Во входящем в состав ядра Linux модуле snd-usbmidi-lib выявлена (https://xairy.github.io/blog/2016/cve-2016-2384) критическая уязвимость (CVE-2016-2384 (https://security-tracker.debian.org/tracker/CVE-2016-2384)), позволяющая организовать выполнение кода с правами ядра при наличии у атакующего физического доступа к системе.
Для атаки необходимо подключить к компьютеру специально настроенное USB-устройство, передающее некорректный блок параметров USB, а также запустить в системе определённый код под непривилегированным пользователем. Без наличия возможности выполнения кода на локальной системе уязвимость позволяет только инициировать отказ в обслуживании (крах ядра).
Уязвимость затрагивает пакеты с ядром, поставляемые в большинстве дистрибутивов Linux, включая Red Hat Enterprise Linux 6/7 (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2016-2384), Ubuntu (http://people.canonical.com/~ubuntu-security/cve/CVE-2016-2384), Debian (https://security-tracker.debian.org/tracker/CVE-2016-2384), Fedora и SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2016-2384). Проблема уже исправлена (https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux....) в ядре 4.5-rc4. В качестве обходного метода защиты можно отключить сборку модуля usb-audio (CONFIG_SND_USB_AUDIO=n) или запретить его автоматическую загрузку ("echo blacklist snd-usb-audio >> /etc/modprobe.d/blacklist.conf"). Доступен (https://github.com/xairy/CVE-2016-2384) рабочий прототип эксплоита, который успешно работает в
Ubuntu 14.04 (3.19.0-49-generic), Linux Mint 17.3 (3.19.0-32-generic) и Fedora 22 (4.1.5-200.fe22.x86_64).
<center><iframe width="640" height="360" src="https://www.youtube.com/embed/lfl1NJn1nvo?rel=0" frameborder="0" allowfullscreen></iframe></center>URL: https://xairy.github.io/blog/2016/cve-2016-2384
Новость: http://www.opennet.me/opennews/art.shtml?num=43920
Вообще-то физический доступ равноценен смерти. Все остальное это уже мелочи.
Мне всегда линукс очень нравился тем, как он справляется с флешками: можно совершенно не парится на тему всевозможных троянов на флешке, воткнуть её и скопировать оттуда всё, что нужно. Но теперь выходит, что в этом плане линь не лучше венды.На мой взгляд, в данной ситуации непродуктивно искать оправдания линуксу, придумывая для этого "законы Вселенной" типа "физический доступ равноценен смерти". Типа это не линукс виноват, в том что он дырявый, а Вселенная так устроена. Гораздо продуктивнее иной путь. Надо признать, что безопасность линукса -- не фонтан, и исправлять её. Не любое изменение является улучшением, но любое улучшение -- это изменение. Для того, чтобы улучшить, надо изменить; а для того, чтобы изменить надо сначала признать необходимость изменений, ну а для этого необходимо признать несовершенство.
Вы так говорите, как будто это первая уязвимость в ядре.
1. Для атаки необходимо подключить к компьютеру специально настроенное USB-устройство.
2. Проблема уже исправлена в ядре 4.5-rc4.Внимание вопрос: Где в тексте новости говорится о флешках? В венде уже признали авторан уязвимостью и закрыли?
> В венде уже признали авторан уязвимостью и закрыли?Да, давно.
> В венде уже признали авторан уязвимостью и закрыли?Да, давно.
>> В венде уже признали авторан уязвимостью и закрыли?
>
>Да, давно.Действительно, не знал.
Особенно интересно это: "Представители Microsoft сообщают, что могли бы выпустить патч и раньше, но встретили сопротивление со стороны некоторых своих партнёров, для которых эта фича была очень важна."
> Действительно, не знал.Рвем шаблоны:
https://wiki.ubuntu.com/autorun
> The main use of this blueprint is to autorun windows programs CDs but there is nothing that prevents linux programs to be launched the same way.
> Wine has made a lot of progress and implementing this autorun capability can now be done to ease the installation of windows programs on Ubuntu.Ну и, вроде бы, даже преуспели в этом
https://translate.google.ru/translate?hl=ru&ie=UTF8&prev=_t&.../
(первая "более-менее" серьезно выглядящая ссылка, т.к. искать на аглицком влом)И даже успели наступить на те же грабли:
https://lwn.net/Articles/427135/
> At SchmooCon, Jon Larimer demonstrated a way to circumvent the
> screensaver lock on an Ubuntu 10.10 system just by inserting a USB storage device.Хотя да, тут "всего лишь" исользовали автомонтирование и черезмерную "шибко-вумность" наутилуса. Хотя принцип схож – лишняя автомагия.
Попсовизация операционных систем в ущерб безопасности - это зло.
А в линуксе еще недавно пытались запилить свои автораны в убунтах.
Да-да. Давайте, чтобы не признавать существование проблемы в линуксе, будем переводить стрелки на венду. Проблема описанная в новости существует в линуксе. Венда здесь совершенно ни при чём.
Да, давайте, в линуксе проблем нет. в винде есть.
а у вас проблемы с мат.частью, не понимаешь чем биос устройства отличается от содержимого флешки, иди тогда дальше автораны пускай.
>Проблема описанная в новости существует в линуксе.Новость не читай @ Комментарий отправляй
>Проблема уже исправлена в ядре 4.5-rc4
>>Проблема описанная в новости существует в линуксе.
>Проблема уже исправлена в ядре 4.5-rc4Исправление в коде на kernel.org автоматически не оказывается вдруг у всех пользователей (равно как и новодырчатый код).
При обсуждении вопросов безопасности не следует смешивать такие различные варианты понимания слов "проблема исправлена".
>Исправление в коде на kernel.org автоматически не оказывается вдруг у всех пользователейОбъяснять это мамкиным хакирам и одминам локалхоста бесполезно.
>>Исправление в коде на kernel.org автоматически не оказывается вдруг у всех пользователей
> Объяснять это мамкиным хакирам и одминам локалхоста бесполезно.Только не говорите, что Вашим первым словом было :wq :)
> Да-да. Давайте, чтобы не признавать существование проблемы в линуксе, будем переводить стрелки на венду.Ordu, научитесь мотировать флешки с noexec, да и все прочие разделы, где не нужно исполнение (кроме системного) тоже. А на системном разделе в любом приличном дистрибутиве установлены вполне адекватные дефолтные права доступа.
> Проблема описанная в новости существует в линуксе. Венда здесь совершенно ни при чём.В нормально настроенном Линуксе этой проблемы нет, как и в нормально настроенной винде.
Не можешь настроить систему сам - обратись к специалисту.
> Без наличия возможности выполнения кода на локальной системе уязвимость позволяет только инициировать отказ в обслуживании (крах ядра).Здесь в новости неверная подача сути проблемы. Суть не в "возможности выполнения кода на локальной системе" а в возможности исполнять любой код откуда попало.
Полностью согласен. Люди всегда и во всё ищут отговорки, вместо того, чтобы признать проблему и быстро решить её.
> Мне всегда линукс очень нравился тем, как он справляется с флешками: можно совершенно не парится на тему всевозможных троянов на флешке, воткнуть её и скопировать оттуда всё, что нужно. Но теперь выходит, что в этом плане линь не лучше вендыНу так и раньше были у линуксов уязвимости на тему авторанов и прочего. Например недавняя уязвимость ffmpeg, которую замечательно использовать через thumbnailer.
Другое дело, что принцип Неуловимого Джо работает. Так что при наличии обновлений на ОС я бы не стал чего-то бояться.
> можно совершенно не парится на тему всевозможных троянов на флешке, воткнуть еёТем более в статье речь про умное кастомное usb устройство, что не получится с обычной флешкой
А тут уж как про хакера в столовой. Можно вообще легко собрать кастомную флешку, которая будет палить usb порты на материнке :D И плевать какое защищенное (или нет) у тебя ПО.
>> можно совершенно не парится на тему всевозможных троянов на флешке, воткнуть её
> Тем более в статье речь про умное кастомное usb устройство, что не
> получится с обычной флешкой
> А тут уж как про хакера в столовой. Можно вообще легко собрать
> кастомную флешку, которая будет палить usb порты на материнке :D И
> плевать какое защищенное (или нет) у тебя ПО.Вы уверены, что завтра не появится какая-нибудь малварь, которая начнёт перепрограммировать флешки? А если смартфон используется как флешка?
Не, я не спорю, принцип Неуловимого Джо работает. Он сейчас работает. Но меня раздражает не это, меня раздражает позорная манера линупсоидов отрицать существующие проблемы. Находить тысячи оправданий этой проблеме, доказывать что чёрное это белое и проблема не является проблемой. Или доказывать, что проблема в линуксе -- это проблема не в линуксе, а в юзерспейсе. Или что проблема не в линуксе, а в возможности воткнуть флешку в usb-порт. Или, что в венде ещё более серьёзная проблема есть.
На фоне проблем Винды Линукс это агнец божий.
В нём хотя бы нет предустановленных троянов от разрабов ОС и third-party трои так легко не пролезут.
Уже одно это - много.
Хватит переводить стрелки.
Страус с зондом от Наделлы.
Страус с зондом от Амазона и Шаттловрота.
> Вы уверены, что завтра не появится какая-нибудь малварь, которая начнёт перепрограммировать флешки?Неважно что появится ЗАВТРА, проблему уже СЕГОДНЯ исправлена. $USERNAME
> меня раздражает позорная манера линупсоидовВот смотрите, я линуксовод. Вас не затруднит привести ссылки, где я бы демонстрировал описанное Вами поведение?
Что же касательно "тысяч оправданий" -- чёрное всё так же чёрное, а вот попытки некрософта раскручивать утверждения вроде "дырки в юзерспейсе -- это дырки в линуксе" некоторые из нас прекрасно помнят ещё по недоброй памяти Get The Facts. При этом наличие действительно более серьёзных проблем в винде оный некрософт в подобной "гартнеровской аналитике" почему-то не афишировал.
Отсюда просьбы/предложения/требования, смотря по уровню читающего:
- не уподобляться тем, кто пытается затушевать реальные проблемы до "да ладно вам";
- не раздувать, с другой стороны, из мух слонов, но стараться оценивать объективно;
- понимать, что вопросы безопасности платформ существуют не в сферическом вакууме.
во всех топиках где ищешь студентов MS. коих легион...
>> меня раздражает позорная манера линупсоидов
> Вот смотрите, я линуксовод. Вас не затруднит привести ссылки, где я
> бы демонстрировал описанное Вами поведение?Если вы не демонстрировали это поведение, значит ли это, что никто из линуксоидов не демонстрировал? Значит ли это, что большинство линуксоидов не демонстрировало? Вы здесь постоянно, вы же должны видеть закономерность: стоит появиться новости об уязвимости в линуксе, большинство комментариев посвящено тому, чтобы доказывать, что уязвимости нет.
> Что же касательно "тысяч оправданий" -- чёрное всё так же чёрное, а
> вот попытки некрософта раскручивать утверждения вроде "дырки в юзерспейсе -- это
> дырки в линуксе" некоторые из нас прекрасно помнят ещё по недоброй
> памяти Get The Facts. При этом наличие действительно более серьёзных
> проблем в винде оный некрософт в подобной "гартнеровской аналитике" почему-то не
> афишировал.Лол. Вот вы сейчас демонстрируете как раз это самое поведение. Переводы стрелок. Какое вам лично дело до венды? Какое *мне* дело до венды?
> Отсюда просьбы/предложения/требования, смотря по уровню читающего:
> - не уподобляться тем, кто пытается затушевать реальные проблемы до "да ладно
> вам";
> - не раздувать, с другой стороны, из мух слонов, но стараться оценивать
> объективно;
> - понимать, что вопросы безопасности платформ существуют не в сферическом вакууме.Я согласен с этим абсолютно. Но если вы будете увидив критику безопасности линукса рассказывать нам о том, что в венде ещё хуже, то никакой объективности вы не получите никогда.
> Если вы не демонстрировали это поведение, значит ли это, что никто из
> линуксоидов не демонстрировал?Но Вы же не использовали квалификаторы "некоторые" или "многие", хотя явно понимаете разницу; вот и докапываюсь.
> Вы здесь постоянно, вы же должны видеть закономерность: стоит появиться новости
> об уязвимости в линуксе, большинство комментариев посвящено тому, чтобы доказывать,
> что уязвимости нет.С такой страусиной позицией тоже стараюсь работать в меру сил и понимания, пока с её носителями не провели воспитательную работу боты, скидди или хуже.
>> [...] некоторые из нас прекрасно помнят ещё по недоброй памяти Get The Facts [...]
> Лол. Вот вы сейчас демонстрируете как раз это самое поведение. Переводы стрелок.Не-а. Попробуйте перечитать, наверное, опять невнятно выразился.
> Какое вам лично дело до венды? Какое *мне* дело до венды?
Напоминаю о совсем другой аудитории, нетехнической -- которой в лучшем случае приходится выбирать из разных зол, а в худшем за них уже выбрали и предпринимают усилия к тому, чтобы "пациенты" не перешли к самостоятельной оценке.
Да, это совсем другой контекст, но какого-то лешего аукается он и на технических ресурсах (и если бы только он).
> Я согласен с этим абсолютно. Но если вы будете увидив критику безопасности
> линукса рассказывать нам о том, что в венде ещё хуже, то никакой объективности
> вы не получите никогда.То, что в винде бывает ещё хуже -- не повод downplay'ить или вовсе игнорировать свои проблемы ни разу.
> Или доказывать, что проблема в линуксе -- это проблема не в линуксе, а в юзерспейсе.В "юзеркомпетентности" и "юзерголове".
Точно. И это тоже.
1) подключить устройство
2) выполнить кодиначе говоря если вам дадут такую флешку с вами ничего не случится. если вы сами не запустите еще и код
> Надо признатьИМХО, надо говорить ИМХО!
Вы какую-то ерудну пишите. Микрософт действительно длительное время закрывала глаза на баги в ИЕ, ядре и других своих приложениях. В линуксе же, вы можете описать проблемы, предложить пути решения, написать патчи. Разработчики посмотрят и если предоставленная вами информация стоит внимания она будет учтена в следующей версии. Если, баг очень критичный - появится быстро патч, иногда в течение суток, если не очень, в течение месяца.С продуктами виндоус вы за точно такие же действия можете сесть в тюрьму или попасть на нехилый штраф за нарушение лицензионного соглашения совершение противоправных действий в отношении патентованных технологий Микрософта. Из-за этого время жизни багов в продуктах МС измеряется, часто, годами (хоть сейчас ситуация уже должна быть по-лучше), а в линуксе часто неделями. Т.к. гражданский контроль у этой системы выше.
Но и само собой не стоит строить иллюзию что Linux - это лекарство от всех бед. Что-то он умеет лучше винды, что-то хуже, но для получения максимальной нужно оценивать адекватно ОС, тогда будет безмерное счастье.
Сам пользуюсь линуксом уже лет 6, в качестве основной системы, сказать что проблем с ним нет, не могу, но работает он шустрее винды 10й на порядок, по отзывчивости. Но, есть проблемы с 3д графикой, не так хороша она как винде, потому стоит ещё вторая ОС Win10, когда надо включаю её, что бывает с каждым годом все реже и реже, а желания запускать этого глючного монстра нет уже с момента выхода 8й версии.
Подписываюсь под всем, что вы тут написали. Но можно подробнее про "проблемы с 3D графикой" в Linux? В чём она хуже, чем на Windows?
> Но теперь выходит, что в этом плане линь не лучше венды.Если тебе уже подсунули и запустили свой код и подогнали BadUSB устройство - да, Linux облажается. Но при таких вводных тебя уже поимели, а USB устройство может из флешки внезапно стать клавиатурой. На усмотрение прошивки контроллера "флешки".
Твой любимый кабель для подзарядки любимого же телефона незаметно меняют, неаметно меняют, совсем незаметно меняют на вундервафлю, которая не только заряжает телефон, но и незаметно грузит со встроенной флэшки троян...
https://www.reddit.com/r/talesfromtechsupport/comments/2mkml.../
Вы не путаете физический доступ с правами администратора с просто физическим доступом?От физического доступа можно и нужно защититься, начиная с защищённого корпуса и кончая SecureBoot со своими ключами, подписанным загрузчиком и ядром. Собственно, не всегда ПК стоит у вас в спальне и доступ к нему имеете лишь вы. Бывают и публично доступные компьютеры.
>Вы не путаете физический доступ с правами администратора с просто физическим доступом?Нет.
>От физического доступа можно и нужно защититься, начиная с защищённого корпуса и кончая SecureBoot со своими ключами, подписанным загрузчиком и ядром.
Подписанных пейлоудов хоть !"№;й жуй.
>Бывают и публично доступные компьютеры.
Защищены камерами и запертым в шкафу системником. А не вовсе программным методом.
Вы путаете физический доступ с простыми правами доступа. Физический доступ - это молотком разломать сервак до неработоспособности, или вытащить из него винчестер, подключить его к своему ноутбуку и выкачать все пароли, и т.д.
А USB ничем не отличается от Ethernet. Кстати у некоторых сеть через USB подключена.
Физический доступ это клава или пароль к ipmi, все остальное мелочи, включая пароли на биос.
Правильно, о USB защите думать не надо. Если чё, пользователь сам виноват, тему можно закрывать.
Вот поэтому для критичных к безопасности тазиков нужно собирать кастомное ядро, в котором не было бы всяких snd-usb. Только то, что нужно для работы именно этого тазика.
Гусь?
"критичных к безопасности локалхостов"
поадмините несколько лет приличный парк - наткнётесь на какой-нибудь бешеный баг ядра. засабмитить репорт на ванильном ядре в opensuse/centos - как два пальца об асфальт, а с кастомным конфигом вас отправят кое-куда.
Там же модулями практически всё, что можно, собирается, ограничить их загрузку - не проблема
Да это вообще хорошая практика, и усилия не так велики, как кажется. Кстати, интересно - есть какой-то софт, который бы это дело упростил? Ну там - проанализировать железо, задать вопросы на тему "какие ещё устройства/функции вам нужны" и выдать заготовку конфига?
https://wiki.archlinux.org/index.php/Modprobed-db
О, спасибо большое!
> нужно собирать кастомное ядроНаписано же "... модуле ..."
Может я что то не то делаю я хз. В арчике даже из под рута пишет отказано в достуе chmod не помог
> В арчике даже из под рутаНе переживай, так уже бывало. ПРАВИЛЬНЫЙ бэкдор в твой арчик успешно внедрён. Хоть оно и написало, что в доступе отказано.
>выявлена критическая уязвимостькритическая, б**.
вот красные шапочники правильно оценили "критичность": Priority:low Severity:low Status:CLOSED WONTFIX (в отличии от икпертов опеннета)
Случайно не на Леню этот баг повесили?
А почему WONTFIX?
Я нашел критическую уязвимость во всех компьютерах: при подключении своего жесткого диска злоумышленник вероятно сможет выполнить произвольный код.
>> Я нашел критическую уязвимость во всех компьютерах: при подключении своего жесткого диска
>> злоумышленник вероятно сможет выполнить произвольный код.Новость то хоть почитайте для приличия...
>Для атаки необходимо подключить к компьютеру **специально настроенное USB-устройство**И на нормальных системах, даже с авто-монтированием, ни одному устройству не дают права на исполнение с них. Исключение составляла разве что Wendoz, я так понимаю, до Wendoz 10 (8?).
modprobe: FATAL: Module usb-audio not found in directory /lib/modules/4.3.0-0.bpo.1-amd64
Ну и ладно.
>Без наличия возможности выполнения кода на локальной системе уязвимость позволяет только инициировать отказ в обслуживании (крах ядра).Мне кажется или все это не прочитали?
Уязвимость ни о чём, если ей ещё нужно выполнять код на локальной системе.
Пасаны, я нашел уязвимость всех времен и народов!
1. Просто подключаю свой винт сата/е-сата с подготовленным дистрибутивом на нем = тоже самое что наше USB спец устройство.
2. Ребутаю тазик
3. Конфигурю биос
4. Гружусь с новоиспеченного винта
5. Тырю все что нужно в других винтов... - т.е. имею физ доступ к машине.
6. ???????
7. PROFITPriority:'high' Severity:'show stopper' Status:'We all die'
Системник на замок, биос на пароль. Теперь только кувалда. :)
Еще нужно оптическому приводу запретить возможность загрузки, и для USB тоже :)
> Еще нужно оптическому приводу запретить возможность загрузки, и для USB тоже :)Лучше питание не подключать. Против такой защиты бессильны даже хакеры.
> Для атаки необходимо подключить к компьютеру специально настроенное USB-устройство, передающее .... а также запустить в системе определённый код под непривилегированным пользователем1. все флешки всегда монтировать с параметрами noexec,nodev,nosuid
2. Настройки ядра с grsec: CONFIG_GRKERNSEC_DENYUSB и CONFIG_GRKERNSEC_DENYUSB_FORCE
3. Разрешаем только свои USB устройтсва в eudev правилах https://wiki.gentoo.org/wiki/Allow_only_known_usb_devices#eudev
> 1. все флешки всегда монтировать с параметрами noexec,nodev,nosuidГде в KDE теперь выставляются опции монтирования по умолчанию? Как в KDE-4, KDE-5 поставить noexec?
> Где в KDE теперь выставляются опции монтирования по умолчанию? Как в KDE-4,
> KDE-5 поставить noexec?В /etc/fstab - у всех работает :)
В /etc/fstab да, всегда сработает, но не все варианты...В автомаунтере KDE должна быть возможность указания опций с какими монтировать флешки, как, например, в Gnome.
Мне и в исходниках подойдёт, в каком файле эти опции есть?