, 10:27 
OVZ это единственные лiнупс контейнеры, которые работают, несмотря на ряд недостатков.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

43. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от нах (?), 23-Ноя-18, 13:42 
но поскольку совместимость с современным софтом у ядра 2.6 примерно никакая - больше пользы от выноса в этом случае линукса на помойку и установки freebsd. Там возможности внутриджейлового рута хоть как-то ограничены.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

48. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от Michael Shigorinemail (ok), 23-Ноя-18, 13:55 
> но поскольку совместимость с современным софтом у ядра 2.6

В контейнере оно покажется 3.2, помнится.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

49. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от Аноним (49), 23-Ноя-18, 14:46 
что установишь в текстовой строчке - так и будет. хоть 99.01
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

65. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от Аноним (-), 03-Дек-18, 09:33 
> В контейнере оно покажется 3.2, помнится.

Я вам на любом ядре покажу любую цифирь. И чего? Как максимум это позволит программам глючить чаще и больше.

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

53. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +1 +/
Сообщение от agent_007 (ok), 23-Ноя-18, 16:22 
> поскольку совместимость с современным софтом у ядра 2.6 примерно никакая

И с каким "современным софтом" несовместим 2.6.32 из RHEL6 ?


Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

57. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от Аноним (57), 23-Ноя-18, 18:23 
Софт не обращается к ядру напрямую и не видит ядра, софт работает с libc
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

36. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от псевдонимус (?), 23-Ноя-18, 07:47 
Так опенвз постоянно критикуют поклонники продукции рэдхэт, говорят что они не работают с уродливым костылём под названием селинукс. И вообще патчить ядро дозволено только корпорации в красном головном уборе типа "шляпа".
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

44. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от нах (?), 23-Ноя-18, 13:42 
просто у той корпорации это получается, а виртуозы застряли в ядре 2.6

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

50. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +1 +/
Сообщение от Аноним (49), 23-Ноя-18, 14:51 
у vz когда-то тоже получалось, но привычка к закрытию кода, и тот факт что разбежались разработчики (посмотрев кто работал над 2.6.32 и сейчас).
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

52. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  –1 +/
Сообщение от Michael Shigorinemail (ok), 23-Ноя-18, 15:28 
> и тот факт что разбежались разработчики

А это болотников "благодарить" надо -- Монахову мозги проэксплойтили, в итоге потеряли мотор проекта в виде Кирилла.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

63. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от Аноним (-), 03-Дек-18, 09:30 
Да кто им мозги эксплойтил с их менеджментом? Такая уверенность фирмы в том что все будут до упора сношаться с их кастомными ядрами, поддерживаемыми абы как - здорово, конечно, но кроме самой этой фирмы такое "счастье" мало кому надо.

Хостерам как-то проще оказалось на full virt переходить по мере того как гипервизоры становились все быстрее, virtio шел в массы и проч. Так юзеры не трахают мозг саппорту кучей дурных проблем и вообще могут ставить любую ось, за которую сами отвечают. И настраивают сами. Вгружая какие там кому надо модули ядра или что там у них. Без дергания саппортов компании.

А тем кто контейнеры для изоляции своих компонентов применял, кастомное ядро - как нож в спину. Вот для ovz почти и не осталось юзкейсов. Куда его такой красивый в таком виде девать?

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

62. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от Аноним (-), 03-Дек-18, 09:24 
> Контейнеры-то?  Ну сломайте мне ovz.

Погуглите "openvz exploit", чего уж там. Другое дело что бесплатно вам это никто не даст, хакеры тоже видите ли хотят чтобы копание в чужом гуано как-то компенсировалось. Да и если нашару или сильно массово отдать - школьники мигом положат хостинги, админы офигеют, эксплойт очень скоро перестанет работать. И все дружно пролетят.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

5. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +5 +/
Сообщение от Синяя птица (?), 22-Ноя-18, 21:28 
Ну вот опять
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +4 +/
Сообщение от Онвонин Николаевич (?), 22-Ноя-18, 23:49 
Никогда такого не было.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  –1 +/
Сообщение от ананим.orig (?), 22-Ноя-18, 21:30 
> Например, при использовании общей файловой системы

А посему общими должны быть только файло-помойки.

Да! Вот почему в proxmox обновление ядра прилетело.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +1 +/
Сообщение от Аноним (7), 22-Ноя-18, 21:33 
вот эти ребята:
Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>
CC: Serge Hallyn <serge@hallyn.com>
CC: Eric Biederman <ebiederm@xmission.com>
Signed-off-by: Eric W. Biederman <ebiederm@xmission.com>
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +2 +/
Сообщение от Акакжев (?), 23-Ноя-18, 06:39 
> вот эти ребята:
> Signed-off-by: Christian Brauner <christian.brauner@ubuntu.com>

Примечательно, что LTS ветка ядра -- 4.14, а в Ubuntu используют 4.15

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

8. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +1 +/
Сообщение от КГБ СССР (?), 22-Ноя-18, 21:39 
> RHEL и SUSE не подвержены проблеме. В Debian и Red Hat Enterprise Linux поддержка "user namespace" по умолчанию не активирована, но она включена в Ubuntu и Fedora.

Так-то! Выбирай сердцем, голосуй кошельком. :)

Ещё у кого-то есть вопросы про блидинг едж? :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от Аноним (-), 22-Ноя-18, 21:57 
А ничего что в дистрах с отрубленными user namespaces, те же вещи делаются только с правами рута?
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

15. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от КГБ СССР (?), 22-Ноя-18, 22:54 
> А ничего что в дистрах с отрубленными user namespaces, те же вещи
> делаются только с правами рута?

Какие конкретно вещи?

В нормальных юниксах ничего не должно делаться от рута юзером или юзером с повышенными правами. Рута выдают исключительно квалифицированному админу. Обычным юзерам выдали по домашнему каталогу для жизни, и больше ничего в системе им не принадлежит. Это основа основ безопасности любого юникса.

А если вы хотите, чтоб как в Windows 98 было, где всем можно всё, то добро пожаловать в опасный и заманчивый мир увлекательных приключений с регулярной переустановкой всего с нуля.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

32. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +2 +/
Сообщение от Orduemail (ok), 23-Ноя-18, 04:11 
> В нормальных юниксах ничего не должно делаться от рута юзером или юзером с повышенными правами. Рута выдают исключительно квалифицированному админу.

Это всё влажные мечты. Да было бы круто, если бы к каждому пользователю убунты приставили бы по квалифицированному админу, с поиском работы у васянов проблем бы не было. Но это всё влажные мечты, потому что при таких требованиях к unix'у, этот ваш unix никому не будет нужен. То есть ты всё равно останешься невостребованным на рынке труда.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

41. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от OS2 (?), 23-Ноя-18, 13:21 
То есть, то что кибервасяны-сантехники, переодически ходят и починяют пользовательские Windows/MacOS это как бы нормально?
С общепринятой точки зрения, наверное нет особой разницы, хотя если сбылась бы мечта Стива Джобса, то PC не нужен. Все в гаджете под названием ipad/iphone, который вам не принадлежит.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

45. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от нах (?), 23-Ноя-18, 13:44 
да мы и линуксы ТАК починить могем - reboot/install/next/next/format - yes!/ok!

и, в принципе-то, любой васян справится. (какой еще архив любимого котика - ты чего, как лох, его не в облаке хранил?)

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

66. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от Аноним (66), 03-Дек-18, 09:36 
> да мы и линуксы ТАК починить могем - reboot/install/next/next/format - yes!/ok!

Да нет там никакого next и формата как такового. Придет автоматическая система деплоймента, вкатит данные на диск и уберется восвояси. Так что никто ничего не кликает даже. Когда машин много, клацать next на каждой из них - много чести.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

31. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от annual slayer (?), 23-Ноя-18, 03:49 
> Ещё у кого-то есть вопросы про блидинг едж? :)

(в Arch и Fedora уже доступно ядро 4.19.2 с исправлением)

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

46. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +1 +/
Сообщение от нах (?), 23-Ноя-18, 13:45 
а что именно в нем нового поломали - владельцы узнают немного позже.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

10. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  –2 +/
Сообщение от Аноним (10), 22-Ноя-18, 21:49 
Если ваши контейнеры которые имеют доступ в сеть имеют флаг cap_sys_admin это уже проблема в голове.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от mimocrocodile (?), 23-Ноя-18, 00:07 
Весь смысл контейнеров, чтобы иметь изолированный root
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

25. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от Аноним (10), 23-Ноя-18, 00:37 
cap_sys_admin это уже деизоляция.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

67. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от Аноним (66), 03-Дек-18, 09:37 
> cap_sys_admin это уже деизоляция.

Это по задумке фэйковый рут. Карманный. Имеющий полномочия только в своем загончике.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

18. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  –1 +/
Сообщение от Michael Shigorinemail (ok), 22-Ноя-18, 23:11 
> userns

Следующий!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

42. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +1 +/
Сообщение от нах (?), 23-Ноя-18, 13:39 
а пока ты просто даешь рута основной системы всем, кому нужно банально запустить что-то в контейнере?

Ну продолжайте, продолжайте...

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

51. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от Аноним (49), 23-Ноя-18, 14:52 
sudo с привязкой к паре юзер - прикладуха ?
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

60. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +1 +/
Сообщение от angra (ok), 26-Ноя-18, 05:31 
Это типа лечения подорожником. Применять можно только по причине невежества.
Приложения в своей работе обычно читают и пишут файлы. Путем всяких хитрых манипуляций их можно заставить читать и писать совсем не те файлы, на которые рассчитывал дающий sudo.
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

68. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +/
Сообщение от Аноним (66), 03-Дек-18, 09:38 
> sudo с привязкой к паре юзер - прикладуха ?

И в результате этот юзер потом сможет сисколами по всей системе шариться, в основном namespace. Делая многовато лишнего.

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

56. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  –2 +/
Сообщение от Анонимemail (56), 23-Ноя-18, 17:19 
Глупый живящий в собственном коде.
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

35. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +3 +/
Сообщение от Пользователь (?), 23-Ноя-18, 06:41 
Только разработчики ядра добавляют бэкдор и тут же их планы раскрывают..
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

40. "Уязвимость в ядре Linux, позволяющая обойти ограничения user..."  +2 +/
Сообщение от Аноним (40), 23-Ноя-18, 10:35 
Ну тут одно из двух, либо ошибка в ядре, либо манифест приличного поведения института благородных девиц.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру