URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 94779
[ Назад ]
Исходное сообщение
"Уязвимость в KVM, потенциально позволяющая поднять привилеги..."
Отправлено opennews , 06-Мрт-14 22:04 
В реализации гипервизора KVM выявлена (http://secunia.com/advisories/57213/) уязвимость (CVE-2014-0049), позволяющая пользователю гостевой системы выполнить код на уровне ядра гостевой системы. Проблема вызвана ошибкой в функции "complete_emulated_mmio()" (arch/x86/kvm/x86.c), проявляющейся при обработке повторяющихся эмулированных операций emulator_read_write, что при определённом стечении обстоятельств может привести к повреждению областей памяти ядра. Уязвимость подтверждена (http://secunia.com/advisories/57216) в ядрах 3.10.x, 3.12.x и 3.13.x. Стабильные выпуски Debian и RHEL не подвержены проблеме, для Fedora 20 выпущено обновление kernel-3.13.5-202.fc20. Для основной ветки ядра Linux исправление доступно (https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux....) в виде патча.

URL: http://secunia.com/advisories/57213/
Новость: http://www.opennet.me/opennews/art.shtml?num=39254

Содержание
Сообщения в этом обсуждении
"Уязвимость в KVM, потенциально позволяющая поднять привилеги..."
Отправлено rob pike , 06-Мрт-14 22:04 
>Стабильные выпуски Debian и RHEL не подвержены проблеме

Вот и ответ модным-молодежным любителям самого свежего софта,

"Уязвимость в KVM, потенциально позволяющая поднять привилеги..."
Отправлено Аноним , 07-Мрт-14 01:46 
Кто рач в продакшн ставит - эталонное ССЗБ.
"Уязвимость в KVM, потенциально позволяющая поднять привилеги..."
Отправлено Аноним , 07-Мрт-14 19:36 
случайно получилось что уявимость только в новых ядрах. Ты думаешь в дебиане дыр нет?
"Уязвимость в KVM, потенциально позволяющая поднять привилеги..."
Отправлено Маленькая Серая Мышка , 08-Мрт-14 00:27 
Учитывая тот факт что нынешние погромисты в новых версиях вносят больше багов чем исправляют, думаю что в среднем меньше чем в арчике.
"Уязвимость в KVM, потенциально позволяющая поднять привилеги..."
Отправлено Аноним , 08-Мрт-14 04:44 
> Учитывая тот факт что нынешние погромисты в новых версиях вносят больше багов
> чем исправляют, думаю что в среднем меньше чем в арчике.

И только маленькая серая мышка вся в белом и знает лучше других как баги исправлять. По такой логике лучше всего использовать MS-DOS 6. Уж его точно не будет никто дописывать..

"Уязвимость в KVM, потенциально позволяющая поднять привилеги..."
Отправлено Маленькая Серая Мышка , 08-Мрт-14 16:42 
Мышка не уверена даже в том что их стоит так уж исправлять. В последнее время приоритеты сильно сместились в сторону "компилируется? ship it!", и потребителю важнее новые фичи чем старые баги.

MS DOS 6 был, кстати, с точки зрения багов весьма не очень, по сравнению, например, с IBM PC-DOS, не говоря уж о стэкере и рексе в седьмых версиях последнего.

"Уязвимость в KVM, потенциально позволяющая поднять привилеги..."
Отправлено Волкот , 09-Мрт-14 11:17 
6 это 6.0 или 6.22? если речь о 6.22 это может и верно, за двумя "но"
- 6.22 финальная по сути версия.
- в PC-DOS багами считалось несоответствие MS-DOS. например отсутствие багов ни старом месте и недокументированных фич.
"Уязвимость в KVM, потенциально позволяющая поднять привилеги..."
Отправлено Аноним , 10-Мрт-14 09:09 
> - 6.22 финальная по сути версия.

Ну вот пользуйтесь ей и будьте счастливы.

> - в PC-DOS

А кого эти клоны волнуют? Любители авангардизма могут фридос взять, но он иногда даже развивается и не совсем еще окаменел, так что на свой страх и риск.

"Уязвимость в KVM, потенциально позволяющая поднять привилеги..."
Отправлено Аноним , 10-Мрт-14 09:16 
> Мышка не уверена даже в том что их стоит так уж исправлять.

Не, ну что вы! Зачем?! Оставим как есть. Со старыми дырами. Иначе киддисы очень недовольны когда доисторические эксплойты не срабатывают! Вот сейчас например летает интересненький ботнетик от каких-то exUSSRовских хацкеров, который судя по всему имеет древние хостинги с BSD. Может и чего еще имеет, но большинство живности пока с exUSSR и FreeBSD машин. Хотя и другое уже попадаются. Проблемные хосты замечены хоть с того же FirstVDSа например, известный кладезь BSD-кулсисопов. Но вы не обновляйтесь, да. Киддисам надо барахлишко в ботнетики.

> В последнее время приоритеты сильно сместились в сторону "компилируется? ship it!",
> и потребителю важнее новые фичи чем старые баги.

А пруф на какие-нибудь метрики с анализом распределения крутизны и количества багов по времени мы увидим? Или это так, среднепотолочные домыслы серых мышек в норке? :)

> MS DOS 6 был, кстати, с точки зрения багов весьма не очень,
> по сравнению, например, с IBM PC-DOS, не говоря уж о стэкере
> и рексе в седьмых версиях последнего.

Ну вот, мышкам даже MS-DOS не нравится. Ну по крайней мере вы можете быть уверены что в 6.22 уж точно никто не будет новые баги добавлять.

"Уязвимость в KVM, потенциально позволяющая поднять привилеги..."
Отправлено Аноним , 08-Мрт-14 23:59 
> Учитывая тот факт что нынешние погромисты в новых версиях вносят больше багов чем исправляют

Конец света уже рядом?

"Уязвимость в KVM, потенциально позволяющая поднять привилеги..."
Отправлено Аноним , 07-Мрт-14 01:46 
Если бы никто не пользовался самым свежим софтом, то эти ошибки благополучно
переходили бы в стабильные выпуски.
"Уязвимость в KVM, потенциально позволяющая поднять привилеги..."
Отправлено pavlinux , 07-Мрт-14 03:14 
А мы чо, мы только за. Мы вас этого, того... как его там, все слово забываю,... уважаем. Вот.  
Песенка ещё есть, про Минное Поле: "... - Молодым у нас везде дорога,... ля-ля-ля ля-ля ля-ля"
"Уязвимость в KVM, потенциально позволяющая поднять привилеги..."
Отправлено Аноним , 07-Мрт-14 04:26 
Дык радовался бы что самому по минам прыгать не приходится :).
"Уязвимость в KVM, потенциально позволяющая поднять привилеги..."
Отправлено pavlinux , 07-Мрт-14 06:19 
Прыгаем, пляшем и скачем, но за бабло.
"Уязвимость в KVM, потенциально позволяющая поднять привилеги..."
Отправлено asavah , 08-Мрт-14 03:05 
прыгать приходится.
но всему своё место и время.
на продакшн серверах - честный stable.
на дэсктопе и тестинг машинках - любые извращения, rc-вёдра, софт прямиком из гита итп.
таким образом на большинство мин нарываешся на машинах которые глубоко пох и в последствии в продакшне если встанет вопрос уже знаешь с какой стороны надо прикрывать свой анус повнимательнее.
"Уязвимость в KVM, потенциально позволяющая поднять привилеги..."
Отправлено Аноним , 09-Мрт-14 00:01 
> прыгать приходится.
> но всему своё место и время.
> на продакшн серверах - честный stable.
> на дэсктопе и тестинг машинках - любые извращения, rc-вёдра, софт прямиком из гита итп.

Ага, будет очень весело, когда на десктопную машинку через дырку в мега-свежем браузере прилетит шелл, апнется до рута через дырку в мега-свежем ядре, и втихую утащит ключи и пароли от всех продакшенов.

"Уязвимость в KVM, потенциально позволяющая поднять..."
Отправлено arisu , 09-Мрт-14 00:18 
а ещё дождь метеоритный, ни ногой из дому без energy armor.
"Уязвимость в KVM, потенциально позволяющая поднять..."
Отправлено Аноним , 09-Мрт-14 01:53 
Ага, безопасность - это не главное, все на винду!
"Уязвимость в KVM, потенциально позволяющая поднять..."
Отправлено arisu , 09-Мрт-14 02:05 
бехопасность — она с головы начинается. а описана была херня какая-то.
"Уязвимость в KVM, потенциально позволяющая поднять привилеги..."
Отправлено Аноним , 10-Мрт-14 09:18 
> Ага, будет очень весело, когда на десктопную машинку через дырку в мега-свежем
> браузере прилетит шелл,

Вообще-то обычно эксплойты в паблике - для *старых* версий браузеров. Благодаря политике приплачивать за обнаруженные дыры. А вот кто не обновился - тому амба.

"Уязвимость в KVM, потенциально позволяющая поднять привилеги..."
Отправлено Аноним , 07-Мрт-14 17:42 
И кто так новости пишет? как проверить подвержена ли система уязвимости или нет
"Уязвимость в KVM, потенциально позволяющая поднять привилеги..."
Отправлено Аноним , 07-Мрт-14 22:25 
> И кто так новости пишет? как проверить подвержена ли система уязвимости или
> нет

Тебе никтошеньки в СПО ничего не обязан.

"Уязвимость в KVM, потенциально позволяющая поднять привилеги..."
Отправлено Аноним , 08-Мрт-14 04:45 
> Тебе никтошеньки в СПО ничего не обязан.

Как впрочем и в проприетари. Ну так, если лицензии немного читать иногда.

"Уязвимость в KVM, потенциально позволяющая поднять привилеги..."
Отправлено Волкот , 09-Мрт-14 11:23 
>> Тебе никтошеньки в СПО ничего не обязан.
> Как впрочем и в проприетари. Ну так, если лицензии немного читать иногда.

можно не читать, реальность тоже всё неплохо объясняет. сколько раз народ оставался с бинарным крапом на руках, а авторы даже "пацаны, прощайте" не сказали. Последний раз видел видеорегистратор, к которому софт только на помойках "попробуй, у меня заработало" (в комметах вой и стоны - от не запускается до не работают функции).

"Уязвимость в KVM, потенциально позволяющая поднять привилеги..."
Отправлено Etch , 08-Мрт-14 09:06 
Версии ядер написали, что ещё тебе нужно?
"Уязвимость в KVM, потенциально позволяющая поднять..."
Отправлено arisu , 08-Мрт-14 13:56 
> И кто так новости пишет? как проверить подвержена ли система уязвимости или
> нет

тебе — никак не надо, ты напроверяешь… а для тех, кто знает, что делает — есть ссылки, по которым можно выйти на коммит с исправлением. дальше — применить мозг и подумать, как можно было атаковать через ошибку. но, повторюсь, лично тебе можно ни о чём не переживать.

"Уязвимость в KVM, потенциально позволяющая поднять привилеги..."
Отправлено Аноним , 09-Мрт-14 00:06 
> И кто так новости пишет? как проверить подвержена ли система уязвимости или нет

https://security-tracker.debian.org/tracker/CVE-2014-0049
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2014-0049
http://people.canonical.com/~ubuntu-security/cve/CVE-2014-0049

"Уязвимость в KVM, потенциально позволяющая поднять..."
Отправлено arisu , 09-Мрт-14 00:19 
ну так возьми и почини. ты бы очень удивился, если бы узнал, кто тут новости пишет и сколько их.