OpenForum RSS: Критическая уязвимость в PolKit, позволяющая получить root-доступ в большинстве дистрибутивов Linux https://slinkov.ru/openforum/vsluhforumID3/126557.html Компания Qualys выявила уявзвимость (CVE-2021-4034) в системном компоненте Polkit (бывший PolicyKit), используемом в дистрибутивах Linux для организации выполнения непривилегированными пользователями действий, требующих повышенных прав доступа. Уязвимость позволяет непривилегированному локальному пользователю повысить свои привилегии до пользователя root и получить полный контроль за системой. Проблема получила кодовое имя PwnKit и примечательная подготовкой рабочего эксплоита, работающего в конфигурации по умолчанию большинства дистрибутивов Linux...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56580<br> Критическая уязвимость в PolKit, позволяющая получить root-д... (A.N. Onimous) https://slinkov.ru/openforum/vsluhforumID3/126557.html#246 Sat, 19 Feb 2022 00:17:01 GMT &gt; С большим удовольствием послушаю альтернативы DAC, CAP, MAC, Integrity, Audit<br><br>MAC - это и есть альтернатива DAC. И все это применимо только к примитивной файловой абстракции из 60-х, и развалилось уже на streams и sockets (которые, кстати, тоже развалились на sctp). Уж разных CBAC, ABAC, FGAC придумано масса. Что с лицом?<br><br> Критическая уязвимость в PolKit, позволяющая получить root-д... (A.N. Onimous) https://slinkov.ru/openforum/vsluhforumID3/126557.html#245 Sat, 19 Feb 2022 00:14:24 GMT &gt; С большим удовольствием послушаю альтернативы DAC, CAP, MAC, Integrity, Audit<br><br>MAC - это и есть альтернатива DAC. И все это применимо только к примитивной файловой абстракции из 60-х, и развалилось уже на streams и sockets (которые, кстати, тоже развалились на sctp). Уж разных CBAC, ABAC, FGAC придумано масса. Что с лицом?<br><br> Критическая уязвимость в PolKit, позволяющая получить root-д... (Аноним) https://slinkov.ru/openforum/vsluhforumID3/126557.html#244 Sun, 06 Feb 2022 10:11:08 GMT Но там как раз о том, как им можно злоупотребить, и это связанные вещи.<br> Критическая уязвимость в PolKit, позволяющая получить root-д... (wyry) https://slinkov.ru/openforum/vsluhforumID3/126557.html#243 Fri, 04 Feb 2022 01:17:50 GMT Значительно ниже ДЛЯ ВСЕХ, включая злоумышленников. +Здесь потребовалось &gt;10 лет чтобы решить проблему, думаю не нужно объяснять, насколько это длительный срок для IT. +С открытым кодом злоумышленник всегда может следить над тем, какие производятся изменения в коде. Закрытую систему разработчик может менять как ему вздумается и даже найдя уязвимость, её могут косвенно и/или недостаточно пофиксить при обновлении, однако злоумышленник уже не будет ничего об этом знать. Многое из сказанного также относится к любимой коммуняками лицензии GPL, хотя на практике её использование вне ЗАЩИТЫ проектов (например Blender использует GPL - и это БЛАГО, т.к. все наработки навсегда защищены от корпоратов, при этом это ПО никак не связано с безопасностью). Что до Linux - так его и так используют корпорации (создавая свои коммерческие дистрибутивы, где формально ТОЖЕ открыты исходники, но фактически, чтобы получить к ним доступ - нужно пройти через бюрократический ад, при этом несмотря на то, что GPL (не LGPL!) предписывает от Критическая уязвимость в PolKit, позволяющая получить root-д... (Привет девственники) https://slinkov.ru/openforum/vsluhforumID3/126557.html#242 Mon, 31 Jan 2022 09:55:04 GMT Да никакой это не бекдор. Бекдор сделали бы хитрым, чисто для 'своих'. А тут обычное рукожопство.<br><br>Внезапно выясняется, что большую часть системного кода пишут программисты на зарплате. А сообщество только может честь языком 'бла-бла-бла'.<br> Критическая уязвимость в PolKit, позволяющая получить root-д... (Аноним) https://slinkov.ru/openforum/vsluhforumID3/126557.html#241 Sun, 30 Jan 2022 22:27:30 GMT это бэкдор настоящий... кто знал - использовал.<br> Критическая уязвимость в PolKit, позволяющая получить root-д... (Привет девствнники) https://slinkov.ru/openforum/vsluhforumID3/126557.html#240 Sun, 30 Jan 2022 12:43:31 GMT Умора. Критичная уязвимость 12 лет висела. Тысячи глаз смотрят!!!<br> Критическая уязвимость в PolKit, позволяющая получить... (arisu) https://slinkov.ru/openforum/vsluhforumID3/126557.html#239 Sun, 30 Jan 2022 08:09:06 GMT &gt; Использование Linux без включенного и настроенного SELinux нельзя.<br><br>а мужики-то и не знают! а кто запретил, где закон-то почитать?<br><br>а вообще &#8212; хреново быть тобой, конечно. что, опять xp-шка на станке упала и начальство отлюбило? ну, бывает, чо&#8230;<br> Критическая уязвимость в PolKit, позволяющая получить root-д... (Аноним) https://slinkov.ru/openforum/vsluhforumID3/126557.html#238 Sun, 30 Jan 2022 06:56:50 GMT &gt; они исходили из того, что найти жабаскриптера проще<br><br>Потерингу тупо не хотелось придумывать формат правил контроля доступа и писать его компилятор, а под рукой оказался свободный быдлокодер на жабаскрипте, которого отовсюду погнали и даже быдлосайтики писать не доверяли. Вот он, потерингу, идеально подошел для написания правил контроля доступа! Результат его работы эта новость.<br><br>&gt; проще, чем спеца по безопасности со знанием, например, CIL (или какие там ещё есть языки для определения правил <br><br>https://www.linux.org.ru/forum/security/15600248?cid=15622030<br>