The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в snapd, позволяющая получить root-привилегии в системе

13.02.2019 10:59

В snapd, инструментарии для управления самодостаточными пакетами в формате snap, выявлена уязвимость (CVE-2019-7304), позволяющая непривилегированному пользователю получить права администратора (root) в системе. Для проверки систем на наличие уязвимости опубликовано два прототипа эксплоита - первый позволяет завести нового пользователя в системе, а второй даёт возможность установить любой snap-пакет и запустить код с правами root (через установку пакета в режиме "devmode" с прикреплением обработчика, вызываемого с привилегиями root при установке пакета).

Уязвимость вызвана отсутствием в snapd должных проверок при обработке адреса внешнего сокета в процессе оценки прав доступа для Unix-сокетов. При обработке запросов к API через Unix-сокет проверяется ассоциированный с соединением UID пользователя и на основании его принимается решение о предоставлении доступа. Пользователь может прикрепить к имени файла с сокетом строку ";uid=0;" (например, создать сокет "/tmp/sock;uid=0;") и данная строка будет обработана как часть адреса клиентского сокета.

При парсинге параметров в snapd идентификатор пользователя выделяется через цикличный поиск по маске ";uid=" в строке, также включающей имя файла с сокетом (например, при создании клиентского сокета "/tmp/sock;uid=0;" эта строка примет вид "pid=5275;uid=1000;socket=/run/snapd.socket;/tmp/sock;uid=0;"). Таким образом, при наличии строки ";uid=0;" в имени сокета идентификатор будет выделен из неё, а не из штатного параметра с реальным UID. Локальный атакующий может использовать данную ошибку для доступа через сокет /run/snapd.socket к привилегированным API snapd и получения полномочий администратора (в вышеупомянутых эксплоитах используется обращение к API v2/create-user и /v2/snaps).

Проблема проявляется в версиях snapd с 2.28 по 2.37 и затрагивает все поддерживаемые ветки дистрибутива Ubuntu (с 14.04 по 18.10), в котором начиная с Ubuntu 18.04 поддержка snap предлагается по умолчанию. Проблема также затрагивает дистрибутивы Fedora и Debian, в которых snapd предлагается из штатных репозиториев. Уязвимость устранена в выпуске snapd 2.37.1, а также в обновлениях пакетов для дистрибутивов Ubuntu и Debian.

  1. Главная ссылка к новости (https://shenaniganslabs.io/201...)
  2. OpenNews: Компания Canonical опубликовала заявление, связанное с вредоносным ПО в Snap Store
  3. OpenNews: Уязвимость во Flatpak, позволяющая повысить привилегии в системе
  4. OpenNews: Уязвимость в Glibc, позволяющая поднять привилегии в системе
  5. OpenNews: В Kubernetes 1.13 устранена критическая уязвимость, позволяющая поднять свои привилегии
  6. OpenNews: Релиз системы самодостаточных пакетов Flatpak 1.2.0
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: snap
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (84) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (1), 11:22, 13/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    Как же классно пользоваться Rolling дистрибутивом, новость что уязвимость устранена в версии 2.37.1, смотрю, а в системе уже стоит 2.37.2
     
     
  • 2.2, anonus (?), 11:29, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +68 +/
    Не пользоваться snapd тоже классно, новость что уязвимость в snapd... А пофигу.
     
     
  • 3.10, Qwerty (??), 12:01, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А если вообще ПК не пользоваться, то даже Spectre становится нестрашен.
     
     
  • 4.33, Аноним (33), 14:20, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    неоднозначно, т.к. есть ПК без Spectre
     
     
  • 5.38, Аноним (38), 15:06, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А ещё есть компьютеры без Линукс.
     
     
  • 6.45, Аноним (45), 15:37, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    И без Windows тоже бывают. И что?
     
     
  • 7.81, Michael Shigorin (ok), 21:08, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > И без Windows тоже бывают. И что?

    Раз уж человек так просил, упомяну: http://wiki.opennet.ru/NoWindows :)

     
     
  • 8.98, ДенисКА (?), 03:22, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще, спор не о чём, даже если у тебя нет компьютера, данные о тебе обрабатыва... текст свёрнут, показать
     
  • 8.102, gsdh (?), 07:29, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    не понятно, каких утверждений производителя, так-то ноутов уже в землю зарытых б... текст свёрнут, показать
     
  • 4.76, Crazy Alex (ok), 20:02, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да он на ПК и так не страшен. Это ж не сервер с кучей виртуалок, которые друг от друга изолировать надо
     
  • 3.42, непривиллегированный пользователь (?), 15:22, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    так пользоваться-то я буду. Ты, главное, не торопись его сносить (заботливо установленный убунточкой, даже если нахрен тебе не нужен)!
     
  • 3.116, Gannet (ok), 22:35, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    К сожаленью, livepatch к примеру работает только через snap. Или если кто знает как организовать это без snap, объясните, как.
     
  • 2.4, Аноним (4), 11:33, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Сильно оно вообще на роллингах надо? Виделись мне они всегда костылем по доставке свежачка в релизоцикличных дистрибутивах.
     
     
  • 3.13, Аноним (13), 12:23, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Роллинг ещё и на качество влияет положительно, т.к. можно видеть регресс между версиями, и быстро фиксить, а не ждать десяток релизов, а потом пытаться понять, когда же оно начало глючить, в последней версии, или в более ранних? Программисты из этих же соображений быстро пушат код в репы, как только он готов
     
     
  • 4.15, Аноним (4), 12:33, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вопрос был про какую-никакую пользу снэпофлэтов в роллингах все же, а не роллинги vs релизоциклы.
     
     
  • 5.27, DerRoteBaron (ok), 13:38, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ставить софт, жестко зависящий от чего-то древнего разве что. В основном проприетарь. Ну и просто чтобы не тянуть эту проприетарь (в основном чтобы не мешалась, с изоляцией у них не все ок сейчас)
     
     
  • 6.82, Michael Shigorin (ok), 21:10, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ну и просто чтобы не тянуть эту проприетарь (в основном чтобы
    > не мешалась, с изоляцией у них не все ок сейчас)

    Ну так голые namespaces -- это вовсе не полный openvz :(

     
     
  • 7.121, DerRoteBaron (ok), 01:01, 17/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> Ну и просто чтобы не тянуть эту проприетарь (в основном чтобы
    >> не мешалась, с изоляцией у них не все ок сейчас)
    > Ну так голые namespaces -- это вовсе не полный openvz :(

    так там даже до этого не доходит, у 90% пакетов прямо и открыто r/w в ~, после чего о чем-то более серьезном говорить сложно

     
  • 4.18, ыы (?), 13:01, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну админам локалхоста обычно и заняться то нечем как правило.. только за роллингом и наблюдать...
     
     
  • 5.29, Аноним (4), 13:55, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну так роллинг для десктопчика удобнее всего как раз. Релизоциклизм остро просит снэпофлетокостылей в десктоп раскладе.
    Но чет лень снова лекции читать о ролях машин, историю возникновения модели релизоциклов и почему многим десктопоюзерам (но далеко не всем) или девопсикам в оной модели неуютно. А для админов линуксоинфраструктур манна небесная и изначально под их потребности создавалось, впрочем.


     
  • 4.77, Crazy Alex (ok), 20:05, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Альтернатива - выбираешь то, что устраивает по функциональности и безглючности, и сидишь на нём много лет (да ещё и с обновлениями безопасности) - ещё лучше. А меняешь только тогда, когда есть реальная потребность.
     

  • 1.6, Аноним (6), 11:44, 13/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    sudo apt purge snapd - один из первых пургов которые делаю после установки системы.)
     
     
  • 2.9, Василий (??), 11:59, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Лишаете себя кучи софта, которого нет через механизм репо, и всё!
     
     
  • 3.12, packager (?), 12:12, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Про "кучу" это вы  верно подметили. А если нужен какоё-то софт, которого нет в репах, его можно просто собрать. И опакетить, чтобы не превращать систему в раннюю Слакварь (при всём уважении).
     
     
  • 4.19, Аноним (19), 13:07, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Вопрос с обновлениями: если в программе найдут серьезную дыру, а ты об этом не узнаешь и не обновишь?
    Большинство разработчиков предоставляют репозитории deb/flatpak/snapd и наверное все же правильно ими пользоваться.
     
     
  • 5.78, Crazy Alex (ok), 20:07, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    в абсолютном большинстве случаев десктопному софту дыры не критичны. Тем более тому, что в репах нет - это обычно какая-то экзотика.
     
  • 5.99, Аноним (99), 03:31, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >Вопрос с обновлениями: если в программе найдут серьезную дыру, а ты об этом не узнаешь и не обновишь?

    Ну да, какой ужас, надо теперь совсем запретить отключать обновления. Вэйт, ох щи..

     
  • 4.34, Аноним (34), 14:30, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Могу согласиться, но частично. Если программа - дерьмо, то в упакованном в snap виде оно дерьмом и останется. Из последнего - snap Nextcloud для Ubuntu Server 18.04 (тоже, кстати, дерьмо порядочное с поломанным всем, что можно было сломать).
     
  • 4.37, Annoynymous (ok), 15:04, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > его можно просто собрать.

    Действительно. Зачем snap, если можно стоя и в гамаке.

     

  • 1.8, Аноним (8), 11:57, 13/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Костыли оказались не просто костылями, а ещё и написанными индусами, не умеющими банально экранировать данные. Вот ведь удивительно.
     
  • 1.11, Аноним (11), 12:02, 13/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Что это за язык программирования, где берется последнее совпадение? Строка в любом регэкспе читается слева направо и после первого совпадения проверка заканчивается
     
     
  • 2.16, ОнАнон (?), 12:35, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В новости есть ссылка на исходник. Язык Go, но не имеет отношения к проблеме, там сделана цикличная проверка опций, и в итоге возможно переопределение уже ранее заданных значений.
     
  • 2.22, Ordu (ok), 13:21, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    У утилит командной строки, например, очень часто выходит так, что самая важная опция -- последняя.

    > Что это за язык программирования, где берется последнее совпадение?

    На чём там принято писать утилиты командной строки?

     
     
  • 3.64, Аноним (64), 17:34, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >  У утилит командной строки, например, очень часто выходит так, что самая важная опция -- последняя.

    И, если подумать, как работает парсинг? Правильно, читается слева на право, в результате, последняя опция остается... последней.

     
     
  • 4.73, Ordu (ok), 19:20, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >>  У утилит командной строки, например, очень часто выходит так, что самая важная опция -- последняя.
    > И, если подумать, как работает парсинг? Правильно, читается слева на право, в
    > результате, последняя опция остается... последней.

    Да ладно, не может быть. Настоящие мужики используют обратную грамматику и парсят с конца. С начала парсят только лошки всякие да скрипткиддисы, у которых интеллекта недостаточно, чтобы обратить грамматику.

     

  • 1.14, Аноним (14), 12:26, 13/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    apt purge snap*
    Ерунду эту
     
  • 1.17, Michael Shigorin (ok), 12:54, 13/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Любителям понабегать в темы о дырках с гошечками, ржавчинкой, дотнетиками и прочим: мотайте на ус наконец, ложное чувство безопасности полезно бывает разве что атакующему.
     
     
  • 2.20, Аноним (19), 13:10, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Атакующий сделает атаку, пока ты не ввел sudo apt upgrade, ибо способ уже спалили широкой общественности. Такую атаку любой кали школьник сделает.
     
     
  • 3.104, Аноним (104), 10:06, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    то есть ты думаешь, что эта последняя дырка в снап-де?
     
  • 2.23, Ordu (ok), 13:24, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Откуда ты взял это ложное чувство безопасности? Ты можешь привести пример комментария, демонстрирующий это самое ложное чувство безопасности?

    Что за манера вообще приписывать оппонентам всякие ложные чувства, ради того, чтобы потом блестяще их побеждать?

     
     
  • 3.47, Аноним (47), 15:53, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Откуда ты взял это ложное чувство безопасности?

    Из книжки Шнайера, вестимо.

    > Ты можешь привести пример комментария
    > демонстрирующий это самое ложное чувство безопасности?

    Да. Однако, лень копировать широкоизвестный труд классика для Вас.

     
     
  • 4.55, Ordu (ok), 16:42, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Однако, лень копировать широкоизвестный труд классика для Вас.

    И не стоит. Если примером такого чувства безопасности является труд Шнайера, то не стоит. Тут и так всё ясно.


     
     
  • 5.59, Аноним (47), 16:53, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> Однако, лень копировать широкоизвестный труд классика для Вас.
    > И не стоит. Если примером такого чувства безопасности является труд Шнайера, то
    > не стоит. Тут и так всё ясно.

    Вот и ладненько. Если Вы не смекнули на какую часть книжки намёк, то доктрину АНБ обсуждать тем паче не стоит.

     
     
  • 6.63, Ordu (ok), 17:33, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > обсуждать тем паче не стоит.

    Если тебе кажется, что здесь есть какое-либо обсуждение, то ты льстишь себе. У тебя нет аргументов, это видно любому мимопроходилу, даже несмотря на то, что ты встал в позу, подразумевающую, что они у тебя есть.


     
     
  • 7.105, мимопроходил (?), 10:08, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > это видно любому мимопроходилу

    не стоит говорить за всех, ок?

     
  • 7.108, Аноним (108), 14:51, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Обсуждение подразумевает наличие постоянной темы. Никто не просил привести аргументы. Ответ на заданный вопрос дан сразу же. Так что можно не проецировать позы. ;-)
     
  • 3.56, Отражение луны (ok), 16:43, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Любой комментарий, осуждающий наличие уязвимости. Это демонстрирует полное непонимание человеком двух фактов:
    1) В коде всегда есть ошибки. Часто исправление старых порождает появление новых. Это попросту человеческий фактор.
    2) Ошибки порождают уязвимости
    Непонимание этих фактов и является ложным чувством безопасности по определению.
     
     
  • 4.62, Ordu (ok), 17:32, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Уязвимость -- это плохо Уязвимость надо осуждать Разговоры о том, что уязвимос... текст свёрнут, показать
     
     
  • 5.86, Sw00p aka Jerom (?), 21:54, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Воля человека равносильна уязвимости Говорят, создать идеальный мир - утопия, а... текст свёрнут, показать
     
     
  • 6.94, Ordu (ok), 23:56, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    И что Человек придумал ассемблеры, чтобы не считать адреса меток вручную, и не ... текст свёрнут, показать
     
     
  • 7.96, Sw00p aka Jerom (?), 01:48, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Так для начала нужно задать вопрос, зачем человек придумал адреса и метки приве... текст свёрнут, показать
     
     
  • 8.112, Ordu (ok), 15:44, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Какая разница Ты ошибку-то посмотрел по ссылке Это реальная ошибка, которая ре... текст свёрнут, показать
     
     
  • 9.114, Sw00p aka Jerom (?), 18:00, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Давайте сначало разберемся с какими ошибками мы имеем дело Если речь идет о лог... текст свёрнут, показать
     
     
  • 10.115, Ordu (ok), 19:15, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Мне становится реально любопытно, в каком вузе вы учитесь Где вас учат тому, чт... текст свёрнут, показать
     
  • 4.74, Аноним (74), 19:52, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    В исходниках могут быть ошибки, но это не тот случай. Здесь ошибка - сама идея. Таких примеров множество. Автором большинства является оффтопик, но и сабж решил внести свой вклад в копилку глупостей.
     
  • 4.93, псевдонимус (?), 23:55, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > В коде всегда есть ошибки

    Давай не удем их правит скажем что это фича

    >Непонимание этих фактов и является ложным чувством безопасности по определению.

    Может убрат идерастическую "непрерывную дегенерацию"? Нет на такое мы пойти не можем!

     
  • 3.83, Michael Shigorin (ok), 21:34, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Откуда ты взял это ложное чувство безопасности?

    Здесь -- из типовых комментариев вида "а вот писали бы на XYZ" и разборов таких вот полётов софтов на этих самых XYZ, разумеется.

    > Ты можешь привести пример комментария

    http://www.opennet.ru/openforum/vsluhforumID3/111522.html#6

    (ещё пару ссылок решил не приводить, там и так зачитаться можно, а где-то Вы тоже отметились не только зачитываясь)

    > Что за манера вообще приписывать

    http://www.opennet.ru/openforum/vsluhforumID3/115889.html#132

     
     
  • 4.91, Ordu (ok), 23:25, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> Ты можешь привести пример комментария
    > https://www.opennet.ru/openforum/vsluhforumID3/111522.html#6

    А, да, вот так оно понятнее. Но даже там, человек ведь не понимает суть того, что называют "memory safety", и... ну, вряд ли, он не понимает того, что ошибки подобные тому что описано в данной новости, возможны вне зависимости от языка программирования. Как написать язык программирования избавляющий от таких ошибок, ещё не придумали.

    Ну так вот, я к чему это. Твоё замечание, которое по-крайней мере по его форме, адресовано такому человеку, ничерта ему не поможет, как раз по описанной выше причине. Ты просто представь себе его состояние ума, и ты увидишь, что он твоё замечание просто отметёт и даже думать о нём не будет.

     
     
  • 5.109, Аноним (108), 15:18, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > замечание, которое по-крайней мере по его форме, адресовано такому человеку

    Восприятие формы индивидуально. Например:
    Некто считает, что сообщение адресовано не ему. При этом отвечает на сообщение.

    > Ты просто представь себе его состояние ума, и ты увидишь

    А когда ты осознаешь, что у тебя каша похлеще, что будешь делать?

     
     
  • 6.111, Ordu (ok), 15:41, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> замечание, которое по-крайней мере по его форме, адресовано такому человеку
    > Восприятие формы индивидуально. Например:
    > Некто считает, что сообщение адресовано не ему. При этом отвечает на сообщение.

    И что?

    >> Ты просто представь себе его состояние ума, и ты увидишь
    > А когда ты осознаешь, что у тебя каша похлеще, что будешь делать?

    Я много работаю над этой кашей. Ежедневно, годами. Я знаю, что у меня в голове такая каша, которую мало лишь кто в состоянии в своей голове создать. Я настолько к этому привык, что уже даже не испытываю гордости за содеянное, воспринимая это как заурядный факт.

     
     
  • 7.113, Аноним (108), 16:44, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >>> замечание, которое по-крайней мере по его форме, адресовано такому человеку
    >> Восприятие формы индивидуально. Например:
    >> Некто считает, что сообщение адресовано не ему. При этом отвечает на сообщение.
    > И что?

    Что что?

    >>> Ты просто представь себе его состояние ума, и ты увидишь
    >> А когда ты осознаешь, что у тебя каша похлеще, что будешь делать?
    > Я много работаю над этой кашей. Ежедневно, годами. Я знаю, что у
    > меня в голове такая каша, которую мало лишь кто в состоянии
    > в своей голове создать. Я настолько к этому привык, что уже
    > даже не испытываю гордости за содеянное, воспринимая это как заурядный факт.

    О, умничка. Порвал мне шаблон. Два часа склеивал. Получилось "своё г. не пахнет". Народная мудрость, однако.

     

  • 1.24, microcoder (ok), 13:27, 13/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Наерняка это не последняя уязвимость. snap, flatpack - это всё костыли. Неужели нельзя было разрулить проблему репозиториями и реструктуризацией файловой иерархии для приложений и версий библиотек? Если дистрибутив устарел, обновился на новый, то почему нельзя установить приложение из старого репозитория? Зачем все эти контейнеры, сложности, которые открывают уязвимости на пустом месте?
     
     
  • 2.30, Груст (?), 13:59, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Nix & Guix к вашим услугам.
     
  • 2.58, Отражение луны (ok), 16:51, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    По факту контейнеры закрывают уязвимости. Пользовательские apt репозитории небезопасны по определению, их владелец может делать с вашей системой все что хочет. Контейнеры же могут предоставлять доступы только к необходимым приложению вещам, при этом дав выбор пользователю.
    В том же apt и аналогах все та же куча уязвимостей.
     
     
  • 3.79, Crazy Alex (ok), 20:11, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    а никто и не говорил о пользовательских репозиториях. Разумеется, это дыра. Используйте родные.
     
  • 3.106, мимопроходил (?), 10:21, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > По факту контейнеры закрывают уязвимости.

    по-факту, контейнеры создавались для других целей (тащить свои несовместимые версии библиотек) и их изоляция до сих пор оставляет желать лучшего, не говоря уже про дыры.

    > Контейнеры же могут предоставлять доступы только к необходимым приложению вещам, при этом дав выбор пользователю.

    кстати, о каких контейнерах речь? и о каком выборе, если не секрет? при установке snap-пакета тебя особо ни о чем не спрашивают, и скорее всего все твои данные из домашней папки оно легко сможет удалить. (я правда в снапе тестировал только системные приложения типа juju, MaaS, k8s перед тем как его удалить, чтоб зря проц не жрал)

     

  • 1.25, Аноним (25), 13:32, 13/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Уязвимости во всяких контейнерах находят постоянно, там основная фишка в том, чтобы юзверь запустил софт собранный как задумано автором, который автор у себя и тестит. Еслиб эта хрень еще не жрала столько и с темами работала нормально... Flatpak не нравится тем, что тащит за собой Гном и ГТК, какой бы софт я не ставил, зачем? Ну и с темами да файловыми диалогами там вообще беда. Жалко Snap не взлетит, RedHat двигает стандарты, убунтоиды частенько отступают и не доводят дело до конца.
     
  • 1.36, Аноним (36), 14:50, 13/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ох не даром я выпиливаю этот мерзкий snapd из системы, ох не даром..
     
  • 1.49, via (??), 16:04, 13/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Даже не заметил.  2.37.1
     
  • 1.61, IRASoldier (?), 17:28, 13/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Увы, Ubuntu теперь пропихивает этот snap чересчур навязчиво. Возникает впечатление, что snap-пакеты планируются как способ доставки приложений по умолчанию. Понятно, что его поддержку можно из системы выпилить к чертям и адвансед юзеру пофиг, но что-то в этом неправильно в принципе.

    Для сравнения - есть Fedora, есть flatpak и есть таки свобода выбора. И если есть нужда дать адекватный десктопный Linux обычному пользователю - то довести десктопную Fedor'у до убунтушной юзабилити и недефолтового внешнего вида (Adwaita уныла чуть менее, чем полностью) - дело 15 минут.

     
     
  • 2.75, Аноним (74), 19:55, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ubuntu вообще после версии 16.04 не радует. А посему аноним рассматривает Ubuntu только в качестве хранителя репозитория системных вещей (прикладные там - просто древний мусор).
     
     
  • 3.84, IRASoldier (?), 21:35, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, Unity был интересен, да. Но третьегном + Dash to dock делает Unity ненужным. И за вычетом snap'одрочества и непоспевания за таки излечивающимися болезнями развития третьегнома 18-я Ubuntu кагбэ не испортилась же - в том, что недесктопное, какой-то порчи не прозреваю я, 18 LTS сервера в продакшене не глючат и хвала Омниссии.
     
     
  • 4.101, Аноним (34), 06:58, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    На сервер обычно не ставят DE. Хотя некоторые, о ком не говорят здесь, ставят.
     
     
  • 5.107, Vitaliy Blats (?), 12:32, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > На сервер обычно не ставят DE

    Сервер бывает разным.

     
     
  • 6.117, Аноним (117), 04:53, 15/02/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Сам топи свой необычный сервер в ртути.
     
  • 5.120, IRASoldier (?), 18:25, 15/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так к серверной Убунте претензий и нет.
     
  • 2.85, Michael Shigorin (ok), 21:36, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Для сравнения - есть Fedora
    > и есть таки свобода выбора

    А Вы-таки смешной.

    PS: на днях как раз вспоминал https://www.redhat.com/archives/fedora-devel-list/2004-May/msg00104.html

     
     
  • 3.88, IRASoldier (?), 22:12, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > А Вы-таки смешной.
    > PS: на днях как раз вспоминал https://www.redhat.com/archives/fedora-devel-list/2004-May/msg00104.html

    Ну вы-то, Шигорин, дефакто смешнее - взяли и анекдот запостили.

    А что по существу-то сказать хотели?


     
     
  • 4.89, IRASoldier (?), 22:13, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    "дефакто" -> "де-факто", разумеется

     

  • 1.80, Аноним (80), 20:43, 13/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    стесняюсь спросить, но зачем ему демон?
     
     
  • 2.90, Аноним (90), 22:56, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Он сразу монтирует все пакеты что установлены, даже если они не запущены.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру