Опубликован (http://seclists.org/oss-sec/2013/q2/642) эксплоит, направленный на поражение ядра Linux из состава RHEL 6, позволяя непривилегированному пользователю вызвать крах ядра. Примечательно, что по утверждению представителей Red Hat указанный эксплоит не действует с оригинальным ядром из RHEL 6, но проявляется для пересборки того же ядра, поставляемого в составе CentOS 6, что заставляет задуматься о методах сборки ядра Red Hat. Работа эксплоита проверена на ядрах -220 и -358. Проблема также проявляется на ядре от проекта OpenVZ, что даёт возможность пользователю изолированного контейнера вызвать крах базовой хост-системы. Обновление пакета с ядром с устранением уязвимости пока недоступно (http://lists.centos.org/pipermail/centos-announce/2013-June/...).
URL: http://seclists.org/oss-sec/2013/q2/642
Новость: http://www.opennet.me/opennews/art.shtml?num=37316
>Примечательно, что по утверждению представителей Red Hat указанный эксплоит не действует с оригинальным ядром из RHEL 6, но проявляется для пересборки того же ядра, поставляемого в составе CentOS 6, что заставляет задуматься о методах сборки ядра Red Hat.логичный вывод следует, что редхат и является автором эксплойта
> что редхат и является автором эксплойтадля энтерпрайза они решили еще и свой антивирус запилить
Антивирус придется запилить тому, кто официально начнет распространять софт в бадлах a la *.msi через левые варезники. То есть, убунтовцам.
>> даёт возможность пользователю изолированного контейнера
>> вызвать крах базовой хост-системыОтличная вещь! :) И опубликован :)
> Отличная вещь! :) И опубликован :)Крах системы конечно плохо. Но помнится кой-кого с 20-летием поздравили посимпатичнее - вывалив сплойт где подъем прав до рута, что как-то куда функциональнее.
>> Отличная вещь! :) И опубликован :)
> Крах системы конечно плохо. Но помнится кой-кого с 20-летиемВо-первых, у Анонима косоглазие, он не видит локал-рутов в линуксе? Во-вторых, как наглядное пособие к "chroot - не средство безопасности" на новом витке, очень ничего.
> как наглядное пособие к "chroot - не средство безопасности"Так к любому средству безопасности можно наглядное пособие сделать.
Перенес из контейнеров в полноценную виртуалку - в xen и kvm дыры наверняка найдутся.
Перенес из виртуалки на выделенный физический хост, отключенный от сети - придет толпа отморозков с битами.
И т.д.
>> как наглядное пособие к "chroot - не средство безопасности"Восспидя :)
Тут косяк при сборке. При чём там "chroot"??
Это такой ассемблерный киндер матт :)
> Восспидя :)
> Тут косяк при сборке. При чём там "chroot"??
> Это такой ассемблерный киндер матт :)Спамбот увидел ошибку в своем бинарнике и впал в экзистенциальный кризис? Ну-ну.
> наверняка найдутся.Хм, покажите мне дыры в KVM? А то теоретически все так, практичкски - их прямо как-то подозрително мало.
> Крах системы конечно плохо. Но помнится кой-кого с 20-летием поздравили посимпатичнее -
> вывалив сплойт где подъем прав до рута, что как-то куда функциональнее.Напомни, кого это так повеселили?
> Напомни, кого это так повеселили?Это разработчик эксплойта фрибсд с 20-летием так поздравил. Сообщение с поздравлением начиналось недвусмысленным сабжем: Happy Birthday FreeBSD! Now you are 20 years old and your security is the same as 20 years ago... :)
Ну в общем подробнее - в сорце сплойта приаттаченом к http://seclists.org/fulldisclosure/2013/Jun/161 :). Так что блеяние линуксрипа мне вообще не понятно. Крах ядра конечно ай-яй-яй, но подъем прав до рута - интереснее, пожалуй.
>>> даёт возможность пользователю изолированного контейнера
>>> вызвать крах базовой хост-системы
> Отличная вещь! :) И опубликован :)Апрель 2011
https://access.redhat.com/security/cve/CVE-2012-3552
Это к вопросу сверки бинарников и исходников...
+ кое кто продолжает затягивать гайки на шее своих клонов.
Заявление редхат как бы намекает, что они все предусмотрели у себя, но патч не покажут, обойдетеся.
> + кое кто продолжает затягивать гайки на шее своих клонов.Оракл у клонов солярки? Там не просто затягивание гаек, там прямое удушение.
Познавательно. Ну а в данном случае пока только гайки
не, в суде это чревато кучей исков.
плюс недавно и ЕС и США - приняли ряд законов - Обязывающих публиковать и фиксить в отведенный срок, вендоров.
в дополнении к ранее существовашим, генерализованным, за которые также пороли их.
> + кое кто продолжает затягивать гайки на шее своих клонов.
> Заявление редхат как бы намекает, что они все предусмотрели у себя, но патч не покажут, обойдетеся.Гражданин, вы о чем вообще? Какие клоны? Что предусмотрели?
> Это к вопросу сверки бинарников и исходников...Скорее, флагов компиляции.
А они в srpm-ке не задаются, что ли?
Есть такая концепция - unix way.
Она позволяет даже из предельно простого и прозрачного механизма сделать обфусцированную лапшу.
В спеках SRPM она проявляется в виде макросов.
> Есть такая концепция - unix way.
> Она позволяет даже из предельно простого и прозрачного механизма сделать обфусцированную
> лапшу.
> В спеках SRPM она проявляется в виде макросов.Вот трындеть только не надо, ладно? Дай дураку стеклянный х.й - он его сломает и руки до костей порежет.
> Это к вопросу сверки бинарников и исходников...Каким боком оно здесь?
ох уж эти рет хат чили пеперц
> ох уж эти рет хат чили пеперцЗаткнись, пожалуйста. Ладно? В каждой бочке затычка.
Работает на i386 и x86_64 CentOS из под непривилигированного пользователя:$ uname -a
Linux server 2.6.32-358.11.1.el6.x86_64 #1 SMP Wed Jun 12 03:34:52 UTC 2013 x86_64 x86_64 x86_64 GNU/Linux
$ cat /etc/redhat-release
CentOS release 6.4 (Final)
$ gcc hemlock.c -o hemlock
$ ./hemlock
[+] giving ourselves some poison...
[+] polluted kernelspace with more crap
[+] polluted kernelspace with more crap
[+] polluted kernelspace with more crap
[+] polluted kernelspace with more crap
............ и kernel panic$ uname -a
Linux server 2.6.32-358.11.1.el6.i686 #1 SMP Wed Jun 12 01:01:27 UTC 2013 i686 i686 i386 GNU/Linux
$ cat /etc/redhat-release
CentOS release 6.4 (Final)
$ gcc hemlock.c -o hemlock
$ ./hemlock
[+] giving ourselves some poison...
[+] polluted kernelspace with more crap
[+] polluted kernelspace with more crap
[+] polluted kernelspace with more crap
............ и kernel panic
Что-то не понял:
[g@localhost ~]$ uname -r -s -p
Linux 2.6.32-279.el6.x86_64 x86_64
[g@localhost ~]$ cat /etc/redhat-release
CentOS release 6.3 (Final)
[g@localhost ~]$ ./hemlock
[+] giving ourselves some poison...
[+] polluted kernelspace with more crap
[+] polluted kernelspace with more crap
[+] polluted kernelspace with more crap
[+] polluted kernelspace with more crap
[+] polluted kernelspace with more crap
.......................................
[+] polluted kernelspace with more crap
[+] polluted kernelspace with more crap
[-] failed.
Никакого kernel panic.Не работает?
> Никакого kernel panic.Не работает?Приобретите лицензионный RHEL. Если и там не будет работать - обратитесь в техподдержку.
А на бесплатных клонах работоспособность сплойтов никто не гарантирует.
# cat /etc/redhat-release
Red Hat Enterprise Linux Server release 6.4 (Santiago)# uname -s -r -p
Linux 2.6.32-358.11.1.el6.x86_64 x86_64Работает из под непривилегированного пользователя !
> Работает из под непривилегированного пользователя !Ур-ра!!! :)
> Ур-ра!!! :)А вот это - http://seclists.org/fulldisclosure/2013/Jun/161 - тоже работает из-под непривилегированного пользователя :)
Это заклинание "Уничтожить нежить", точно вам говорю. ;-) Бойтесь, некроманты!
> Это заклинание "Уничтожить нежить", точно вам говорю. ;-) Бойтесь, некроманты!На Debian stable не работает :(
>> Это заклинание "Уничтожить нежить", точно вам говорю. ;-) Бойтесь, некроманты!
> На Debian stable не работает :(Это Си, детка! :)
>>> Это заклинание "Уничтожить нежить", точно вам говорю. ;-) Бойтесь, некроманты!
>> На Debian stable не работает :(
> Это Си, детка! :)^^^ А это спамбот, товарищи.
[+] polluted kernelspace with more crap
[-] failed.
zenitur@linux-athlon64x2:~/tor-browser_ru/Desktop>openSUSE 11.4 x86_64, Kernel 2.6.37-20 (2011 год). Странно что не работает. Видимо, виноваты патчи самой Red Hat.
"Работа эксплоита проверена на ядрах 2.6.32-220 и 2.6.32-358"В новости речь идет о RHEL6/CentOS6, причем здесь твой openSUSE?
меня всегда удивляли линуксоиды, которые в новостях постоянно тестят эксплоиты и пишут не работает, хотя не читают условия, были случаи когда ясно по белому написано, что проявляется эксплоит в архитектуре "х64", но нет, куча линуксоидов с версией х32 напишут что эксплоит не рабочий, ядро защищено круто, а тут потестить в сюзи эксплоит для редхата, это что то новое, даи еще не глянуть в какой версии ядра, я думаю это пик оптимизма
> а тут потестить в сюзи эксплоит для редхатаА что, в Red Hat принципиально другое ядро Linux?
"Примечательно, что по утверждению представителей Red Hat указанный эксплоит не действует с оригинальным ядром из RHEL 6, но проявляется для пересборок того же ядра, поставляемого в составе CentOS 6 и CloudLinux 6, что заставляет задуматься о методах сборки ядра в Red Hat."
Вот только по утверждению редхатовцев, всё немножко не так:https://bugzilla.redhat.com/show_bug.cgi?id=979936
This issue does not affect the version of the kernel package as shipped with
Red Hat Enterprise MRG 2.This issue affects the versions of Linux kernel as shipped with
Red Hat Enterprise Linux 5 and Red Hat Enterprise Linux 6. Future kernel
updates for Red Hat Enterprise Linux 5 and Red Hat Enterprise Linux 6 may
address this issue.
> что заставляет задуматься о методах сборки ядра в Red Hat."Доброе утро! В официальной сборке куча патчей, которых нет в исходниках.
да они его "модифицировали по своему и компеляют по своему"
>> а тут потестить в сюзи эксплоит для редхата
> А что, в Red Hat принципиально другое ядро Linux?от vanilla таки сильно отличается.
> А что, в Red Hat принципиально другое ядро Linux?Да. То что редхат называет 2.6.32 может быть не больно похоже на 2.6.32 и содержать кучу всякого хлама.
Ладно архитектура - но в чем криминал проверить на своей версии ядра? Или ждете, что вам дядя расскажет, касается ли уязвимость так же вашей версии?
а тогда начинается претензия что Линукс самый безопасный, хотя стараешься объяснить, что супер безопасности нету, но тогда "видишь, эксплоит у меня не работает", пока некоторые бьются ластами про безопасность, то тихо и не заметно троянизируют сервера и ломают дата центры
> а тогда начинается претензия что Линукс самый безопасныйсамый безопасный openbsd
а linux самый умный
> самый безопасный openbsdНе, самый безопасный - это выключенный компьютер. Толку примерно столько же, да еще и электричество не жрет, а полезность мало отличается.
>> самый безопасный openbsd
> Не, самый безопасный - это выключенный компьютер.Это самый бесполезный (или, наоборот, самый полезный, тут есть нюансы).
А самый безопасный openbsd.
> Это самый бесполезный (или, наоборот, самый полезный, тут есть нюансы).
> А самый безопасный openbsd.Оба перечисленных способа дают примерно одинаковый эффект и по безопасности, и по бесполезности.
>> Это самый бесполезный (или, наоборот, самый полезный, тут есть нюансы).
>> А самый безопасный openbsd.
> Оба перечисленных способа дают примерно одинаковый эффект и по безопасности, и по
> бесполезности.И чего ж тебе, красна девонька, не хватает в openbsd?
ps. Лично мне не хватает mongodb и couchdb, как в 2011 году сломали, так и не починили. :( Остальное всё есть.
> И чего ж тебе, красна девонька, не хватает в openbsd?Операционной системы, например.
>> И чего ж тебе, красна девонька, не хватает в openbsd?
> Операционной системы, например.Операционная система - это небезопасно же.
> И чего ж тебе, красна девонька, не хватает в openbsd?Драйверов оборудования да софта. Без которых операционка столь же полезна как и полностью выключенный компьютер.
А насколько оно там безопасное - отдельный вопрос. Найти сервак с этим экспонатом - рокетсайнс. Поэтому хакерье вообще не изучает этот экспонат на предмет безопасности. Безопасность по принципу неуловимого Джо получается. Сложно сломать сервак с openbsd, потому что сложно найти такие серваки :). По каким-то таким же причинам сложно сломать сервер с миниксом, хайкой и прочими колибри и мэнуэтами. Все это ничего не говорит о качестве и безопасности кода. О нем говорят анализаторы сырцов, число найденных проблем на 1000 строк кода и прочие нейтральные метрики, не привязанные к субъективизму и популярности ОС. Но для опенбсд всем кажется в облом просто этим заниматься. Даже коверити какой-нибудь припахать тестануть дерево сосрсов всем обломно. Ну дерево сорсов линя они для самопиара прошерстили, помнится. А на опенбсд даже пиар не получится - вот и похрен всем на него...
> Драйверов оборудования да софта. Без которых операционка столь же полезна как и
> полностью выключенный компьютер.
> А насколько оно там безопасное - отдельный вопрос.Который детально описан. Для маленьких детей на сайте openbsd есть даже сайты. Для маленьких взрослых детей сайт openbsd можно скачать через cvs.
(заодно, кстати, нашёл киллерфичу cvs - в отличие от svn, git и прочего, оно не хранит на диске мегазы гигазов хисторизов, и для СКАЧИВАНИЯ - самая удобная вещь).
> Найти сервак с этим
> экспонатом - рокетсайнс. Поэтому хакерье вообще не изучает этот экспонат на
> предмет безопасности. Безопасность по принципу неуловимого Джо получается. Сложно сломать
> сервак с openbsd, потому что сложно найти такие серваки :).Какая ТЕБЕ разница, если у тебя такой сервер. Тем более, что не нужно бегать, как савраска, чтобы что-то выяснить - команда man - это не "посмотреть ключи", а действительно документация по системе. В отличие от...
> По каким-то таким же причинам сложно сломать сервер с миниксом, хайкой и
> прочими колибри и мэнуэтами. Все это ничего не говорит о качестве
> и безопасности кода. О нем говорят анализаторы сырцов, число найденных проблем
> на 1000 строк кода и прочие нейтральные метрики, не привязанные к
> субъективизму и популярности ОС.
> Но для опенбсд всем кажется в облом просто этим заниматься.Давай ты сейчас скажешь, что понятия не имеешь об openbsd. В смысле, вообще. А только умеешь щёки надувать с умным видом, говоря стереотипную банальщину? Чтобы, так сказать, закрепить очевидное.
> Даже коверити какой-нибудь припахать тестануть дерево сосрсов
> всем обломно. Ну дерево сорсов линя они для самопиара прошерстили, помнится.
> А на опенбсд даже пиар не получится - вот и похрен всем на него...У openbsd нормальный маркетинг, не надо. Просто, когда у кого-то религиозная нетерпимость, тут ничего не поделаешь.
> Который детально описан.Доверять разработчикам самих себя расхваливать может только полный дуб, ибо у разработчиков со временем развивается характерный синдром "свое не пахнет". Поэтому только сторонний анализ вообще людьми с улицы. И только так. Вот если это подтвердит тезис - другой разговор.
> Для маленьких детей на сайте openbsd есть даже сайты.
Ты меня еще на сайт майкрософта пошли читать о фичах винды. Там тоже написано что оно самое безопасное, надежное и прочая. А по факту почему-то каждый месяц "remote attacker ... could compromise... " и прочие завалы торгов на LSE на 8 часов.
> Для маленьких взрослых детей сайт openbsd можно скачать через cvs.
Как хорошо описана целевая аудитория. "Маленькие взрослые дети" играются в разработку операционки. Использование CVS в 2013 году особенно доставляет. А gopher в этом заповеднике технологий не сохранился случайно? :)
> прочего, оно не хранит на диске мегазы гигазов хисторизов, и для
> СКАЧИВАНИЯ - самая удобная вещь).Вот только скачивать исходники "чтобы скачать" - крeтинизм в терминальной стадии. Над исходниками или уж так или иначе работают, или это просто какой-то балласт на диске, лежащий неизвестно зачем. Вот история гита позволяет мне отмотать на 100 коммитов назад проект размером с линевый кернель за какие-то секунды. И это очень круто. Например, я могу посмотреть - а был ли баг 100 коммитов назад. В конечном итоге за несколько итераций можно найти коммит где посадили баг. Эта техника называется "bisecting". И если с гитом это работает прекрасно, то с SVN/CVS ты обуеешь перекачивать кучу филезов на каждый пук. Если уж я работаю с проектом - наверное мне интересна не одна какая-то сферическая версия в вакууме. А если я с ним не работаю - нафиг мне вообще его сорец винч засоряет?
>> сервак с openbsd, потому что сложно найти такие серваки :).
> Какая ТЕБЕ разница, если у тебя такой сервер.Мне никакой разницы, ибо у меня таких серверов нет и не будет. У меня нет склонности к некромансии и мазохизму, извини. А еще большую безопасность я могу достичь не включая компьютер вообще. На функциональность не сильно повлияет. Ну вот например, я пользуюсь контейнерами и виртуализацией. Мне это удобно. Прикинь? :)
> Тем более, что не нужно бегать, как савраска, чтобы что-то выяснить - команда man -
> это не "посмотреть ключи", а действительно документация по системе. В отличие от...Так я и не бегаю. Я однажды настроил все - оно работает. Годами. Мое внимание к системе - единицы минут в месяц в пересчете на сервер. А маны конечно прекрасно, но - не game changer. Нужную мне информацию я по любому найду. А вот если система cannot into virtualization, не умеет контейнеры, полосовку ресурсов и прочая - вот это за 5 минут уже не починишь, вот извини.
> Давай ты сейчас скажешь, что понятия не имеешь об openbsd. В смысле,
> вообще. А только умеешь щёки надувать с умным видом, говоря стереотипную
> банальщину? Чтобы, так сказать, закрепить очевидное.В смысле, я заранее вижу что оно мне по возможностям не подходит. И уровень развития проекта я могу прикинуть. Поэтому я о нем не имею ни малейшего понятия: того что я о нем узнал мне вполне достаточно чтобы отсеять его еще на самой ранней фазе выбора кандидатов. Если кому-то хочется копаться в игрушечных операционках которые разработчики пишут чисто для своих местечковых нужд - флаг в руки и барабан на шею. Но без меня.
Нет, у этих парней есть парочка интересных вещей. Мне нравится их openntpd, например. Просто потому что мелкий и аккуратный. Но на этом мои симпатии к ним и заканчиваются, пожалуй.
> У openbsd нормальный маркетинг, не надо. Просто, когда у кого-то религиозная нетерпимость, тут ничего не поделаешь.
Не, извини, я просто привык пользоваться современными технологиями. У меня нет архаичного оборудования. Мне нравятся контейнеры и виртуализация и я не вижу чего бы ради я не должен иметь возможность полисовать ресурсы, распилив 1 мощный сервер на кучку маленьких, достаточных для своих субзадач и более-менее изолированных, управляемых как отдельные машины с минимальным набором софта (а потому предельно простые в управлении) и прочая.
Это всё ахрененно круто и пафосно, только непонятно, как можно сравнивать это с нерабочим компьютерам. Главное, что есть в openbsd - это то, что оно удобно. И secure by default, когда нет желания городить амбразуру вручную, или нет опыта для этого. Но это полноценная операционная система, она стоит у меня на ноутбуке.Да, оборудование многое не поддерживается, но это только вопрос количества разработчиков. Чем больше интереса к ос, тем больше разработчиков с разным оборудованием.
Но и linux неидеален, несмотря на всё. Я так и не понимаю, почему оно иногда до полусмерти тормозить начинает, что ничего и не поделаешь. Я не вижу смысла покупать "дорого современное оборудование" (для меня компьютер - это расходные материалы, а не вещь на века), чтобы можно было хотя бы что-то запустить. Причём, что самое смешное, на одном из компьтеров Debian Lenny работало идеально и очень быстро, а новые ядра - работают ужасно, с затупами в самых непонятных местах, на разных компьютерах. Меня это не устраивает, мне нужен надёжный и отзывчивый инструмент.
> Это всё ахрененно круто и пафосно, только непонятно, как можно сравнивать это
> с нерабочим компьютерам.Ну вот так вот и можно - для меня толку примерно одинаково. Мои нужды оно не обеспечивает, что так FAIL, что эдак.
> Главное, что есть в openbsd - это то, что оно удобно.
Понятия об удобстве у всех разные. И лично мне как-то не удобно если у меня половина оборудования не заработает (спасибо если вообще загрузится).
> И secure by default, когда нет желания городить амбразуру вручную,
И что именно там так уж суперсекурно? Мне вот например нравится по соображениям безопасности и надежности разносить разные сервисы на разные виртуалки или хотя-бы контейнеры. Это и просто админить и impact от поимения сервиса из-за багов в сервисе ограничивается только самим сервисом. Тут мне понятно почему так безопаснее - я вижу дополнительный барьер на пути хакера. А какой-то общий буллшит о том что безопасно - меня совершенно ни в чем не убеждает. Технические аргументы в пользу этой точки зрения давайте, или GTFO. Кто там как себя пяткой в грудь долбит - мне не интересно.
> или нет опыта для этого. Но это полноценная операционная
> система, она стоит у меня на ноутбуке.Вот только понятия о полноценности у всех разные. Для меня полноценная система - это система которая поддерживает более-менее все возможности имеющегося у меня оборудования и покрывает мои задачи и хотелки. Это явно не про openbsd.
> Да, оборудование многое не поддерживается, но это только вопрос количества разработчиков.
Ну какое управление проектом - такой и результат.
> Чем больше интереса к ос, тем больше разработчиков с разным оборудованием.
У граждан было достаточно времени чтобы сделать интересный кому-то проект и набрать разработчиков. Этого не произошло. Значит управление проектом в целом - шляпа. Какие тут еще выводы можно сделать?
> Но и linux неидеален, несмотря на всё.
Ясен пень. Но там есть работоспособная команда, способная на многое. Им не надо оправдывать голость зада - они просто идут и работают. И делают это хорошо. И наступает момент когда их зады уже не сверкают голизной. И да, если надо наладить производство ткани для портков - они идут и налаживают. Построив при необходимости цех и поставив оборудование. А не пытаются доказать всему миру что мол и без портков можно жить. Можно. Но с портками - лучше чем без.
> Я так и не понимаю, почему оно иногда до полусмерти тормозить начинает,
> что ничего и не поделаешь.Если у тебя древний кернель - может быть 12309 вылез, aka большая очередь страниц на выжимку при тормозном диске (ноутбячные диски - полный ад в плане скорости работы). Так что апликуху попросившую память надолго клинит пока ядро пытается выжать страницы кэша на тормозной диск чтобы отдать память программе. В более-менее свежих ядрах эту логику поправили и оно на тормозных дисках так больше не делает. Если это не оно - ну так кто ж кроме тебя это знает? Подобные баги бывают, но на данный момент таких багов осталось реально немного.
Фокус в том что у тебя скорее всего какое-то винтажное железо которого у разработчиков нет и шансы что кто-то из них сам поймает такой баг - около ноля, а в более обычных конфигах оно вообще не лезет скорее всего.
> Я не вижу смысла покупать "дорого современное оборудование"
> (для меня компьютер - это расходные материалы, а не вещь на века),Ого, настолько эпичных взаимоисключающих параграфов я давненько не видал. Ты там походу на ноль постоянно делишь? Ну дели, флаг тебе в руки.
> на разных компьютерах. Меня это не устраивает, мне нужен надёжный и
> отзывчивый инструмент.Как ты понимаешь, у вон тех десятков миллионов оно как-то так и работает. Иначе бы они этим нифига не пользовались просто-напросто. А если на лично твоем винтажном железе которого больше ни у кого не осталось что-то работает не идеально - не вижу даже чем тебе помочь. Или лови баги сам, или натурально вали на другую систему, или что там тебе удобнее. Чудес не бывает. А на других наборах оборудования ситуация как ты понимаешь иная.
> Мои нужды оно не обеспечивает, что так FAIL, что эдак.А, так ты из этих, из бессловесных? Разговор исчерпан. С таким уровнем риторики нет смысла о чём-то говорить.
> А, так ты из этих, из бессловесных? Разговор исчерпан. С таким уровнем
> риторики нет смысла о чём-то говорить.Так я тебе вроде-бы русским языком написал что мне нужны виртуализация и контейнеры. Я этим пользуюсь. На регулярной основе. И мне это нравится. У тебя проблемы с пониманием русского языка?
Дополнительно я могу отметить что применительно к десктопу я весьма тепло отношусь к идее открытого драйвера GPU который сможет и весьма приличное 3D в играх, и вывод видео, в том числе ускорение через аппаратный UVD, акселерацию вычислений OpenCL на GPU и прочие плюшки.
И если без игр еще можно перекантоваться (хоть и не больно то приятно), кино я смотрю редко, да и проц его выдюжит, то вот например вычисления на GPu мне бы очень хотелось видеть, например. Я считаю это ключевой областью, очень интересной и нужной для меня. Да, я думаю что у этого семейства технологий большое будущее.
Для линя - закрытый драйвер это уже сейчас может. Открытый - по минимуму тоже уже может. Есть какие-то разумные оценки когда это доползет в openbsd? Не, мне не надо в следующем веке, если что. Я при жизни хочу этим попользоваться, извини.
> Так я тебе вроде-бы русским языком написалНет, не русским. Русским языком пишет Пушкин и Достоевский. Языком с "FAIL", "делением на ноль" и ещё сотней штампов, бездумное повторение которых заставляет сомневаться в том, что у их копирователя (я не могу сказать "автора") вообще есть что-то в голове, пишет только шушера всякая, которая не умеет мыслить глубоко и всесторонее, а только занимается передачей децибел. Я не читаю такие сообщения, потому что не могу, чисто физически. Мне больно такое читать.
А ещё в русском языке пишут "вроде бы".
Важно не только то, что написано. Ещё важно, как. Какой смысл устраивать полемику с теми, кто мыслит однобоко? Только мышей смешить.
>[оверквотинг удален]
> Нет, не русским. Русским языком пишет Пушкин и Достоевский. Языком с "FAIL",
> "делением на ноль" и ещё сотней штампов, бездумное повторение которых заставляет
> сомневаться в том, что у их копирователя (я не могу сказать
> "автора") вообще есть что-то в голове, пишет только шушера всякая, которая
> не умеет мыслить глубоко и всесторонее, а только занимается передачей децибел.
> Я не читаю такие сообщения, потому что не могу, чисто физически.
> Мне больно такое читать.
> А ещё в русском языке пишут "вроде бы".
> Важно не только то, что написано. Ещё важно, как. Какой смысл устраивать
> полемику с теми, кто мыслит однобоко? Только мышей смешить.С тобой, например?
> Нет, не русским. Русским языком пишет Пушкин и Достоевский.Окей, смесью русского с английским. Не больно какая разница. Хотя если настаиваешь, я могу заменить слово "FAIL" на "былинный отказ". Смысл ситуации с моей точки зрения ими описывается более-менее одинаково.
> Языком с "FAIL", "делением на ноль" и ещё сотней штампов,
Кто ж виноват что очень многие ситуации прекраcно попадают под штампы? Хреновое управление проектом - совершенно обыденная ситуация в мире IT.
> "автора") вообще есть что-то в голове, пишет только шушера всякая, которая
> не умеет мыслить глубоко и всесторонее,Ты по моим наблюдениям вообще мыслить почти не умеешь, поэтому предоставим такие оценки более квалифицированным экспертам. Чья квалификация подтверждена чем-то более существенным чем полкило ничем не подкрепленного апломба на форуме.
> а только занимается передачей децибел.
Некоторые вон вообще языком треплют, не задумываясь о том что они сказали. А что такое передача децибел через форум? Я тут ни 1 аудиофайла не вижу ;)
> Я не читаю такие сообщения, потому что не могу, чисто физически.
> Мне больно такое читать.Ясен перец - тебе же нечем меня порадовать, твой фетиш не сможет обеспечить нужные и интересные мне возможности еще многие годы или даже десятилетия. В общем обычный плач погонщика паровых машин о том что бензиновые двигуны оказались лучше.
> А ещё в русском языке пишут "вроде бы".
Пусть пишут, мне не жалко.
> Важно не только то, что написано. Ещё важно, как. Какой смысл устраивать
> полемику с теми, кто мыслит однобоко? Только мышей смешить.Ну так и запишем: оппонент слил. Слив засчитан.
Это точно из серии "купи слона"!> Linux - самый безопасный
>> Linux - самый умный, а самый безопасный openbsd
> Самый безопасный - выключеный комп
>> Он самый бесполезный, а самый безопасный openbsd
> Вышло новое ядро Linux
>> Ядро - самое новое, а самый безопасный openbsd
> Это точно из серии "купи слона"!
>> Linux - самый безопасный
>>> Linux - самый умный, а самый безопасный openbsd
>> Самый безопасный - выключеный комп
>>> Он самый бесполезный, а самый безопасный openbsd
>> Вышло новое ядро Linux
>>> Ядро - самое новое, а самый безопасный openbsdВзял всю тайну раскрыл. Теперь скрипты переписывать придётся...
>> самый безопасный openbsd
> Не, самый безопасный - это выключенный компьютер. Толку примерно столько же, да
> еще и электричество не жрет, а полезность мало отличается.OpenBSD как платформа для проекта-это и есть почти выключенный компьютер.
>>> самый безопасный openbsd
>> Не, самый безопасный - это выключенный компьютер. Толку примерно столько же, да
>> еще и электричество не жрет, а полезность мало отличается.
> OpenBSD как платформа для проекта-это и есть почти выключенный компьютер.Чего конкретно не хватает?
>>>> самый безопасный openbsd
>>> Не, самый безопасный - это выключенный компьютер. Толку примерно столько же, да
>>> еще и электричество не жрет, а полезность мало отличается.
>> OpenBSD как платформа для проекта-это и есть почти выключенный компьютер.
> Чего конкретно не хватает?Проблемы с утилизацией многоядерных процессоров, и smp машин.Плохо тянет "тяжёлые"
приложения, хотя, как десктоп, очень даже ничего.
> Проблемы с утилизацией многоядерных процессоров, и smp машин.Плохо тянет "тяжёлые" приложенияНе говоря уже о проблемах использования подавляющего большинства современного железа.
> хотя, как десктоп, очень даже ничего.Ага, если забыть о проблемах с power management, отсутствии драйверов GPU, тотальном пофигизме разработчиков десктопного софта относительно этой системы и прочих прелестях жизни.
> самый безопасный openbsdПотому что там, как в дебиане - remote root уязвимостью не считается :)
С таким подходом openbsd, действительно, самая безопасная система - в ней просто нет уязвимостей.
>> самый безопасный openbsd
> Потому что там, как в дебиане - remote root уязвимостью не считаетсяСчитается. Если он реалный. Если воображаемый - то нет.
>> Потому что там, как в дебиане - remote root уязвимостью не считается
> Считается. Если он реалный. Если воображаемый - то нет.Любой remote root в дебиане или openbsd - воображаемый по определению. Потому что это самые безопасные системы, и в них не может быть уязвимостей. См. рис. 1.
> Любой remote root в дебиане или openbsd - воображаемый по определению.Честно говоря я так и не смог вспомнить когда в лине был ремотный рут. А он был?
>> а тогда начинается претензия что Линукс самый безопасный
> самый безопасный openbsd
> а linux самый умныйтогда уж Qubes с стрекозой упомянули бы.
вот где все это логично/органично решено.
> тогда уж Qubes с стрекозой упомянули бы.
> вот где все это логично/органично решено.Ну, там над безопасностью _работают_, а не _говорят_ о ней, как в openbsd.
Вот и пусть работают. А мы поговорим.
Ну, дураков везде хватает. Но в разумных пределах - вполне стоит у себя в тестовых окружениях гонять
> меня всегда удивляли линуксоиды, которые в новостях постоянно тестят эксплоиты и пишут
> не работает, хотя не читают условия,Ну да, это ж не сплойт на подъем прав в вашей фрибсдшчке, который как из пушки по всей пиoнерии :)
какой сплоит, нашли уязвимость и пофиксили сразу, новость создали, что есть исправления, правильно сделали, что бы все знали, а в даном примере:
> Обновление пакета с ядром с устранением уязвимости пока недоступно.сплоиты уже начали писать после оформления новости, я сделал обновление, пусть радуются дальше. А тут если перебрал ядро, то еще и волноваться надо, хацкеры уже побежали тестить на своих хостингах эксплоит
(пожимает плечами) на дворе уже 3.10, а геронтофилы всё ищут новые позы для бабушки.
> (пожимает плечами) на дворе уже 3.10, а геронтофилы всё ищут новые позы для бабушки.Ну энтерпрайзники - с ними все понятно, они там блобья накупили и вынуждены мыкаться теперь. По этому поводу коммерческий саппорт мастхэв. А вот зачем остальные этот кактус кушают - для меня всегда было загадкой.
> какой сплоит, нашли уязвимость и пофиксили сразу, новость создали, что есть исправления,Ну дык и и лине как-то так же. Использовать 2.6.32, на которое разработчики уже в основном забили - без реальной нужды имхо вообще не следует. На рхел таковой нуждой может быть совместимость с проприетарными блобами и саппорт всего этого ("вляпались в проприетарь"). А зачем остальным с этим крапом мумукаться - я вообще не понимаю.
Грубо говоря, юзеж центосины и прочая - это желание ощутить себя ынтырпрайзом со всеми его проблемами. И без коммерческого саппорта который бы занимался их решением. Зачем?
> сплоиты уже начали писать после оформления новости
Are you nut? Сначала сплойт повяился, потом новость появилась.
там был эксплоит для проверки уязвимости, а не опубликованный эксплоит, которым хрен знает сколько пользовались, пока не попал в паблик.
> Дополнение 1: доступен эксплоит для проверки системы на наличие уязвимости.кроме того если не сделал обновление, тогда:
>Дополнение 2: в качестве обходного пути защиты от проявления уязвимости достаточно >запретить непривилегированным пользователям выполнение ptrace - "sysctl >security.bsd.unprivileged_proc_debug=0".а с энтерпрайзом дрожать надо на каждом углу
> там был эксплоит для проверки уязвимости, а не опубликованный эксплоит, которым хрен
> знает сколько пользовались, пока не попал в паблик.Это где? В том сплойте во фре то? Хм, ага-ага, интересная там проверочка:
if (geteuid() == 0) {
setuid(0);
execl(SH, SH, NULL);
return 0;
}
...после которой в случае успешного взлома - запускается рутовый шелл и дальше можно делать что угодно с правами рута :). Вполне себе "боевой" экспонатец по своим свойствам. Т.е. если попадется уязвимая система, ее этим долбануть как делать нефиг.>запретить непривилегированным пользователям выполнение ptrace - "sysctl >security.bsd.unprivileged_proc_debug=0".
Даже бyбyнтуи доперли это делать по дефолту: слишком уж много у ptrace потенциально проблемных применений. А бсдшники чешутся только когда им вот так в лоб засветит, с весьма едким коментом в заголовке сплойта от его автора :).
Но столь детские грабельки на которые граждане в i++'й раз наступили - совершенно не мешают устраивать фанатам полкило понтов на форумах :).
> а с энтерпрайзом дрожать надо на каждом углу
Энтерпрайзники - довольно долбанутые типы, со своими закидонами и странными приоритетами. Что вы как маленький то? Вы никогда энтырпрайзников не видели чтоли?
Конкретно редхат - тягает эти окаменелости для сохранения api/abi "как в 2.6.32" чтобы у энтерпрайзников проприетарь всякая не отвалилась. А вот зачем центосникам всяким мумукаться с сильно допатченым 2.6.32 - для меня вообще загадка природы. Мне сомнительно что те кто юзают центось как-то парятся насчет abi т.к. проприетарной энтерпрайзятины у них обычно нет и эта коронная фича редхата им как зайцу стопсигнал.
> ага-ага, интересная там проверочка:а как линукс специалисты проверяют руткиты ? Ах да, не на том ячдре и не на той архитектуре если указаны условия, знаем, знаем
> А бсдшники чешутся только когда им вот так в лоб засветит,
ага, я прочитал новость и меня кинуло в пот, поднялась температура и я проснулся в больнице, так страшно стало ))))
я просто сделал обновление.> Энтерпрайзники - довольно долбанутые типы, со своими закидонами и странными приоритетами.
спасибо, энтерпрайз не линукс, копайте сами себя дальше
>> ага-ага, интересная там проверочка:
> а как линукс специалисты проверяют руткиты ?Казалось бы, как проверка в коде на успешный взлом и получение рута связана с проверкой на руткиты? :)
> Ах да, не на том ячдре и не на той архитектуре если указаны условия, знаем, знаем
Что это за буллшит? Если уж вы на свой зад вспомнили про проверку руткитов - я помню как или izen, или nagual, в общем кто-то из очередного ламерья с бсд, ржали над переустановкой системы после обнаружения в ней руткита. Убогие существа совсем cannot into hooking system calls. КрЮтые профессионалы. Тем временем, убунтушик уже завернул у себя на системе некоторые системные вызовы. Just for fun.
>> А бсдшники чешутся только когда им вот так в лоб засветит,
> ага, я прочитал новость и меня кинуло в пот, поднялась температура и
> я проснулся в больнице, так страшно стало )))) я просто сделал обновление.А половина пЫонеров еще и обновление пробакланит. Купившись на байки о том как это крЮто, неломабельно, бла-бла-бла.
> спасибо, энтерпрайз не линукс, копайте сами себя дальше
Не знал что вы хотели этим сказать. Но в энтерпрайзах линуха нынче навалом. В отличие от ваших фетишей, которые много откуда повылетать умудрились. Thanks to unadequate project management.
хм...
$ uname -s -r -p
Linux 2.6.32-358.11.1.el6.x86_64 x86_64
$ cat /etc/redhat-release
Red Hat Enterprise Linux Workstation release 6.4 (Santiago)
$ gcc hemlock.c -o hemlock
$ ./hemlock
[+] giving ourselves some poison...
[+] polluted kernelspace with more crap
[+] polluted kernelspace with more crap
[+] polluted kernelspace with more crap
[+] polluted kernelspace with more crap
kernel panic
вот это
http://www.1c-bitrix.ru/download/vmbitrix.php
падает на ура (СентОс однако)
Что вы от битрикса хотели? Качественных продуктов? :)
> Что вы от битрикса хотели?шмерти
> шмертиЯ бы даже пожелал ее большей части продукции 1С. Ибо шит лютейший. Жаль что хомяки падки на всякое г@вно. При том битрикс настолько г@вно что даже самый криворукий быдлoкодер на пыхе от него плюется. Впрочем, для особых ценителей сортов - есть версия на ASP мелкомякотном вроде :)
Видимо RedHat компилят его для америк служб ПриZм), поэтому и не взламывается))
ну, если собирается без секьюрных плющек тело и нету ни аудита ни IPS дееспособных в дистре - вопрос небольшого времени.
учитывая кол-во как "бывших", так и не особо как внутри менеджмента/стэйкхолдеров, шапки, так и не очень - я бы очень удивился бы, возникни у них с этим, проблемы =)
это не CISCO systems, на менеджмент которой одно время устроили настоящую охоту/травлю с подставами =)
и не ряд европейских ИТ-компаний, которых месяцами блэкмэйлили )
Это что было?
> возникни у них с этим, проблемы =)битый час ломаю голову: пытаюсь понять, на что ты хотел намекнуть этой запятой. неужели на то, что запятые у тебя периодически ставит Великий Рандом?!
Парсер долго пытался прожевать этот кусок текста, но в конечном итоге пришлось прийти к выводу что этот текст не был сгенерен разумным существом. Протрезвейте и попробуйте снова.
2.6.32-ovz-el-alt95 - работает :(
Debian 6.0.7 2.6.32-5-xen-686 не работает
Мы на мелочи не размениваемся, если дыры, то сразу 1200 штук! :)
https://bugzilla.redhat.com/show_bug.cgi?id=979936
>we are kfree()ing kzalloc_ip_options() alloced opts.молодцы, чо.
впрочем, конь о четырех ногах, и то спотыкается.
> впрочем, конь о четырех ногах, и то спотыкается.Чо, понравилось поздравление с 20-летием? То-то :)
> Чо, понравилось поздравление с 20-летием? То-то :)И тебя когда-нибудь поздравят с 20-летием, если вести себя правильно будешь.
На Slackware 13.1 i486, 2.6.32.57 не работает// капча 32524
мда.. вынесли в мини новости? забавно..
ну новость действительно не велика. да, нашли локальную уязвимость в ядре, неприятно.
но в ядре не ванильном а редхэт. и заплатка вероятно уже в пути, ничего особо страшного не произошло
> ну новость действительно не велика. да, нашли локальную уязвимость в ядре, неприятно.
> но в ядре не ванильном а редхэт. и заплатка вероятно уже в
> пути, ничего особо страшного не произошлоДа в РедХете-то, как раз, и не работает?
>> ну новость действительно не велика. да, нашли локальную уязвимость в ядре, неприятно.
>> но в ядре не ванильном а редхэт. и заплатка вероятно уже в
>> пути, ничего особо страшного не произошло
> Да в РедХете-то, как раз, и не работает?У меня RHEL 6.4 - работает (выше писал)...
Афигеть...
>> ну новость действительно не велика. да, нашли локальную уязвимость в ядре, неприятно.
>> но в ядре не ванильном а редхэт. и заплатка вероятно уже в
>> пути, ничего особо страшного не произошло
> Да в РедХете-то, как раз, и не работает?Ты новость-то читал, ботик?
> мда.. вынесли в мини новости? забавно..Ну так дырка только в окаменелом ядре да еще не всех вариантах сборки. По поводу чего ее масштабы крайне далеки от эпических.
> мда.. вынесли в мини новости? забавно..Для такого M$-бота и это слишком большая честь.
reweto!
> reweto!Ты сделал несколько ошибок в слове "pешeто".
2.6.18-348.6.1.el5
CentOS release 5.9 (Final)работает. kernel panic
и хвалёный selinux не сработал.
Он в основном от другого защищает. Например, если в каком-то сервисе из-за уязвимости была получена возможность выполнения произвольного кода, в том числе с правами рута, толком ничего с этим сделать нельзя - конфиги сервиса прочие управляющие им вещи открываются только для чтения, обратиться к другим файлам/сокетам/прочим ресурсам сверх тех, что положены данному сервису невозможно.
Т.е. он в применении больше подобен разграничению прав, при этом позволяя ограничивать даже вещи, которые обычной системой не ограничиваются и даже коду, который выполняется с правами рута.А от жестких багов в ядре в тех службах, которые все-таки необходимы данной программе для штатной работы, он защитить обычно не может.
(ну а то, что ручное выполнения эксплоита из пользовательского шелла вообще не попадает под защиту selinux в конфигурацию по умолчанию, когда защищаются только конкретные сервисы, все наверное и так должны понимать..)