В старых версиях FreeBSD 7.x и 8.x, выпущенных до версий 7.3 и 8.0-rc1, найдена (http://security.freebsd.org/advisories/FreeBSD-SA-10:09.pseu...) уязвимость в коде API pseudofs, предназначенном для организации работы с псевдо-файловыми системами, такими как procfs и linprocfs. Ошибка может привести к разыменованию NULL-указателя и локальному выполнению кода злоумышленника в случае если в системе не запрещен маппинг кода по нулевому адресу.
В качестве временной защиты можно отмонтировать псевдо-ФС или установить sysctl security.bsd.map_at_zero в 0 (в этом случае вместо выполнения кода будет наблюдаться крах ядра). Проблема исправлена в сентябре прошлого года, но о возможности эксплуатации данной ошибки стало известно только сейчас. Про наличие проблемы в ветке 6.x информации нет, но нелишним будет напомнить, что поддержка ветки 6.x будет полностью прекращена 30 ноября.
URL: http://security.freebsd.org/advisories/FreeBSD-SA-10:09.pseu...
Новость: http://www.opennet.me/opennews/art.shtml?num=28611
разве в freebsd procfs еще осталась?
в каком смысле? а куда ей деваться?
Да, но её никто не не использует.
да прям там. gnome без procfs не работает.
Если админ ставит на сервер Gnome, то пусть ему и будет уязвимость и извещение об увольнении :)
> Если админ ставит на сервер Gnome, то пусть ему и будет уязвимость
> и извещение об увольнении :)причем тут сервер? я использую фрю на рабочем ноутбуке.
И что, у вас на нём много локальных злоумышленников?
Ну так, порносайт - уязвимость фуррифокса - выполнение эксплоита от локального пользователя --- ЗКЩАШЕ!
Ради справедливости стоит заметить что хотя вы и правы, вероятность найти порносайт, ориентированный на поимение бсдшника с десктопом - лишь немногим больше чем вероятность того что завтра вам на голову упадет метеорит :)
> Ради справедливости стоит заметить что хотя вы и правы, вероятность найти порносайт,
> ориентированный на поимение бсдшника с десктопом - лишь немногим больше чем
> вероятность того что завтра вам на голову упадет метеорит :)Не обязательно. зловред может распространяться по баннерным партнёркам, проверять версию ОС и подтягивать/применять соответствующий эксплоит.
Но тут есть проблема, такой зловред либо палевен, либо дорог.
> зловредНе надо использовать этот уродский сленг пятнадцатилетних кулхацкеров
>> зловред
> Не надо использовать этот уродский сленг пятнадцатилетних кулхацкеровкогда рабочий день проходит в атмосфере паров ацетона, канифоли и отмывки флюса, то начинаешь употреблять необычные для себя фигуры речи.
> кулхацкеровЕще какие "типичные" словечки на ум приходят особо анонимным?
>> зловред
> Не надо использовать этот уродский сленг пятнадцатилетних кулхацкеровВпервые это слово я услышал в книге писателя-фантаста С.Снегова "Люди как боги" 60-х годов :-)
> Не обязательно. зловред может распространяться по баннерным партнёркам, проверять версию
> ОС и подтягивать/применять соответствующий эксплоит.Ну разве что кто-то из чисто эстетических соображений/любви к искусству сделает что-то типа PoC, доказывающего всем "смотрите, бздунов тоже можно поиметь". Практический смысл этого действа под вопросом: результат будет мизерный. Из 20 000 пиров в ed2k под фрей оказывается в лучшем случае 1-2 (не знаю насколько они там десктопы, может и headless машины под столом у юзеров). Да еще и среди бсдунов все-таки больше адекватных админов чем среди виндузятников, так что есть риск что малварь попадет под внимание антивирусников, как раз залетев к более-менее внимательноу бсдуну на систему.
> Но тут есть проблема, такой зловред либо палевен, либо дорог.
Скорее, большая часть хацкеров элементарно поленится ради ничтожного (если не отрицательного) результата прикручивать еще и фрю. Хотя ессно всегда есть риск что некто решит докзать себе или остальным что и фрю тоже можно раздолбать (а никаких теоретических препятствий к этому и правда нет).
> И что, у вас на нём много локальных злоумышленников?Я один. А как этот вопрос соотносится с темой сообщения? Трололо?
да почему, просто уязвимость-то локальная. Вряд ли кто-то придёт за ваш ноутбук и вызовет у вас крах ядра или исполнение кода.
> да почему, просто уязвимость-то локальная. Вряд ли кто-то придёт за ваш ноутбук
> и вызовет у вас крах ядра или исполнение кода.ну так я и не настаивал на том, что уязвимость опасная, я в защиту procfs вступался ).
а что до уязвимости, то у меня таких старых систем нет нигде (которые подвержены - 8.0 и т.д.).
> ну так я и не настаивал на том, что уязвимость опасная, я в защиту procfs вступался )procfs нужен гному, так что проблема в гноме. Не юзайте эту дрянь - не надо будет монтировать небезопасные фс.
>> ну так я и не настаивал на том, что уязвимость опасная, я в защиту procfs вступался )
> procfs нужен гному, так что проблема в гноме. Не юзайте эту дрянь
> - не надо будет монтировать небезопасные фс.глупость. проблема в коде procfs старых версий freebsd. уязвимости бывают в любом ПО, это ж не значит, что нужно перестать им пользоваться. а выбор DE на моем ноуте предоставьте, пожалуйста, мне.
> Я один. А как этот вопрос соотносится с темой сообщения? Трололо?Включите мозг и перечитайте тред.
>> Я один. А как этот вопрос соотносится с темой сообщения? Трололо?
> Включите мозг и перечитайте тред.я уже ответил - см. сообщение 20. связи между тем что я писал ранее и "локальными злоумышленниками" там нет. так что поешьте лучше вы пару nuts megabyte.
>да прям там. gnome без procfs не работает.Работает GNOME и без procfs - без этого не работает автомонтирование.
>>да прям там. gnome без procfs не работает.
> Работает GNOME и без procfs - без этого не работает автомонтирование.Как минимум не работает меню Система -> Администрирование.
И с диалогом выключения/перезагрузки какие-то проблемы были. Проблемы с gnome-keyring/seyhorse. Большой процент вопросов и баг-репортов, направляемых в ports@, связан именно с тем, что у людей не смонтирована procfs.Грепайте по слову "procfs":
http://www.freebsd.org/gnome/docs/faq2.html
> Как минимум не работает меню Система -> Администрирование.
> И с диалогом выключения/перезагрузки какие-то проблемы были. Проблемы с gnome-keyring/seyhorse.
> Большой процент вопросов и баг-репортов, направляемых в ports@, связан именно с
> тем, что у людей не смонтирована procfs.
> Грепайте по слову "procfs":
> http://www.freebsd.org/gnome/docs/faq2.htmlПочему же у меня все работает? :-) После сборки Гнома из портов прошло пару месяцев (пока не возникла потребность в автомонтировании флэшки) как я жил без procfs и у меня все работало. Если бы не автомонтирование, я бы и не стал прописывать procfs себе в fstab.
Хотя, может быть, не работала кнопка Разблокировать в Система -> Администрирование -> Пользователи и группы. Такое может быть, ибо не пользовался пока есть команда pw.
>[оверквотинг удален]
>> Грепайте по слову "procfs":
>> http://www.freebsd.org/gnome/docs/faq2.html
> Почему же у меня все работает? :-) После сборки Гнома
> из портов прошло пару месяцев (пока не возникла потребность в автомонтировании
> флэшки) как я жил без procfs и у меня все работало.
> Если бы не автомонтирование, я бы и не стал прописывать
> procfs себе в fstab.
> Хотя, может быть, не работала кнопка Разблокировать в Система -> Администрирование ->
> Пользователи и группы. Такое может быть, ибо не пользовался пока
> есть команда pw.ну странно конечно, возможно в 2.30 что-то поменялось в этом плане, а procfs у меня подмонтирован где-то с 2.22. Но факт что люди регулярно пишут в ports@ с проблемами и им говорят что у них не подключен procfs.
policykit еще до сих пор требует procfs.
> policykit еще до сих пор требует procfs.Не трубует.
> ну странно конечно, возможно в 2.30 что-то поменялось в этом плане, а
> procfs у меня подмонтирован где-то с 2.22. Но факт что люди
> регулярно пишут в ports@ с проблемами и им говорят что у
> них не подключен procfs.В 2.22 у меня было так же. :-) Как показывает регулярное чтение рассылок FreeBSD GNOME, проблемы у людей зачастую встречаются на таких ровных местах, что даже и не подумаешь. :-) Кроме того, единственное место, в котором я встретил нужность procfs это здесь: http://www.freebsd.org/gnome/docs/halfaq.html#q3
а у меня толькоlinproc /compat/linux/proc linprocfs rw 0 0
видать неиспользование гнома и отвращение к автомонтированию выручает
начинается... есди вы не используете, то это не значит что ее никто не использует
> Да, но её никто не не использует.Например, есть такая полезная утилита, как truss (аналог линухового strace): если бинарь на чем-либо спотыкается, утилита подскажет, на чем именно
> Например, есть такая полезная утилита, как trussЕсть гораздо более информативная ktrace, которой не нужны недофс
> (аналог линухового strace)
Вот в том то и дело что "аналог линухового" - там этот маразм с файловой системой придумали, вместо нормального API для получения информации от ядра. Теперь чтобы узнать значение одного байта, надо уметь аж строки парсить.
> Вот в том то и дело что "аналог линухового" - там этот
> маразм с файловой системой придумали, вместо нормального API для получения информации
> от ядра. Теперь чтобы узнать значение одного байта, надо уметь аж
> строки парсить.у вас видимо другой truss, у меня он великолепно работает и без procfs.
а зачем truss-у procfs?
и, кстати, юзайте ktrace, оно подробнее
> а зачем truss-у procfs?Вероятно, уже удалили
http://lists.freebsd.org/pipermail/freebsd-current/2007-Apri...
Тем не менее, получается, зависит от версии truss
> и, кстати, юзайте ktrace, оно подробнее
Я лишь привела пример утилиты, зависящей от procfs во фре. Думаю, еще кто-нибудь вспомнит парочку примеров :)
А так, можно сказать, что "не юзайте Gnome, юзайте KDE(XFCE/LXDE/вообще не DE а WM какой-нить)"
Читайте внимательнее. Уязвимость в pseudofs, а это значит что и в devfs в том числе.
В SA devfs неупоминается. это раз
в первом приближении какой-либо завязки devfs на pseudofs я не заметил. сразу скажу, но искал плохо. и да, это два
> В SA devfs неупоминается. это раз
> в первом приближении какой-либо завязки devfs на pseudofs я не заметил. сразу
> скажу, но искал плохо. и да, это дваТочняк, ошибся. Только procfs, linprocfs и linsysfs.
если даже и procfs, linprocfs и linsysfs тогда я всё-равно не подвержен, у меня 8.1
> Проблема исправлена в сентябре прошлого года, но о возможности эксплуатации данной ошибки стало известно только сейчасСтало быть, конец света пока отменяется? :-)
Да нет просто правильнее "стало известно широкой массе", так что конец света уже для когото незаметно наступитл:)
>о возможности эксплуатации данной ошибки стало известно только сейчасЧитаем - никто не додумался тогда, что это можно поиметь. Исправили как обычный баг.
"или установить sysctl security.bsd.map_at_zero в 0" - добавили возможность включить запрет год назад. Молодцы. Не знал. Вот только по умолчанию он отключён - сразу ясно, насколько разработчики "concerned about security". :)
На 8.1 по умолчанию security.bsd.map_at_zero = 0
> "или установить sysctl security.bsd.map_at_zero в 0" - добавили возможность включить запрет
> год назад. Молодцы. Не знал. Вот только по умолчанию он отключён
> - сразу ясно, насколько разработчики "concerned about security". :)на 7-ке он в 1
на 8-ке он в 0
"concerned about"? Выучи язык, а пока не позорься.В 7.x разработчики озабочены совместимостью, поэтому флаг не трогали. Кроме того, людям которые даже не могут обновться до актуальной ветки, никакая безопасность нахрен не сдалась.
Ты наверно профессор Гарварда по англ. яз.? Тогда чем вот это объяснишь: http://lingvo.abbyyonline.com/ru/Translate?routeText=be+conc..."людям которые даже не могут обновться до актуальной ветки" - а если могут (умеют), но не могут (например, хостеры - перерыв в работе на 10 мин - убытки 1 млн)?
Оффтоп А если бы все могли обновиться, то нахрена тогда вообще поддержка старых версий? Выпустил новую - все обновляются в течение полчаса, и всё, гудбай,- а что - круто, да? И никаких тебе 32-битных ядер, когда у всех процы 64-битные (ну а кто не смог проц обновить, тот тоже лох, того тоже в топку)...
> (например, хостеры - перерыв в работе
> на 10 мин - убытки 1 млн)вы конечно загнули :) как правило рассылается оповещение: "такого-то во столько-то (обычно ночью по мск) будут тех. работы на 30-ть минут", бывает конечно, что юзеры матюгаются, тыкаешь таких в рассылку. А что делать если обновляться нужно? Хостер не отключает же все сервера разом, и на долго, а на критичных узлах (квага, резолвер), вообще все под carp-ом и укладывание одной ноды проходит не заметно. Так же, когда находят дыры в мире, то не нужно и ребутаться, поставил патчи и пересобрал критические места (как например с FreeBSD-SA-10:08.bzip2). Так что нет ни каких убытков, выдумки это.
> "concerned about"? Выучи язык, а пока не позорься.Ты бы за собой смотрел и сам не позорился. :) Во-первых, это правильное и часто употребляемое выражение. Во-вторых, это цитата: http://www.freebsd.org/features.html
> В 7.x разработчики озабочены совместимостью, поэтому флаг не трогали. Кроме того, людям
Совместимостью с чем? С Wine? Пустые отговорки и лицемерие, как обычно.
> которые даже не могут обновться до актуальной ветки, никакая безопасность нахрен
> не сдалась.Для безопасности, а также надёжности и предсказуемости старый стабильный код во многих случаях предпочтительнее нового.
> В качестве временной защиты можно отмонтировать псевдо-ФС или установить sysctl security.bsd.map_at_zero в 0 (в этом случае вместо выполнения кода будет наблюдаться крах
> ядра).Вот все думал, чем мне нравится фряха.
Теперь понял - среди её разработчиков всяко полно русских.
Система уйдет в кернел паник, но врагу не сдастся =)