Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываемом в Linux-окружениях Microsoft Azure"	+/–
Сообщение от opennews (??), 17-Сен-21, 10:23
Клиенты облачной платформы Microsoft Azure, использующие Linux в виртуальных машинах, столкнулись с  критической уязвимостью (CVE-2021-38647), позволяющей удалённо выполнить  код с правами root. Уязвимость получила кодовое имя OMIGOD и  примечательна тем, что проблема присутствует в приложении OMI Agent, которое без лишней огласки устанавливается в Linux-окружения... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55813
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от banan (??), 17-Сен-21, 10:23	+28 +/–
Невообразимо детский косяк вкупе с принудиловом. Если и это ничему ажуроводов не научит (спойлер: должно научить не пользоваться azure и иже с ним) - то я даже не знаю.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #39, #78, #104

2. Сообщение от beduin747 (ok), 17-Сен-21, 10:24	+25 +/–
Лишнее доказательство того, что MS близко к линуху подпускать нельзя.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #61

3. Сообщение от InuYasha (??), 17-Сен-21, 10:25	–1 +/–
> но оно ещё не доведено до пользователей Microsoft Azure да... у них же, вроде, принято обновления выкатывать по четвергам, что-ли > Автообновление агента не поддерживается обычно это как раз хорошо, имхо. А то без ведома багов насуют... как npm какой-нибудь.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15

4. Сообщение от iPony129412 (?), 17-Сен-21, 10:28	+9 +/–
Если там критерием оценивать, кого нельзя к линуксам подпускать, то думаю, что будет пустое поле.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #5

5. Сообщение от Отпетый Виндузятник (?), 17-Сен-21, 10:31	+/–
в точку, поня, но местным (с красными глазами) адептам сабжа такое лучше в лоб не говорить, ибо ребята обидчивые до крайности
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #12

6. Сообщение от lockywolf (ok), 17-Сен-21, 10:33	–5 +/–
У кого-нибудь готовый эксплоит есть? Хочу помайнить битка на целом огромном облачном провайдере, но возиться с деталями уязвимости лениво.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #73

7. Сообщение от kissmyass (?), 17-Сен-21, 10:33	+11 +/–
дебилы должны страдать, пусть пользуются, за счет таких покемонов мы получили net core под линуху, и даже mono начала импортировать исходники оттуда
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

8. Сообщение от Аноним (8), 17-Сен-21, 10:34	+10 +/–
> Суть уязвимости в том, что при удалении в сообщении заголовка "Authentication", отвечающего за аутентификацию, сервер считает прохождение проверки успешной, принимает управляющее сообщение и допускает выполнение команд с правами root. В Microsoft работают профессионалы своего дела. Просто их профессия не компьютерная безопасность.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31

9. Сообщение от Аноним (9), 17-Сен-21, 10:36	+/–
ммм, вкусна
Ответить | Правка | Наверх | Cообщить модератору

10. Сообщение от Аноним (19), 17-Сен-21, 10:38	+/–
Ажур итак создает для каждой новой виртуалки нетворк секурити групп в которой только несколько портов открыты типа ssh http/https все остальные порты надо руками открывать.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #33

11. Сообщение от Аноним (19), 17-Сен-21, 10:39	+5 +/–
Новость почитай если ты там ничего не нашел тебе не надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #16

12. Сообщение от Аноним (12), 17-Сен-21, 10:40	+2 +/–
один ты в белом пальто стоишь красивый?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #13, #19

13. Сообщение от Аноним (13), 17-Сен-21, 10:48	+1 +/–
Нет, их там двое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

14. Сообщение от пох. (?), 17-Сен-21, 10:57	–1 +/–
Судя по тому что Shodan их нашло - ЭТУ часть работы бангалорский коллектив msовских подрядчиков выполнил не на от...сь, и при установке OMI, эти самые порты открываются автоматически (логично, как ms должна получать туда доступ) Хотя, конечно, всегда остается вероятность, что эти пятнадцать тыщ - имени васянов, скопипастивших с серверфолта нужную и полезную инструкцию установки чего-то, написанного на безопастных язычках, начинающуюся с пункта "отключаем нахрен всю нетворк секьюрить - мы так и не научились разрешать в ней наш единственный порт".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #18

15. Сообщение от Fluttershy (?), 17-Сен-21, 10:59	+3 +/–
Так они уже этот OMI засунули, че терять-то
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

16. Сообщение от васян (?), 17-Сен-21, 11:01	–4 +/–
Я запустил то что в новости - оно сперва повисло на пять минут, а потом наплевало мне в консоль какие-то ашипка про команда не команда. А где же эксплойт?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

17. Сообщение от Рева RarogCmex Денис (?), 17-Сен-21, 11:02	+2 +/–
Название уязвимости OMIGOD --созвучное с Oh my god! -- убило меня наповал
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #41

18. Сообщение от Аноним (19), 17-Сен-21, 11:06	+/–
Они доступны внутри ажура внутри виртуальной сети. По крайней мере я доступ снаружи получить не могу. Если его явно не открыть.   Единственный вектор если у тебя есть ограниченный доступ до дев окружения и ты решил загадить прод к которому у тебя нет доступа, например своему работадателю/закзчику. Например через CI, но тут уже работодатель может против тебя применить социнженерию)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #20

19. Сообщение от Аноним (19), 17-Сен-21, 11:08	+/–
Ты хотел быть третьим?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #81

20. Сообщение от пох. (?), 17-Сен-21, 11:13	–1 +/–
> Они доступны внутри ажура внутри виртуальной сети. а как туда automation попадет? Он же не внутри твоей сети, он где-то на своих виртуалках ms крутится. > Если его явно не открыть. ну вон те 15 тыщ лошар - справились с задачей. Кстати, действительно, немного их, в тех масштабах. У остальных либо не получилось открыть, либо пожадничали заплатить за сервис.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #23

21. Сообщение от Аноним (21), 17-Сен-21, 11:16	+1 +/–
> Проблема усугубляется тем, что в Azure явно не документировано применение OMI и OMI Agent устанавливается без предупреждения Только не рассказывайте им про ssm агента в aws, а то у нас там вся инфра хостится)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26

22. Сообщение от Аноним (22), 17-Сен-21, 11:24	+1 +/–
Ну чтож, M$ по своему рукоjobству даже свои сервисы с линуксами умудрились сделать дырявыми. Вот только, случайно ли?!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25

23. Сообщение от Аноним (19), 17-Сен-21, 11:25	+/–
У Ажура много разных севрисов, помимо простых виртуалок как у всех. Есть например ML, который тоже что-то создает но что там по умолчанию открыто а что закрыто  не понятно. Или у того же кубера, если кто руками поднимал, может быть затык и все работает только когда все порты открыты. Да много сочетанию можно придумать. Но например в самой простом сетапе виртуалки и база созданные по умолчанию все относительно секурно выглядит снаружи. Но обновится конечно же не помешает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

24. Сообщение от eugener (ok), 17-Сен-21, 11:26	+1 +/–
> выполнить обновление пакета вручную, используя команды "dpkg -l omi" -l же просто выводит список пакетов по шаблону?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28, #29

25. Сообщение от Аноним (19), 17-Сен-21, 11:27	+/–
Да чтож вы всё вокруг да около-то, а? Да на Rust надо было писать этот OMI и все было бы безопасно, а не как тут. Rust спасает от любых уязвимостей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #27, #47

26. Сообщение от Sw00p aka Jerom (?), 17-Сен-21, 11:31	–1 +/–
выпилить к чертям
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

27. Сообщение от пох. (?), 17-Сен-21, 11:54	–1 +/–
> Rust спасает от любых уязвимостей. Нет кода - нет уязвимостей. К сожалению, индусу из microsoft за это всыпали бы плетей, пришлось писать на том, на чем можно написать. Интересно, на питоне или на питоне?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

28. Сообщение от пох. (?), 17-Сен-21, 11:56	+3 +/–
а rpm -qa как думаешь, что делает? ;-) Ну не умеет мсовский индус в пакеты. Его в секьюрити тим по просьбе брата взяли - а вчера еще глину месил.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #30, #44

29. Сообщение от Михрютка (ok), 17-Сен-21, 11:59	+/–
как и rpm -qa это надмакс видимо что-то напутал, возможно, имелось в виду - проверить, установлен ли пакет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

30. Сообщение от Михрютка (ok), 17-Сен-21, 12:03	–1 +/–
да нет, индус как раз не ошибся deepakjain111 released this Sep 8, 2021 Installation examples: Ubuntu 16.04, x64: sudo dpkg -i ./omi-1.6.8-1.ssl_100.ulinux.x64.deb Red Hat Enterprise Linux, Oracle Linux, or CentOS 6/7, x64: sudo rpm -Uvh ./omi-1.6.8-1.ssl_100.ulinux.x64.rpm видимо, испорченный телефон сработал
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #35

31. Сообщение от Аноним12345 (?), 17-Сен-21, 12:16	+/–
там работают индусы
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #42

32. Сообщение от Аноним (32), 17-Сен-21, 12:21	+2 +/–
Всем бэкдорам бэкдор! МС король бэкдоров.
Ответить | Правка | Наверх | Cообщить модератору

33. Сообщение от InuYasha (??), 17-Сен-21, 12:27	+/–
> Ажур Азура! Трибунала на вас нет...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #58, #103

34. Сообщение от Diozan (ok), 17-Сен-21, 12:28	+1 +/–
Девиз Майкрософт: "Перенесём все свои баги в Линукс"
Ответить | Правка | Наверх | Cообщить модератору

35. Сообщение от пох. (?), 17-Сен-21, 12:29	–1 +/–
Мож, поправился уже? Он же тоже умеет пользоваться поиском по серверфолту. > видимо, испорченный телефон сработал ненене - -i/-l могло быть опечаткой, но с rpm это выстрел в упор из эскопеты с загнутым по кругу стволом - такое никакой опечаткой не объяснишь. Это явные следы поиска бингом "эквивалент dpkg -l в rpm". И нашел что искал ;-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #40

36. Сообщение от Аноним (36), 17-Сен-21, 12:33	+1 +/–
Майкрософт теперь поглотит линукс и будет только BSD
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #51, #69, #74

37. Сообщение от Жироватт (ok), 17-Сен-21, 12:35	+/–
Ребята, ребята, РЕБЯ-Я-Я-ЯТЫ! Я знаю, что нужно зделоть! Нужно во все эти окружения срочно установить микрософт сесурити эссентиалз, кловунд протектион от касперского и линуксовского дохтырь веба!
Ответить | Правка | Наверх | Cообщить модератору

38. Сообщение от Аноним (38), 17-Сен-21, 12:37	–4 +/–
И вот никаких бы проблем с велосипедами MS бы не было, если бы Linux поддерживал стандарты DMTF на уровне ОС! Есть международный принятый стандарт удалённого управления https://www.dmtf.org/standards/ws-man В идеале было бы не плохо поддерживать WBEM целиком, но нативный WS-MAN решил бы кучу проблем, учитывая, сколько всего надо реализовать, чтобы он появился. Я в своё время объяснял тут, что есть 2 подхода к конфигурированию: 1. Конфигурация на основе документов 2. Конфигурация на основе API Linux не поддерживает второй способ, и куча олбачных девляпсов костылят API поверх оболочки и конфигурационных файлов. Причем чаще всего свое собственное велосипедное вонючее RESTfull API, которое для решения задач удаленного управления не подходит (там всё stateful по определению). Самые сказочные ставят оркестраторы вроде Ansible и Puppet для задач удаленного управления (вместо задач CD, для которых они созданы). Вот что мешает объявить реестр CIM-классов на базе того же самого systemd? Религия. А что мешает эти же самые интерфейсы или их реализации прикручивать к шине IPC/RPC? Безграмотность. Просто когда пользователи ОС, как адепты карго-культа молятся на "юниксвей" (в юниксах родились реестры), на KISS (который как раз и проявляется в компонентном разделении), на POSIX (с его тредами, локалями и отсутсвием нормального управления памятью, зато есть унылый fork) не понимают что это за технологии и мечтают о шине данных, лучшее на что они могут надеяться это dbus и скрипты для переконфигурирования конфигураций к другим скриптам. Просто если взять 100 конфигов и написать скрипт на баше, который там что-то меняет, и дёрнуть его через ssh, это не конфигурирование через API. И если переписать скрипт на python и дёргать через ansible, то это тоже ничего не меняет. Важно понимать, что с какими бы плюсами не обладали бы конфигурационные файлы, задач требующих API это никогда не отменит. Иронично, что именно MS своими дырявыми костылями решает одну из самых главных проблем unix-like операционных систем - невменяемое конфигурирование, пока уга-буги прыгают с бубном и призывают венде-капец.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #43, #62, #80, #105

39. Сообщение от Жироватт (ok), 17-Сен-21, 12:38	+3 +/–
Microsoft, Microsoft newer changes. Только раньше у них были последние остатки вымирающего племени Крутых Кодунов - единственных оставшихся в живых представителей древней, невероятно развитой цивилизации - типа Руссиновича, но сейчас инклюзивность, трахопопсть и феминпавер убили и тех немногих, кто знал, за какую сторону брать дебаггер...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #45

40. Сообщение от Михрютка (ok), 17-Сен-21, 12:39	+/–
хех как ни странно это оказались авторы эксплоета :) https://github.com/horizon3ai/CVE-2021-38647 Mitigations Update and ensure the OMI agent is at version 1.6.8.1.     For Debian systems (e.g., Ubuntu): dpkg -l omi     For Redhat based system (e.g., Fedora, CentOS, RHEL): rpm -qa omi видимо все же имели в виду, как проверить версию пакета. остальные пали жертвой копипаста
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

41. Сообщение от Аноним (41), 17-Сен-21, 12:39	+/–
https://www.urbandictionary.com/define.php?term=omigod
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

42. Сообщение от OpenEcho (?), 17-Сен-21, 12:40	+/–
О, белая кость подтянулась... Ну, куда им до тебя с твоим более известным и популярным БольшеСовтом!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

43. Сообщение от Жироватт (ok), 17-Сен-21, 12:50	+1 +/–
Все вы такие крутые на опеннете. Да, и ты тоже. Вот только простые вопросы до сих пор без ответа. - Почему нет до сих пор нативной реализации в ядре или околоядерном софте, хотя проблема (с точки зрения девляпса) давно назрели и надо её срочно-срочно вилкой решать? - Почему сообщество не хочет пилить забесплатно девляпсам NIH-аналог WMI забесплатно? - Почему редхат, интел и иже с ними не хотят пилить забесплатно девляпсам NIH-аналог WMI забесплатно, удовлетворяясь декларативными конфигами? - Почему ни один девляпс так и не поднял свою попу от стула и не сделал свой WMI, сБиШ, кой по их заверениям оторвут с руками и ногами все? - Почему ты пишешь это тут, а не в рассылке перед Торвальдсом, девляпс?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #55, #57

44. Сообщение от Михрютка (ok), 17-Сен-21, 12:52	+/–
не, в секьюрити по просьбе брата, по-моему, вот эту взяли https://twitter.com/GossiTheDog/status/1437898118310268930/p...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #48

45. Сообщение от Timoteo Cirkla (ok), 17-Сен-21, 12:54	+4 +/–
Но вы же понимаете, что в не том дело. Проблема в том, что во всех крупных бизнесах всё решают манагеры и продаваны-маркетолухи. Тут хоть кто работать будет, продукт всё равно каждый раз сырым будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #56

47. Сообщение от Аноним (-), 17-Сен-21, 12:57	+1 +/–
> Да чтож вы всё вокруг да около-то, а? Да на Rust надо  было писать этот OMI и все было бы безопасно, а не как тут. Rust спасает от любых уязвимостей. Опять клоу^W Бойцам Опеннетного Анти-Растового Сопротивления злобные растоманы тайком, ночью, одно место горчицей намазали?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

48. Сообщение от пох. (?), 17-Сен-21, 13:00	+/–
ЭТО взяли по квоте для lgbtq и альтернативно-одаренных (сразу две вакансии заполнили). Жаль Макс не осилил это запилить вместо новости. Видосик ему пришлите, как хакать. А то без видосика оно не могетъ. А ведь наезжали на ms что они не френдли и вообще квот не соблюдают...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #49

49. Сообщение от Михрютка (ok), 17-Сен-21, 13:05	+/–
> Видосик ему пришлите, как хакать. А то без видосика оно не могетъ. может, у них там в Индии обычаи такие, откуда я знаю. нашел LPE - спой и станцуй об этом на камеру, видео зашли в секьюрити тим.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

50. Сообщение от Аноним (50), 17-Сен-21, 13:06	+1 +/–
Белогривые лошадки...
Ответить | Правка | Наверх | Cообщить модератору

51. Сообщение от Аноним (-), 17-Сен-21, 13:07	+1 +/–
> Майкрософт теперь поглотит линукс и будет только BSD Ты бздун или макаковод? Как! Ты! Вообще! Смеешь! Думать такое о Платиновом Партнере! Да еще и упоминать этих проприетарных подстилок, довольствующихся объедками со стола проприерасов и Божественный Пингвин, где нужно очень постараться, правильно кланяясь и исправляя colour в течении года, чтобы твой код, возможно, приняли в ядро (если ты не Платиновый Партнер конешно, тогда все будет сразу и без очереди, но это другое! Да и вообще, самба в ядре - нужнейшая вещь!)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

52. Сообщение от Аноним (52), 17-Сен-21, 13:15	+/–
rm -rf /* будет у буратин...
Ответить | Правка | Наверх | Cообщить модератору

53. Сообщение от Аноним (53), 17-Сен-21, 13:17	+/–
Это выбор каждого употреблять с лопаты или как-то самому обходится. Соглашаясь быть подопечным - соглашаешся на шалости и хотелки опекуна.
Ответить | Правка | Наверх | Cообщить модератору

55. Сообщение от пох. (?), 17-Сен-21, 13:24	–1 +/–
> Почему нет до сих пор нативной реализации в ядре или околоядерном софте бть, ну зачем ты им подсказываешь?! Так - проблема только в системах на ms'овском хостинге, причем в специальной сложной позе и надо еще постараться ручками поотключать все дополнительные защиты. А вляпают такой бэкдор в системду и еще небольшой интерфейсик со стороны ведра - во-первых, ну чтоб тебе не надо было помнить про исключить порты в файрволе мы все-все-все сделаем за тебя, во-вторых это же просто хорошо и правильно, когда система не загружается потому что у тебя недостаточно модная версия systemd! (Наоборот-то уже было, неинтересно.) Надо ведь заставлять луддитов выкидывать устаревшее г-но и обмазываться свеженьким! Ты бы хоть не забыл посоветовать непременно на безопастном хрусте разработать - тогда еще угроза была бы минимальна.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

56. Сообщение от пох. (?), 17-Сен-21, 13:28	–1 +/–
Проблема именно в том, что в таком месте где все решают маркетолухи - только "хотькто" и будут работать. Вон там внизу ссылочка на твиттер со скриншотиками "работы". И ведь можно быть увереным, что макаку не выпороли и обратно содить рис по колено в навозе с пиявками не загнали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #67

57. Сообщение от Аноним (38), 17-Сен-21, 13:54	+1 +/–
> Почему нет до сих пор нативной реализации в ядре или околоядерном софте, хотя проблема (с точки зрения девляпса) давно назрели и надо её срочно-срочно вилкой решать? Потому что в корпоративном сегменте, где всё это нужно есть решения от Red Hat, которые нужно купить и всё делать через них. И не забыть купить их доп. саппорт, потому что заморочишься отлавливать подводные камни заботливо расставленные в их решениях. Покупайте RHEV, OpenShift и OpenStack со вкусом Red Hat. > Почему сообщество не хочет пилить забесплатно девляпсам NIH-аналог WMI забесплатно? Потому что карго культ и неграмотность. Ты тому пример. WMI - это windows-реализация группы открытых стандартов, которые используются в другом софте и железе. NIH (not invented here) это изобретение велосипеда, который уже есть, а в Linux нет ни своего велосипеда по WBEM, ни вендовый портировать нельзя, потому что он даёт управление над компонентами венды... это другая ОС. > Почему редхат, интел и иже с ними не хотят пилить забесплатно девляпсам NIH-аналог WMI забесплатно, удовлетворяясь декларативными конфигами? У интела в есть Intel ME и Intel AMT зачем им упралялка на линукс, а про платные костыли Red Hat я писал выше. А еще у Red Hat есть systemd, который с этой точки зрения - монолитный ящик, который никакого API управления никому толком не даёт и в лучшем случае часть себя в dbus объявляет. > Почему ни один девляпс так и не поднял свою попу от стула и не сделал свой WMI, сБиШ, кой по их заверениям оторвут с руками и ногами все? Потому что это инфраструктурное решение, для которого нужно быть чуть более чем питонописателем REST-сервисов. Тонну системного софта, которое заточено на оболочку и текстовый конфиг нужно дополнить функционалом. Это MS не может себе позволить, поэтому и пилит сущий костыль, про баги которого рассказывает новость. > Почему ты пишешь это тут, а не в рассылке перед Торвальдсом, девляпс? Потому что: 1. Опеннет - это рассадник глупых комментаторов, которые религиозно верят в пришествие капеца, верят в превосходство одной ОС над другой и понятия не имеют, что и зачем нужно. Тут эта информация нужнее. 2. Потому что Торвальдс - это не по адресу. Торвальдс - это человек который занимается ядром, в то время как WBEM на 80% управляет юзерспейсом и сам должен быть в юзерспейсе. Те условные 20% что в ядре тоже должно сначала в юзерспейс отдаться через API. Этим технологиям не место в ядре.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

58. Сообщение от Аноним (19), 17-Сен-21, 13:54	+/–
Нажми на динамик для озвучки https://translate.google.com/?sl=auto&tl=en&text=azure&op=tr...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #77

60. Сообщение от Массоны Рептилоиды (?), 17-Сен-21, 14:01	+1 +/–
> Автообновление агента не поддерживается, поэтому пользователям необходимо выполнить обновление пакета вручную Ну как, поддерживается же: python3 omigod.py -t 10.0.0.5 -c "apt -y install omi; yum -y update omi"
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #63

61. Сообщение от Админ Анонимов (?), 17-Сен-21, 14:11	+/–
там просто не хватает трудно отменяемых авто обновлений и правильного антивируса
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

62. Сообщение от Михрютка (ok), 17-Сен-21, 14:22	+1 +/–
>>>И вот никаких бы проблем с велосипедами MS бы не было, если бы Linux поддерживал стандарты DMTF на уровне ОС! потому что иди нафиг со своими пегасусами и сублимами в ведре, вот почему.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #68

63. Сообщение от PnD (??), 17-Сен-21, 14:26	+/–
Микрософт не научился репозитории поддерживать. (Насколько я смог почитать буквы в новости.) Поэтому сценарий "починки" будет чуть сложнее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #87

64. Сообщение от ыы (?), 17-Сен-21, 14:27	+/–
>Автообновление агента не поддерживается, поэтому пользователям необходимо выполнить обновление пакета вручную, Я микрософт вирус..  мои разработчики настолько бедны что ... пожалуйста, поставьте меня себе сами...
Ответить | Правка | Наверх | Cообщить модератору

67. Сообщение от Аноним (67), 17-Сен-21, 16:27	+1 +/–
> содить рис по колено в навозе с пиявками не загнали. Боишься что тебя с работы потеснят?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

68. Сообщение от iPony129412 (?), 17-Сен-21, 16:28	–1 +/–
> со своими пегасусами Это что такое? 🤨
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #70

69. Сообщение от Аноним (67), 17-Сен-21, 16:34	–1 +/–
Так она и уже - полулинукс, но не такой как линукс. Посмотри на: - linuxulator - epoll-shim - дрова видева и войфая. БЗД без линукса не останется, ведь на реальном железе как-то работать надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #84

70. Сообщение от Михрютка (ok), 17-Сен-21, 16:48	+/–
это такая мишпуха, чтобы завести wbem под линуксом
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

72. Сообщение от Аноним (72), 17-Сен-21, 17:35	+1 +/–
> Суть уязвимости в том, что при удалении в сообщении заголовка "Authentication", отвечающего за аутентификацию, сервер считает прохождение проверки успешной, принимает управляющее сообщение и допускает выполнение команд с правами root. Не баг а фича. Явно зделано умышленно. А что с M$ вы хотели?
Ответить | Правка | Наверх | Cообщить модератору

73. Сообщение от ИмяХ (?), 17-Сен-21, 18:20	+/–
Там уже майнят все, кому не лень.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

74. Сообщение от Аноним (74), 17-Сен-21, 18:57	+/–
и illumos.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

75. Сообщение от YetAnotherOnanym (ok), 17-Сен-21, 19:03	+/–
> достаточно отправить к агенту XML-запрос, удалив заголовок, отвечающий за аутентификацию. OMI использует аутентификацию при получении управляющих сообщений, проверяя, что клиент имеет право на отправку той или иной команды. Суть уязвимости в том, что при удалении в сообщении заголовка "Authentication", отвечающего за аутентификацию, сервер считает прохождение проверки успешной, принимает управляющее сообщение и допускает выполнение команд с правами root Microsoft way.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #85

76. Сообщение от mikhailnov (ok), 17-Сен-21, 20:00	+/–
А слушать порты на локальной петле не достаточно было бы?
Ответить | Правка | Наверх | Cообщить модератору

77. Сообщение от InuYasha (??), 17-Сен-21, 20:13	+/–
> Нажми на динамик для озвучки https://translate.google.com/?sl=auto&tl=en&text=azure&op=tr... Нажми на чувство юмора https://en.uesp.net/wiki/Lore:Azura https://en.uesp.net/wiki/Tribunal:Tribunal
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

78. Сообщение от лютый жабби__ (?), 17-Сен-21, 20:25	+2 +/–
>Если и это ничему ажуроводов не научит ажуроводы все распильщики, их не научит, ибо им пофиг. у маздаев за программно выключенные виртуалки надо платить, если не скажешь дополнительную команду типа shutdown. а за диски будешь платить в любом случае. ещё и минимальный размер системного диска гиг 50 (или 30) был. для линя, который 1-2 весит! а скорость SSD зависит не от дисков, а от стоимости VM. чтобы как в хетцнере был vps за 3 бакса с 5000 iops? хаха, не, получи 100 ) а на HDD 50.... азуре это дорогой беспонт, кто им пользуется, отбит на голову...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

80. Сообщение от Михрютка (ok), 17-Сен-21, 21:06	+/–
Иронично, что именно MS > своими дырявыми костылями решает одну из самых главных проблем unix-like операционных > систем - невменяемое конфигурирование, пока уга-буги прыгают с бубном и призывают > венде-капец. Спасибо, очень хорошо обьяснили, товарищ. Теперь я знаю, что есть вменяемое конфигурирование Это развернуть втихаря, "ночью, без предупреждения" дырявый агент, а когда кал ударил в вентилятор, объяснить пользователям https://msrc-blog.microsoft.com/2021/09/16/additional-guidan.../ >>>Customers must update vulnerable extensions for their Cloud and On-Premises deployments as the updates become available вместо того, чтоб втихаря, поджав хвост, быренько подтереть там, где облажались. Очень вмэняэмо, очень правосла^W энтерпрайзно. Желаю защитникам такого вменяемого конфигурирования долгой, но плохой жизни.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #94

81. Сообщение от нах.. (?), 17-Сен-21, 21:23	+1 +/–
Нет, посмотрел на них, и прошел мимо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

83. Сообщение от Тот самый (?), 17-Сен-21, 22:15	+/–
>при удалении в сообщении заголовка "Authentication", отвечающего за аутентификацию, сервер считает прохождение проверки успешной Это шедевр!
Ответить | Правка | Наверх | Cообщить модератору

84. Сообщение от Аноним (-), 17-Сен-21, 22:25	+1 +/–
> Так она и уже - полулинукс, но не такой как линукс. Посмотри на: > - epoll-shim "Small epoll implementation using kqueue" - вай, беда - враппер > - linuxulator > HISTORY >     Linux ABI support first appeared in FreeBSD 2.1 Главное, не смотреть на wine в <куча линуксдистров на выбор>
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69

85. Сообщение от Михрютка (ok), 17-Сен-21, 22:26	+/–
>> достаточно отправить к агенту XML-запрос, удалив заголовок, отвечающий за аутентификацию. OMI использует аутентификацию при получении управляющих сообщений, проверяя, что клиент имеет право на отправку той или иной команды. Суть уязвимости в том, что при удалении в сообщении заголовка "Authentication", отвечающего за аутентификацию, сервер считает прохождение проверки успешной, принимает управляющее сообщение и допускает выполнение команд с правами root > Microsoft way. зато не >>>велосипедное вонючее RESTfull API
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #89

87. Сообщение от СеменСеменыч777 (?), 17-Сен-21, 23:30	+/–
> Микрософт не научился репозитории поддерживать ??? https://packages.microsoft.com/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #90

88. Сообщение от А (??), 18-Сен-21, 01:05	+/–
Поржал. M$ - это быстро, некачествено, за деньги.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #91

89. Сообщение от А (??), 18-Сен-21, 01:06	+/–
Зато дыра шедевральная.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85

90. Сообщение от А (??), 18-Сен-21, 01:09	+/–
Но использовать их для обновления M$ не научился. Хотя... У них системы задуманы для другого.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87

91. Сообщение от Аноним (91), 18-Сен-21, 01:54	+/–
>> это быстро Чего там быстрого? Если только быстро копируют все как обезьяны с остальных и пристраиваются к чужим инициативам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88

92. Сообщение от СеменСеменыч777 (?), 18-Сен-21, 09:32	+/–
левые агенты - всегда потенциальная дыра. всяких там заббиксов тоже касается. а уж если за дело берется майкрософт ...
Ответить | Правка | Наверх | Cообщить модератору

94. Сообщение от Аноним (38), 18-Сен-21, 21:07	+/–
Таблеток прими. Это то же самое что ныть, когда у тебя ssh предустановили и сделали исключение на 22-ой порт на файрволе, а потом нашлась уязвимость. Это во-первых, а во-вторых, конфигурирование на основе API, подразумевает наличие этого API и классов. В Linux нет ни стандартизированной базовой системы ни тем более объектно ориентированного API для управления компонентами и модулями. Только оболочка и документики. Агент - это тот костыль поверх которого МС строит реализацию wbem в ОС, в которой и пользователи и разрабы, что такое удаленное управление не знают дальше редактирования текстового документа. А единственная компания, которая оккупировала развитие инфраструктуры этой ОС пилит питонячьи велосипеды вместо поддержки открытых стандартов. Ты реально такая уга-буга, которая не понимает как работает CIM/WSMAN и где должно быть API и классы или просто истеришь от наличия агента? Ну так в Linux всё делается через агентов и сторонних демонов, потому что своего ничерта нету.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80 Ответы: #97

95. Сообщение от Аноним (95), 19-Сен-21, 05:01	+/–
"..agent" Собственно, дальше можно не читать. Через висящую в процессах приблуду можно хоть Армагеддон организовать. Невыносимо-отвратительный проприетарный метод.
Ответить | Правка | Наверх | Cообщить модератору

96. Сообщение от Аноним (96), 19-Сен-21, 08:23	+/–
Понятное дело, что когда Linux начинают использовать более 1%, то специалисты по безопасности начинают обращать внимание на Linux и находят там такие дыры. Linux -- он как Неуловимый Джо. В нём не находят дыр безопасности лишь по той причине, что он никому не нужен. Вот его стала использовать популярная корпорация, подтянулись безопастники и сразу нашли в Linux'е уязвимость. Всё правильно. Всегда так происходит.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #106

97. Сообщение от Михрютка (ok), 19-Сен-21, 10:22	+1 +/–
товарищ, не напрягайтесь. мы уже поняли, что из себя представляет вменяемое конфигурирование это а) без ведома клиента установить в клиентскую vm дырявый пакет с rce и lpe б) спустя три с половиной месяца после того, как стало известно, что в пакете дыры, не суметь откатить или обновить этот пакет, вместо этого свалив эту обязанность на клиента. > Ты реально такая уга-буга ок зумер
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94 Ответы: #101

101. Сообщение от Аноним (38), 19-Сен-21, 14:01	+/–
> мы уже поняли, что из себя представляет вменяемое конфигурирование Вы это кто? 3.5 михрютки, которые нужны для того чтобы конфиг править через текстовый редактор? Научись говорить за себя. что а), что б) происходит, когда МС разрабатывает и внедряет что-то. Если бы реализацию бы сделали сами без МСовских агентских костылей так бы не было но дурачки вроде тебя не понимают. У дурачков есть "философия" файла .conf. И есть специально обученные михрютки, которые должны его редактировать. > ок зумер Называть зумером человека, который указывает на отсутствие в линуксе стандартной шины, API для конфигурирования (90-е) и поддержки почки стандартов, которая оборачивает бинарную шину в SOAP (00-е) - реально уга-буга. Зумеры, как минимум, на REST бы костыляли. А вообще если ты намекаешь тем самым, что ты не просто необразованный дурак, а старый необразованный дурак... то это ничего не меняет, в конечном итоге.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97 Ответы: #102

102. Сообщение от Михрютка (ok), 19-Сен-21, 15:19	+/–
да ты хоть и весь в кал изойди со своими шинами. По факту все эти шины и апи конфигурирования за три с половиной месяца не смогли выконфигурировать дырявый пакет из системы. До тебя это доходит, анон? Или ты опять начнешь наяривать про соап и рест, теоретик?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101

103. Сообщение от Тёмное братство (?), 20-Сен-21, 11:46	+/–
Зачем же под трибунал?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

104. Сообщение от Аноним (104), 20-Сен-21, 22:25	+/–
А разве кто-то добровольно пользуется azure? С их космическими ценами, дороже чем в AWS и Google вместе взятыми?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

105. Сообщение от Наме (?), 23-Сен-21, 12:42	+/–
WBEM это решение с очень крутой кривой освоения. Уже только поэтому оно не способно решать те проблемы, для решения которых задумано. Банально неосилянты, а таких абсолютное доминирующее большинство, начнут лепить очередные баши/перлы/питоны, перекидываться эксимелями и ясончиком и опять нарастят опухоль, которая станет больше организма и начнёт сама жить своей жизнью, объявив себя настоящим единственным организмом. Это закон любых больших коллективов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

106. Сообщение от Аноним (-), 11-Окт-21, 13:36	+/–
Девайсов с линуксом выпускается в три-пять раз больше чем людей на земле. Каждый год ! Процент, еслиб..
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема