The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Несколько уязвимостей в Linux, позволяющих повысить свои привилегии

23.07.2015 21:43

В приложении userhelper и библиотеке libuser, поставляемым по умолчанию в дистрибутивах, основанных на пакетной базе Red Hat, выявлена серия уязвимостей (CVE-2015-3245, CVE-2015-3246), позволяющих выполнить код с привилегиями пользователя root. Для демонстрации проблемы приводится рабочий эксплоит, применяемый к приложениям, использующим libuser для манипуляций с учётными записями пользователей.

Первая уязвимость присутствует в программе userhelper. Программа предназначена для смены информации о пользователе и примечательна тем, что поставляется с установленным флагом setuid-root. Уязвимость вызвана тем, что при разборе передаваемых опций не осуществляется проверка на наличие символа перевода строки ('\\\\n'), что позволяет атакующим передать данные, добавление которых в файл /etc/passwd приведёт к появлению новой строки. Так как указание символа ":" запрещено, имеется возможность добавить только неотформатированные строковые данные, что может быть использовано для осуществления DoS-атаки.

Вторая уязвимость присутствует в библиотеке libuser и вызвана особенностью работы с файлом /etc/passwd. В отличие от классических утилит passwd, chfn и chsh которые вначале создают временный файл с копией /etc/passwd, модифицируют его и заменяют основной файл, в libuser применяется прямая модификация /etc/passwd. Если в ходе манипуляций с /etc/passwd произойдёт ошибка, файл может остаться в некорректном виде. Путём определённых манипуляций, в сочетании с первой уязвимостью, можно добиться очистки записи для пользователя root ("\\\\na::0:0::/:\\\\n") или осуществить подмену поля с shell и домашней директорией, что даёт возможность организовать выполнение кода с правами root.

Дополнительно можно упомянуть выявление уязвимости (CVE-2015-3290) в коде работы с NMI в ядре Linux, позволяющей инициировать крах ядра или выполнить код с правами root. Сообщается, что для уязвимости уже имеется готовый эксплоит, который будет опубликован только через одну-две недели, чтобы дать пользователям время обновить свои системы. Проблема проявляется на системах с архитектурой x86_64 при использовании ядра Linux 3.13 и более новых версий.

Дополнение: эксплойт для CVE-2015-3290 опубликован 4-го августа.

  1. Главная ссылка к новости (http://www.openwall.com/lists/...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/42657-linux
Ключевые слова: linux, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (82) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, klalafuda (?), 22:44, 23/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    # apt-get remove usermode и дело с концом
     
     
  • 2.32, Аноним (-), 07:28, 24/07/2015 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >>в дистрибутивах, основанных на пакетной базе Red Hat

    $ sudo rpm -e usermode
    </зануда>

     
     
  • 3.96, klalafuda (?), 18:52, 25/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>в дистрибутивах, основанных на пакетной базе Red Hat

    вы не поверите, но этот непонятный треш также штатно присутствует и в Debian. и никто его явным образом в трезвом уме и ясной памяти не ставил.

     
     
  • 4.101, torvn77 (ok), 23:53, 25/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    А у меня apt написал что usermode у меня нету :)
     
  • 4.110, Аноним (-), 14:14, 26/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >>треш также штатно присутствует и в Debian

    $ sudo aptitude purge usermode
    Ни одного пакета не будет установлено, обновлено или удалено.

    $ aptitude search usermode
    p   usermode               Graphical tools for certain user account management tasks  

    А у меня такого нет =)

     
     
  • 5.112, klalafuda (?), 15:32, 26/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > А у меня такого нет =)

    На 7ке у меня его тоже нет. А вот в 8.1 после апа с 7ки есть (был).

     

  • 1.2, Аноним (-), 22:53, 23/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > В отличие от классических утилит passwd, chfn и chsh которые вначале создают
    > временный файл с копией /etc/passwd, модифицируют его и заменяют основной
    > файл, в libuser применяется прямая модификация /etc/passwd

    Это ж насколько нужно быть криворуким, чтобы так писать код? На помойку либу.

     
     
     
     
     
    Часть нити удалена модератором

  • 5.31, Есюки (?), 05:55, 24/07/2015 [^] [^^] [^^^] [ответить]  
  • +8 +/
    >>>  даже в windows и то быстрее.

    Поржал.
    Они недавно пофиксили баг безопасности который живет еще с NT.

    ЗЫ
    И докажи что это не так.

     
  • 2.6, me29 (?), 23:36, 23/07/2015 [^] [^^] [^^^] [ответить]  
  • +8 +/
    > Это ж насколько нужно быть криворуким, чтобы так писать код?

    Это современная/корпоративная модель OpenSource. Один человек пишет [произвольно кривую] софтину, миллионы "пользователей" тестируют и методом случайного тыка находят видимые ошибки (которые практически сразу, максимум в течение года, исправляются), после чего софтина объявляется морально устаревшей и ей на смену приходит новая версия, несовместимая и неотлаженная, при этом весь софт переписывается на работу с новой версией и всё повторяется.

    И все счастливы: "пользователи" получают бесплатный софт, производители - бесплатных тестировщиков.

     
     
  • 3.111, Аноним (-), 14:19, 26/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    А если этот "бесплатный", как вы написали, софт пишет не компания а один-два человека? А особенно, когда софт нужный. Примеров в OpenSource достаточно. Так что ваша теория не всегда работает.
     
  • 2.8, Andrey Mitrofanov (?), 23:44, 23/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Проблема проявляется на системах
    >и так и не могли высмотреть и исправить ошибку..

    Как?! Не смогли?? Безобразие!  Дезинформация там неверху? И в скачанных мною с утра патчах к дебиановским ядрам? Во всех 9ти штуках. С хвостиком.  <\\\><

     
     
  • 3.9, анончик (?), 00:00, 24/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Торвальдс говорил что его закон про тысячи глаз уже не работает.
     
     
  • 4.47, Аноним (-), 13:18, 24/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Торвальдс говорил что его закон про тысячи глаз уже не работает.

    Один процент это тысячи глаз)))

     
  • 4.59, chinarulezzz (ok), 18:24, 24/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    пруф?
     
     
  • 5.95, анончик (?), 18:48, 25/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Не могу найти цитату. Но разве Heartbleed или еще другие "застарелые" критические дыры тому не доказательство?
     
     
  • 6.105, Andrey Mitrofanov (?), 10:50, 26/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Не могу найти цитату. Но разве Heartbleed или еще другие "застарелые" критические
    > дыры тому не доказательство?

    Тому, что Торвальдс что-то там "говорил"?   Санитары1!1

     
  • 2.10, Аноним (-), 00:02, 24/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > сколько лет

    Linux 3.13. Меньше года.

     
  • 2.29, angra (ok), 04:36, 24/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну давай расскажи нам, как бы ты написал данный код. А я тебе потом распишу в чем криворукость твоего решения.
     
     
  • 3.30, anonymous (??), 05:06, 24/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    начнём с того, что без специальной квалификации и глубого знания linux я не стал бы писать setuid код. setuid - это флаг того, что у тебя в руках бомба замедленного действия. Обезвреживать её должен профессиональный сапёр.
     
     
  • 4.35, Адекват (ok), 08:13, 24/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > начнём с того, что без специальной квалификации и глубого знания linux я
    > не стал бы писать setuid код. setuid - это флаг того,
    > что у тебя в руках бомба замедленного действия. Обезвреживать её должен
    > профессиональный сапёр.

    поэтому нужно из всех линуксов удалить ping, да ?
    Проблема в том, что программисды не делают проверку входных данных должным образом.

     
     
  • 5.38, Неадекват (?), 09:54, 24/07/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ping и traceroute прекрасно работают без suid с помощью capabilities
     
     
  • 6.41, Аноним (-), 10:37, 24/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    что бы их поставить - нужно быть рутом.. да и напомните когда с них сняли suid bit?.. год назад? или меньше?
     
  • 5.49, Аноним (-), 13:38, 24/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    В ядре давно есть ping-сокеты.
     
  • 5.85, username (??), 15:48, 25/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Не нужно, в линуксах давным давно setcap используется.
     
  • 4.37, angra (ok), 09:48, 24/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Профессионалы написали винду, любители создали линукс.
    Но в данном случае речь шла о коде, который изменит данные в файле, suid здесь вообще не причем. Да и вопрос был задан не всем, а только кричащему о криворукости, мне хочется увидеть его решение.
     
     
  • 5.42, Аноним (-), 10:42, 24/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Профессионалы написали винду, любители создали линукс.

    ты что курил? это IBM это любители? это HP любители? это RedHat любители? не.. подкинь адрес своего драг-диллера? хочу купить такую же траву.
    кури вот это.
    http://www.opennet.me/opennews/art.shtml?num=37926
    чем дальше - тем меньше вклад любителей.

    А теперь выдыхай бобер, а то передоз будет.

    > Но в данном случае речь шла о коде, который изменит данные в
    > файле, suid здесь вообще не причем. Да и вопрос был задан
    > не всем, а только кричащему о криворукости, мне хочется увидеть его
    > решение.

    open(O_TMPFILE) или open + unlink для временного файла.
    или использование berkleyDB как в BSD системах, для большого количества юзеров сильно быстрее чем сканирование текстового файла.

     
     
  • 6.60, angra (ok), 18:37, 24/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Если русский не родной, то настоятельно рекомендую поинтересоваться у окружающих... большой текст свёрнут, показать
     
     
  • 7.66, Аноним (-), 22:36, 24/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    поинтересуйся кто создал из школьной поделки нормальный продукт.. ну так для истории.

    > Если ты не понял, то я повторю задачу: "правильно отредактировать имеющийся текстовый файл общего пользования". Твой вариант пока даже не отредактировал, не говоря уже о правильности. Понятие "алгоритм" тебе вообще известно или знания программирования ограничиваются словом "криворукие"?

    Твои знания уже видны. open(O_TMPFILE) + rename на место старого - решает очень много проблем с атомарность доступа. так же как и open+unlink + rename. Но видимо тебе надо все разжевывать, без этого ты ну никак не поймешь.


    > Зачем скромничать, сразу оракл юзай.

    спасибо поржал с твоих знаний ;-) пейсши есшо..

    сколько школьников набежало.. каникулы вот и маются..

     
     
  • 8.74, angra (ok), 00:40, 25/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ну тут могу сказать только стандартное слив засчитан Возвращайся, когда осил... текст свёрнут, показать
     
     
  • 9.77, Аноним (-), 03:38, 25/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    может тебе еще UML диаграммы нарисовать хотя что школоту спрашивать они таких... текст свёрнут, показать
     
     
  • 10.82, angra (ok), 05:08, 25/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Деточка, я программированием занимался, когда UML еще не придумали Можешь и UML... большой текст свёрнут, показать
     
     
  • 11.84, anonymous (??), 13:07, 25/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Тебе уже предложили вариант с атомарными изменениями, но ты его почему то игнори... текст свёрнут, показать
     
     
  • 12.103, angra (ok), 05:05, 26/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пока ничего не предложили Если ты вдруг не понял, то я привел пример как может ... текст свёрнут, показать
     
     
  • 13.107, Аноним (-), 13:08, 26/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    LOL ты знаешь что такое open unlink или O_TMPFILE и зачем они придуманы вид... текст свёрнут, показать
     
     
  • 14.117, angra (ok), 03:51, 27/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Прекрасно знаю и давно использую А вот ты понятие алгоритма так и не осилил Дл... большой текст свёрнут, показать
     
  • 9.97, Michael Shigorin (ok), 21:07, 25/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Так он и привёл ключевые точки Из изложенного Вашим оппонентом очевидно, что не... текст свёрнут, показать
     
     
  • 10.102, angra (ok), 04:59, 26/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Он всего лишь повторил за автором оригинальной новости про вариант с созданием в... текст свёрнут, показать
     
     
  • 11.109, Аноним (-), 13:17, 26/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    учи матчасть Даже до шигорина дошло, а вот до тебя нет Детали тебе указали, но... текст свёрнут, показать
     
  • 7.87, Аноним (-), 17:15, 25/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> или использование berkleyDB как в BSD системах, для большого количества юзеров сильно
    >> быстрее чем сканирование текстового файла.
    >Зачем скромничать, сразу оракл юзай.

    О! ангра выздоровел, оно снова порет чушь! :)
    Это ты бувы DB увидел и по рефлексу запел об оракляХ :)

    Так вот - есть такая штука SQLite - замечательная и легковесная. Аффтор говорит думайте про эту либу как про замену fopen()  :) Она размером с awk и понимает не хилый кусок SQL-я.

    Так вот - BerkelyDB - это key-value, очень маленькая и очень быстрая.

    Фсё!

    Лекцию окончил, тем кто надо - погуглил, подумал да и понял.
    ангра - не понял и не поймёт! :)


     
     
  • 8.104, angra (ok), 05:12, 26/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Oracle как еще более глобальный и надежный вариант, чем BDB или sqlite, привед... текст свёрнут, показать
     
  • 8.106, Andrey Mitrofanov (?), 10:55, 26/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Вам привет от википедии, проприертарщику - проприертарщиково Berkeley DB is ... текст свёрнут, показать
     
     
  • 9.114, Аноним (-), 18:44, 26/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    что такое главное имя а что такое also used - видимо митрофанову сложно усвоит... текст свёрнут, показать
     
  • 5.43, Аноним (-), 10:44, 24/07/2015 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Профессионалы написали винду, любители создали линукс.

    кстати - стоило бы сравнить Linux как всю экосистему - включая DE и Windows.
    Да да, включить в общее количество багов еще KDE, GNOME, ... и почтовых клиентов..

    сдается мне что багов будет сильно больше, если почитать соотвествующие бюллетени.
    Так что кончай передергивать и вставай на лыжи.

     
     
  • 6.46, Аноним (-), 13:17, 24/07/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да-да, заодно придется раскрыть код проприетарщины. Давайте-давайте. А с какого сравнивать все окружения с одним единственным виндовым? Крыша едет не спеша тихо шифером шурша?
     
     
  • 7.55, Аноним (-), 15:09, 24/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    в состав windows входит почтовый клиент, DE и все такое. CryptoAPI этакий OpenSSL..
    все это - таки Windows.

    Так чего же вы количество багов сравниваете только с ядром Linux?

     
     
  • 8.89, Аноним (-), 17:19, 25/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да ну И как же он называется ... текст свёрнут, показать
     
     
  • 9.108, Аноним (-), 13:13, 26/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    outlook express уже выпилили а ведь идет в базовой установке ... текст свёрнут, показать
     
     
  • 10.118, mirivlad (ok), 04:20, 27/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Товарищ, вы только что вышли из анабиоза На дворе 2015 год Аутглюк экспресс от... текст свёрнут, показать
     
  • 6.61, angra (ok), 18:42, 24/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Я правильно понимаю, что ты предлагаешь сравнить весь софт под линукс, со всем софтом под винду? Это конечно можно, но как это относится к качеству самих ОС?

    Количество исправленных багов не так важно, как количество известных существующих и остающихся годами.

     
     
  • 7.67, Аноним (-), 22:38, 24/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Я правильно понимаю, что ты предлагаешь сравнить весь софт под линукс, со
    > всем софтом под винду? Это конечно можно, но как это относится
    > к качеству самих ОС?

    предлагаю сравнивать не весь софт - а тот кто обеспечивает одинаковую функциональность.

    если в Windows включен GUI, то и со стороны Linux надо добавить к списку сравнения - DE.
    если в windows существует cryptoapi - то и в linux надо добавить openssl,
    если в windows включен shell, то в и linux добавить bash,

    и тп..

    а потом сравним сумарно количество багов в обоих списках.
    боюсь только линуксоидам сравнение не понравится.

     
     
  • 8.70, Led (ok), 23:55, 24/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Одноклассникам своим предлагай, ламерок малолетний ... текст свёрнут, показать
     
  • 8.73, angra (ok), 00:35, 25/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ну давай попробуем В линуксе есть ssh, что предлагает windows Будем сравниват... большой текст свёрнут, показать
     
     
  • 9.78, Аноним (-), 03:40, 25/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ssh - perl ну попробуй Недавний баг в ядре Linux не исправленый с врем... текст свёрнут, показать
     
     
  • 10.81, angra (ok), 04:55, 25/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Они уже есть в дефолтной поставке windows Либо в win10 что-то поменялось, либо ... текст свёрнут, показать
     
  • 8.90, Аноним (-), 17:23, 25/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Окай ели линукс крутится на 99 топ-500 то расскажите как там у форточки ... текст свёрнут, показать
     
  • 8.98, Michael Shigorin (ok), 21:08, 25/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Вы, боюсь, окажетесь неспособны даже выкатить критерии одинаковости ... текст свёрнут, показать
     
     
  • 9.115, Аноним (-), 18:46, 26/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    странно только когда находят багу в jpeg встроеном в винду - это считается баг в... текст свёрнут, показать
     
  • 2.33, Аноним (-), 07:30, 24/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >>Это и есть NIH-синдром в самом красочном представлении.

    Только в Красношапке, заметь.

    >>Написали их только для того, чтобы написать.

    Как будто что-то плохое. Учиться важно и хорошо.

     
     
  • 3.36, Аноним (-), 08:19, 24/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Mir и Unity тоже Красношапка велосипедит?
     
  • 2.48, Аноним (-), 13:22, 24/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Значит линуксятники можно говорить, а виндуз****** нет. Понятно с вами все opennet $-)
     
     
  • 3.99, Michael Shigorin (ok), 21:11, 25/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Значит линуксятники можно говорить, а виндуз****** нет. Понятно с вами все opennet

    У Вас, видимо, акцент неправильный -- вот смотрите: виндоузятники. :)

    > $-)

     

  • 1.13, Crazy Alex (??), 00:41, 24/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Вот примерно за это я и не люблю конкретный кусок юниксвея - текстовые и подобные форматы обмена данными внятной типизации и требующие экранирование. а также - текстовые форматы, требующие экранирование и не умеющие произвольный доступ к файлу. А заодно - 1000 форматов конфигов и 10000 парсеров/писалок для них.

    Хотя, казалось бы - чего не гонять данные в каком-нибудь protobufs? Чего не использовать в работе компилированный в бинарь конфиг, с эффективным доступом и с проверенным при компиляции синтаксисом?

     
     
  • 2.14, Аноним (-), 00:48, 24/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот примерно за это я и не люблю конкретный кусок юниксвея -
    > текстовые и подобные форматы обмена данными внятной типизации и требующие экранирование.

    Нужно больше публичных платформ для улучшения кодовой базы юзерленд софта.

    Coverity делает пользу для Open Source.

     
     
  • 3.16, Crazy Alex (ok), 01:22, 24/07/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Это к чему было?
     
     
  • 4.18, Аноним (-), 01:34, 24/07/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Это к чему было?

    Все дистрибутивы линукса друг–друга ненавидят, работают против линукса и создают прецеденты для ненависти.

     
     
  • 5.68, Led (ok), 23:48, 24/07/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Это к чему было?
    > Все дистрибутивы линукса друг–друга ненавидят, работают против линукса и создают
    > прецеденты для ненависти.

    Зато маководы любят друг друга. Регулярно. И держась за руки ходят на iПарады.

     
  • 2.28, angra (ok), 04:32, 24/07/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Не понял, а почему твой пост сделан в этом гадком текстовом формате без внятной типизации, а не "скомпилирован в бинарь"?
     
     
  • 3.51, Crazy Alex (ok), 14:20, 24/07/2015 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Потому что цель поста - писание/чтение людьми. А вот цель /etc/passwd, кк и кучи других конфигов - в первую очередь чтение машиной. С другой стороны, как только в HTML оказывается что-то большое, вроде книги - его иногда и компилируют в бинарь - от EPUB до PDF.

    Опять же, компиляция в бинарь сто лет как успешно применяется в том же постфиксе.

     
     
  • 4.62, angra (ok), 18:48, 24/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Писать конфиги тоже должна машина? Ну тогда дождись skynet и будет тебе счастье.

     
     
  • 5.63, Crazy Alex (ok), 19:47, 24/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот данный конфиг (/etc/passwd) в норме человек руками не пишет.

    А для тех, которые люди пишут - ты слово "компилировать" и упоминание постфикса пропустил, или где? И да, компиляция подразумевает наличие грамматики, нормального синтаксического разбора и т.п. Поверх этого, в идеале - проход проверки семантики, чтобы несовместимых параметров не было и т.п. - насколько возможно. А дальше приложение пользуется данными в удобном для машины виде, а человек более-менее уверен, что то, что он написал - корректно.

    А сейчас, например, в тот же crontab муть вписать - нет проблем, а узнаешь об этом только потом из логов.

    P.S. Я AI и так жду с нетерпением, так что скайнетом меня пугать бесполезно :)

     
     
  • 6.75, angra (ok), 00:59, 25/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Человек /etc/passwd может редактировать и смотреть из него данные. Причем делать это через текстовый редактор куда удобней(хоть и не безопасно), чем через всякие утилиты. Но тут надо отметить, что /etc/passwd это скорее исключение, с учетом его простоты существует даже избыток софта, позволяющий его просмотр и изменение. А вот что делать с конфигом того же апача или exim? Их, представь себе пишут руками.

    Ну а "компиляция" нужна вовсе не для того, что ты думаешь. Основная ее цель не в проверке правильности, а в минимизации времени старта.  В postfix, sendmail или nsd изменения ты все равно вносишь в текстовый конфиг, а не в транслированный вариант. Так что это просто изменение момента парсинга и никаких проблем текстовых конфигов она не решает. Для сведения, очень многие сервисы без всякой "компиляции" позволяют сделать тест конфига на корректность до его применения.

     
     
  • 7.86, Crazy Alex (ok), 16:54, 25/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Именно, небезопасно - то есть не должно быть лёгким и удобным. Смотреть данные - никто не мешает держать человекочитаемую копию, если уж так не хочется вызывать тулзу, когда надо глазами посмотреть. вообще, /etc/passwd - это как раз тот случай, когда текстовый конфиг можно выкинуть без какого-либо ущерба, даже с выигрышем. Что и произошло в половине юниксов, собственно.

    Что до постфикса - корректность синтаксиса там тоже проверяется. И это, как мне кажется, куда важнее, чем скорость запуска.  И разумеется, изменения ты вносишь в текстовый вариант. Хотя чисто бинарный конфиг, где принципиально нет проблем ни с каким экранированием, был бы интересен - но слишком у многих условный рефлекс на регэдит включается быстрее логики, чтобы такое можно было спокойно обсуждать. Второй плюс отдельной утилиты - ты никогда не отложишь ошибку парсинга до релоада конфигов.

    К тому же компиляция хороша тем, что сервису невозможно подсунуть данные, не прошедшие обработку отдельной утилитой, при разработке которых обычно проверкам уделяется гораздо больше внимания, чем когда парсинг пихается внутрь демона, и это же касается любых сторонних утилит, где разбор обычно ещё хуже. К примеру, как часто вы видели в парсерах конфигов нормальный разбор по грамматике? Обычно какой-то ad-hoc вариант. А ведь одно это избавило бы от массы дыр.

    Насчёт Apache - давайте не будем, а? Адски сложный комбайн потребовал адски сложную конфигурацию, которую написать полностью корректно - вообще отдельное искусство, но тут надо говорить скорее о code bloat.

     
  • 4.113, Anonymous1 (?), 16:26, 26/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Потому что цель поста - писание/чтение людьми. А вот цель /etc/passwd, кк
    > и кучи других конфигов - в первую очередь чтение машиной. С
    > другой стороны, как только в HTML оказывается что-то большое, вроде книги
    > - его иногда и компилируют в бинарь - от EPUB до
    > PDF.
    > Опять же, компиляция в бинарь сто лет как успешно применяется в том
    > же постфиксе.

    В какой такой бинарь в Постфиксе компиляция? Если текстовый список параметров типа transport там используют в другом формате - это не бинарная компиляция, а просто предобработка, а не компилятор конфигов а-ля Cendmail...  

     

  • 1.34, Ан0ним (?), 07:37, 24/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >>AUTHOR

           Otto Hammersmith <otto@redhat.com>
           Michael K. Johnson <johnsonm@redhat.com>

    но виноват все равно Марк с убунтой))

     
  • 1.39, shuL5Lix (?), 10:04, 24/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Это уязвимость не в Linux, не пугайте народ.
     
     
  • 2.53, Нанобот (ok), 14:48, 24/07/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    CVE-2015-3290 - в linux
     

  • 1.40, ALex_hha (ok), 10:08, 24/07/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Проблема проявляется на системах с архитектурой x86_64 при использовании ядра Linux 3.13 и более новых версий.

    я может что упустил, но где RedHat использует ядра 3.13+? В том же RHEL 7, например, идет 3.10.

     
     
  • 2.44, Аноним (-), 12:37, 24/07/2015 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Это давняя традиция редхата - бэкпортировать баги из новых ядер.
     
     
  • 3.56, Stax (ok), 15:24, 24/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Вы так пишете, просто чтобы что-то написать? Или специально FUD разводите?
    Смотрим https://access.redhat.com/security/cve/CVE-2015-3290

    This issue does not affect the Linux kernel packages as shipped with Red Hat Enterprise Linux 5 and 6 since they did not backport the nested NMI handler and espfix64 functionalities.
    This issue does not affect the Linux kernel packages as shipped with Red Hat Enterprise Linux 7 and Red Hat Enterprise MRG 2 since they did not backport the espfix64 functionality and also did not backport upstream commit e00b12e64be9a3 that allowed an unprivileged local user to re-enable NMIs from the NMI handler.

     
     
  • 4.100, Michael Shigorin (ok), 21:15, 25/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> Это давняя традиция редхата - бэкпортировать баги из новых ядер.
    > Вы так пишете, просто чтобы что-то написать? Или специально FUD разводите?

    Это вообще-то правда -- такая "традиция" действительно есть, увы.  Издержки бэкпортов.

     
     
  • 5.116, Stax (ok), 21:43, 26/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Про бэкпорты я знаю :) Я про данный конкретный пример - что за манера у людей вечно подозревать "наверняка же бэкпортнули баг и теперь даже в старой версии ДЫРКА! АХАХАХА!", когда ни одного упоминания, что дырка есть нет и легко находится официальная оценка критичности CVE в плане дистрибутивов RHEL? У редхата вообще с документированием CVE все замечательно, публикуют в открытом доступе, оперативно и подроно.
     
  • 2.54, Нанобот (ok), 14:50, 24/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > я может что упустил, но где RedHat использует ядра 3.13+? В том
    > же RHEL 7, например, идет 3.10.

    первых три абзаца в новости про redhat, четвёртый - про йадро. они не связаны между собой

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру