Проект Xen сообщил (http://lists.xenproject.org/archives/html/xen-announce/2015-10/) об устранении в гипервизоре порции уязвимостей (http://xenbits.xen.org/xsa/), из которых отдельного внимания заслуживает проблема CVE-2015-7835 (http://xenbits.xen.org/xsa/advisory-148.html) (XSA-148). Уязвимость позволяет привилегированному пользователю паравиртуализированной гостевой системы получить полный контроль над хост-системой и другими виртуальными окружениями.
По мнению (https://raw.githubusercontent.com/QubesOS/qubes-secpack/mast...) разработчиков операционной системы Qubes, выявленная проблема является самой опасной уязвимостью за всю историю существования проекта Xen. То, что проблема присутствует в кодовой базе Xen уже семь лет заставляет задуматься о необходимости аудита безопасности кодовой базы гипервизора и рассмотрению безопасности как первичного приоритета в разработке Xen.Проблема вызвана ошибкой в коде маппинга больших страниц памяти в паравируализированных гостевых системах (PV) и позволяет получить доступ на запись к страницам памяти, рассчитанным на обращение только в режиме чтения. Уязвимость проявляется в Xen 3.4 и более новых выпусках, на 32- и 64-разрядных системах x86 (платформы ARM проблеме не подвержены). Всем пользователям Xen рекомендуется срочно применить патчи или установить обновления, которые в настоящий момент доступны только для Qubes OS (пакеты 4.4.3-8 и 4.1.6.1-23). Обходным вариантом является перевод паравиртуализированных гостевых систем в режим полной виртуализации (HVM). Компания Amazon сообщила (https://aws.amazon.com/security/security-bulletins/XSAsecuri.../), что её облачные сервисы не подвержены проблеме.
URL: http://xenbits.xen.org/xsa/advisory-148.html
Новость: http://www.opennet.me/opennews/art.shtml?num=43219
интересно, кто-то ещё помнит байку про открытый код и тысячи глаз?
А что. Не актуально? Сколько таких дыр в приопретарных продуктах которые не ревизируются порой не то что тысячью глаз, но даже собственными разрабами
да пофиг на проприерастов: семь лет, Карл, семь лет!!!
И что? Важно, что нашли!
Лучше поздно чем никогда! - сказал ... положив голову на рельсы после ухода поезда.
> Лучше поздно чем никогда! - сказал ... положив голову на рельсы после
> ухода поезда.:-) отлично сказал
Возьми любой софт, вышедший в этом году, запусти его на машине десятилетней давности, патетически заломи руки и воскликни: "Десять лет не могли сделать, Карл, десять лет!!!". А можно еще круче, берем культовую игру прошлого, например Master of Magic от 1985 года, и восклицаем: "Тридцать лет не могут сделать достойное продолжение! Тридцать лет, Карл!!!"
> Возьми любой софт, вышедший в этом году, запусти его на машине десятилетней
> давности, патетически заломи руки и воскликни: "Десять лет не могли сделать,
> Карл, десять лет!!!". А можно еще круче, берем культовую игру прошлого,
> например Master of Magic от 1985 года, и восклицаем: "Тридцать лет
> не могут сделать достойное продолжение! Тридцать лет, Карл!!!"ты туп.
МоМ - это 1994 год, а не 1985-й.
>А можно еще круче, берем культовую игру прошлого, например Master of Magic от 1985 года, и восклицаем: "Тридцать лет не могут сделать достойное продолжение! Тридцать лет, Карл!!!"Чсх, так и делают
Что поделать - подростки, не умеющие ценить труд, воспринимают работу других как то, что эти люди просто обязаны делать. И считают себя вправе еще и выражать претензии."Товарищи! Должны смеяться дети!
Есть мнение - должны смеяться дети!
Они смеются,
Раз они должны..."
> Что поделать - подростки, не умеющие ценить труд, воспринимают работу других как
> то, что эти люди просто обязаны делать. И считают себя вправе
> еще и выражать претензии.
> "Товарищи! Должны смеяться дети!
> Есть мнение - должны смеяться дети!
> Они смеются,
> Раз они должны..."прежде чем что-то постить, прочитай первоисточник и проанализируй посты
а потом уже перекладывай на других свои комплексы
Страшен то вирус, который не найден. Тот что найден становится безвредным.
А сколько лет из этих семи, что существует дыра он был не найденным?
> А сколько лет из этих семи, что существует дыра он был не
> найденным?вообще публично, или теми кто её в код положил?
> А что. Не актуально? Сколько таких дыр в приопретарных продуктах которые не
> ревизируются порой не то что тысячью глаз, но даже собственными разрабамиа вот есть ещё алкоголики, которые много пьют..
а вот в странах третьего мира жрать нечего..ну что, будем ещё искать "как у них ещё хуже"?
А ви таки зачем спгашиваете? :)Лично тебе кто то не давал исправит её? У тебя 7 лет было, Карл! 7 лет :))))
Ну а вот кто то из али-бабы смог. Увидел, понял, оху***, исправил, поржал, поделился.
Вот видишь - целая жизнь. А с проприетарным *** ты всего этого лишён, а дыр и багов - таки нет. Жрите'с :)
> Лично тебе кто то не давал исправит её? У тебя 7 лет
> было, Карл! 7 лет :))))
> Ну а вот кто то из али-бабы смог. Увидел, понял, оху***, исправил,
> поржал, поделился.
> Вот видишь - целая жизнь. А с проприетарным *** ты всего этого
> лишён, а дыр и багов - таки нет. Жрите'с :)мля.. ну что за дети всё-таки на опеннете
я твержу не про то что где-то ЕЩЁ ХУЖЕ, мне на самом деле пох где там и как там
я твержу про то, что эти тысячи глаз нихрена не решают и десятой доли проблемы.
Такова люди!
Тысячим, мать их, глаз смотрят туда куда показывают, где млин сиськи, или туда куда им самим нужно, но не туда куда нужно коду.
> я твержу про то, что эти тысячи глаз нихрена не решают и десятой доли проблемы.Так может у тебя есть предложение, как ее решать лучше? Или очередной зашедший поныть о тщете всего сущего?
> Так может у тебя есть предложение, как ее решать лучше? Или очередной
> зашедший поныть о тщете всего сущего?тебе не понравится
Слив засчитан.
> Слив засчитан.с чего ты так решил?
ведь действительно - решение не понравится 90% здешних любителей розовых пони. Это ж ведь придётся думать, разрушать такие прекрасные воздушные замки, которые они понастроили у себя в головах. всё. надоело.
аdios
> Такова люди!made my day!
Качество - это количественный показатель, а не бинарный.
Все познается в сравнении и все можно оценить.
Например...> я твержу про то, что эти тысячи глаз нихрена не решают и десятой доли проблемы.
Как вы посчитали, что это именно десятая доля проблемы?
> Качество - это количественный показатель, а не бинарный.
> Все познается в сравнении и все можно оценить.
> Например...
>> я твержу про то, что эти тысячи глаз нихрена не решают и десятой доли проблемы.
> Как вы посчитали, что это именно десятая доля проблемы?давай так, я просто процитирую первоисточник, а там уже сами решай
где тут количественный, а где бинарные показатели,
и заодно ткнёшь пальцем - где тут сравнения с проприетерастами вообще, с Windows в частностиLinus's Law "given enough eyeballs, all bugs are shallow”
(https://ru.wikipedia.org/wiki/Закон_Линуса)
> я твержу не про то что где-то ЕЩЁ ХУЖЕ, мне на самом
> деле пох где там и как там
> я твержу про то, что эти тысячи глаз нихрена не решают и
> десятой доли проблемы.Дурачок. Это сообщение о том, что в опенсорсе такие проблемы решаются, в отличие от.
> Дурачок. Это сообщение о том, что в опенсорсе такие проблемы решаются, в
> отличие от...у меня такое ощущение, что у местных какие-то фильтры перед глазами..
Ежу понятно, что новость о том что уязвимость найдена, а не потеряна.
Найдена... через 7 лет. А до этого тысячи глаз ничего не видели.
> Найдена... через 7 лет. А до этого тысячи глаз ничего не видели.об и чем речь
(спасибо за поддержку, я уж думал тут один отбиваюсь)
>> Найдена... через 7 лет. А до этого тысячи глаз ничего не видели.
> об и чем речь
> (спасибо за поддержку, я уж думал тут один отбиваюсь)Да таких, как ты, стыдящихся имя указать, тут тачка и пучок сверху.
>>> Найдена... через 7 лет. А до этого тысячи глаз ничего не видели.
>> об и чем речь
>> (спасибо за поддержку, я уж думал тут один отбиваюсь)
> Да таких, как ты, стыдящихся имя указать, тут тачка и пучок сверху.Александр, не неси чушь, без официально заверенных методов идентификации личности все твои попытки вытужить важность нелепы. Заниматься подтверждением пары слов набитых тобой в графе ФИО желания не имею абсолютно. Удачи.
>Сколько таких дыр в приопретарных продуктах которые не ревизируются порой не то что тысячью глаз, но даже собственными разрабамиА сколько дыр намеренно вносится в приопретарные продукты по собстенной инициативе проприерастов или по "ненавязчивой" просьбе всевидящего "брата"? И они не видны тысячам глаз, а собственные разрабы дали подписки о неразглашении.
> А сколько дыр намеренно вносится в приопретарные продукты по собстенной инициативе проприерастов
> или по "ненавязчивой" просьбе всевидящего "брата"? И они не видны тысячам
> глаз, а собственные разрабы дали подписки о неразглашении.ты реально думаешь что в среде опенсорса их нет? :-) наивный
В среде опенсорса есть независимый неформальный аудит, те самые тысячи глаз.
> В среде опенсорса есть независимый неформальный аудит, те самые тысячи глаз.:)))))))))))
> интересно, кто-то ещё помнит байку про открытый код и тысячи глаз?То ли дело акробат ридер или флэш!
> То ли дело акробат ридер или флэш!да ты петросян! :-)
> да ты петросян! :-)Скорее – Кэп.
Петросянство, это вон к тому самому Анониму, который выдал штамп насчет тысяч глаз.Ну серьезно – берем ту же ХРюшу:
https://www.cvedetails.com/product/739/Microsoft-Windows-Xp....
Code Execution: 313
https://www.cvedetails.com/product/6761/Adobe-Flash-Player.h...
Code Execution: 443
https://www.cvedetails.com/product/497/Adobe-Acrobat-Reader....
Code Execution: 346
Ну и возьмем, что бы не было обидно https://www.cvedetails.com/vendor/33/Linux.html
Code Execution: 67Я конечно в курсе некоторой сомнительности относительно точности подсчета, особенно для отдельных продуктов ...
Однако, как не считай, а более 400 сотен серьезных дыр в простом просмотрщике документов – это как-то уже за гранью добра и зла.
> Скорее – Кэп.
> Петросянство, это вон к тому самому Анониму, который выдал штамп насчет тысяч
> глаз.тот самый Аноним: а теперь сравни пользовательские базы Windows и Linux
> тот самый Аноним: а теперь сравни пользовательские базы Windows и LinuxА причем тут пользовательские базы?
Я вроде ФЛЭШ c акробатом сравнил с ХРюшей, ну и пингвином заодно.
Или вы таки хотите рассказать мне сказку о том, что ХР почти никем не использовалась? А может, вы тупо перепечатываете из методички?И кстати, насчет пользовательской базы: вы не поверите, но помимо настольных кампутеров уже пару лет как существуют еще смартфоны и планшеты!
И форточек там не то что бы очень много:
https://www.netmarketshare.com/operating-system-market-share...
http://www.idc.com/prodserv/smartphone-os-market-share.jsp
> А причем тут пользовательские базы?в степени притягательности уязвимостей
> А может, вы тупо перепечатываете из методички?
:/ ну что за народ пошёл ..
То что проблема была в коде 7 лет не означает, что её можно было семь лет назад уже эксплуатировать. Возможно на старом железе и/или в старом окружении оно гораздо реже проявлялось либо невелировалось какой-то настройкой, багой, фичей и т.д.>Проблема была выявлена инженерами компании Alibaba, которые недавно подключились к разработке Xen
Вот у этих в стране очень много глаз, видать и набралась критическая масса...
> То что проблема была в коде 7 лет не означает, что её
> можно было семь лет назад уже эксплуатировать. Возможно на старом железе
> и/или в старом окружении оно гораздо реже проявлялось либо невелировалось какой-то
> настройкой, багой, фичей и т.д.возможно так, а возможно и не так, пока никто не знает
>>Проблема была выявлена инженерами компании Alibaba, которые недавно подключились к разработке Xen
> Вот у этих в стране очень много глаз, видать и набралась критическая
> масса...какое-то страшное словосочетание "критическая масса глаз".. бр-р..
После накопление критической массы пишется патч и начинаются холивары о тысячах глаз.
Ну ведь данный случай отличная иллюстрация правильности этого принципа. Баг нашли не взломщики, а разработчики, причем не начальные, а те кто присоединился к проекту.
> Ну ведь данный случай отличная иллюстрация правильности этого принципа. Баг нашли не
> взломщики, а разработчики, причем не начальные, а те кто присоединился к
> проекту.ты сам то веришь во что говоришь?
Вы путаете "нашли" с "опубликовали". Взломщики держат найденное в тайне. Как было с hearthbleed, например, которую года два втихую использовали.
> Вы путаете "нашли" с "опубликовали". Взломщики держат найденное в тайне. Как было
> с hearthbleed, например, которую года два втихую использовали.если не больше
были ещё сказки про кардинальную безопасность microkerel
В винде, в windows.h определён тип BOOL. Знаешь сколько он занимает? 4 байта. Зачем. Нет, я не говорю что это уязвимость, но это недостаток. В опенсорсном проекте либо устраняют недостатки, либо проект исчезнет. А проприетарный продукт по прежнему будет !работать.
Затем же почему все операции сравнения в Си возвращают int, а не байт. А в Си это скорее всего нужно чтобы избежать использования операций расширяющий byte в int, потому как результаты сравнения могут быть использованы не только в if/while/for, но и в арифметических операциях использующих int. В тоже время никто в здравом уме не станет хранить данные в BOOL, так как флаги принято хранить в отдельных битах. BOOL существует только для передачи между функциями.
Когда Рутковская перейдёт на KVM?
Так вроде уже можно юзать через прослойку.
подскажите нубу: qemu в составе Xen сильно нужен? а то надо передавать конфигуратору и мейку дополнительные параметры и энвайнменты и влом перепиливать исходники для этого.
нужен как минимум для hvm, pv, думаю, может и без qemu обойтись
> подскажите нубу: qemu в составе Xen сильно нужен? а то надо передавать
> конфигуратору и мейку дополнительные параметры и энвайнменты и влом перепиливать исходники
> для этого.В xen есть свой форк qemu, но можно с дополнительными движениями собрать xen с апстримовским qemu. Тогда виртуалку можно запускать как с qemu-dm (форк qemu от xen), так и с системной qemu. Но вот в дебьяне, например, старательно выпиливают ксеновский форк qemu, оставляя лишь возможность запуска с системной qemu.
Да, вроде были планы в xen отказаться от своего форка qemu и перейти на апстримовский. На момент xen-4.4 ещё можно было использовать свой qemu-dm. Как в 4.5 и 4.6 не знаю. По крайней мере, 4.5 в убунте уже собран без поддержки qemu-dm, только апстримовский. Но там ноги растут от дебьяна, а команда сопровождающих в дебьяне несколько неадекватна и вообще положила болт на xen.
Поделитесь эксплойтом?
Давай ip и root-доступ по ssh - заброшу - будешь самым модным в классе.
127.0.0.1 без пароля!!
100 раз говорили: виртуализация != безопасность.
Точнее, тут как матлогике про необходимое и достаточное. Только виртуализация недостаточна для безопасности.
> Точнее, тут как матлогике про необходимое и достаточное. Только виртуализация недостаточна
> для безопасности.вообще, даже немного вредна