OpenForum RSS: Уязвимость в механизме ucount ядра Linux, позволяющая повысить свои привилегии https://www.opennet.ru/openforum/vsluhforumID3/126618.html В ядре Linux в коде обработки ограничений rlimit в разных пространствах имён идентификаторов пользователей (user namespaces) выявлена уязвимость (CVE-2022-24122), позволяющая повысить свои привилегии в системе. Проблема проявляется начиная с ядра Linux 5.14 и будет устранена в обновлениях 5.16.5 и 5.15.19. Стабильные ветки Debian, Ubuntu, SUSE/openSUSE и RHEL проблема не затрагивает, но проявляется в свежих ядрах Fedora и Arch Linux...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56610<br> Уязвимость в механизме ucount ядра Linux, позволяющая повыси... (Прохожий) https://www.opennet.ru/openforum/vsluhforumID3/126618.html#118 Tue, 15 Feb 2022 22:47:02 GMT &gt; Да. И продолжаю это говорить.<br>&gt; А сообщество в каждой новости это подтверждает.<br><br>Не забывай в зеркало почаще смотреться. Ты гораздо хуже.<br><br><br>&gt;&gt; И вот тебе один из членов этого сообщества объяснил на пальцах, как все работает и в <br>&gt;&gt; плюсах, и твоей любимой сишечке на самом деле.<br>&gt; А ведь ты даже не понял что там написано, правда?<br><br>Я-то прекрасно понял. Там понимать особо нечего. Рантайм-проверку один типа специалист Урри пытался приравнять проверке на этапе компиляции. Сидиоты, они такие. <br><br>&gt; Я знаю. Я за свою жизнь поучаствовал в немалом количестве сложнейших проектов <br>&gt; на С++,<br><br>В роли зрителя? Вряд ли это можно считать поводом для гордости. <br><br>&gt; а уже скоро как большую часть этого времени даже <br>&gt; составлял сметы и для самих проектов и для их сопровождения.<br><br>А, так ты экономист-бухгалтер. С этого и следовало начинать. <br><br>То, что ты создавал видимость активной работы, я не сомневаюсь. Но глядя на твои выперды на этом форуме и удручающе незнание предметной области, сильно сомневаюсь, что така Уязвимость в механизме ucount ядра Linux, позволяющая повыси... (Урри) https://www.opennet.ru/openforum/vsluhforumID3/126618.html#117 Mon, 14 Feb 2022 09:52:56 GMT Для растоманов все еще новость, что библиотеки могут быть разными.<br><br>Я привел один из примеров библиотеки с умными указателями на С. Таких примеров можно найти десятки. Некоторые даже используются во внутренних кухнях больших проектов.<br><br>Вон там выше аноним упрекал меня в том, что я утверждаю что сообщество растишек идиоты. Так вот, жизнь каждый раз это подтверждает. Как, например, прямо сейчас.<br> Уязвимость в механизме ucount ядра Linux, позволяющая повыси... (Урри) https://www.opennet.ru/openforum/vsluhforumID3/126618.html#116 Mon, 14 Feb 2022 09:50:24 GMT &gt; А ещё говорил, что сообщество Раст тупое.<br><br>Да. И продолжаю это говорить.<br>А сообщество в каждой новости это подтверждает.<br><br><br>&gt; И вот тебе один из членов этого сообщества объяснил на пальцах, как все работает и в <br>&gt; плюсах, и твоей любимой сишечке на самом деле.<br><br>А ведь ты даже не понял что там написано, правда?<br><br><br>&gt; Ну и кто тут идиот теперь?<br><br>Ты.<br><br><br>&gt;&gt;Посмотрите на количество сложнейших проектов на С++ - они мало того, что работают. Так еще и в сопровождении стоят милосердно недорого.<br>&gt; Никто не знает, чего это стоило их авторам.<br><br>Я знаю. Я за свою жизнь поучаствовал в немалом количестве сложнейших проектов на С++, а уже скоро как большую часть этого времени даже составлял сметы и для самих проектов и для их сопровождения.<br><br><br>&gt; Ну и кто тут идиот теперь? #2<br><br>Ты. #2<br><br><br>&gt; Попадалась статья как-то, где один спец оптимизировал ... за полгода то, что десяток плюсовиков <br>&gt; не могло сделать несколько лет.<br><br>Вот. Ты даже не понимаешь что такое "программный продукт" и что нельзя переносить свой оп Уязвимость в механизме ucount ядра Linux, позволяющая повыси... (www2) https://www.opennet.ru/openforum/vsluhforumID3/126618.html#115 Mon, 14 Feb 2022 04:50:06 GMT Скорее всего получится ситуация "а вы друзья, как ни садитесь, всё в музыканты не годитесь" и ракета всё-таки полетит на резервном контроллере, запрограммированном на сишечке. Но в пресс-релизах будет только пятикратный кворум, встроенный кубернетес и прочее вот это вот всё. Иначе не получится распиливать.<br> Уязвимость в механизме ucount ядра Linux, позволяющая повыси... (anonymous) https://www.opennet.ru/openforum/vsluhforumID3/126618.html#114 Thu, 03 Feb 2022 09:04:38 GMT В смысле "не освобождает"? Вы про что? Можно так же ссылку на первоисточник? И напомню, что вы сказали про Rust, а не про Redox.<br> Уязвимость в механизме ucount ядра Linux, позволяющая повыси... (anonymous) https://www.opennet.ru/openforum/vsluhforumID3/126618.html#113 Thu, 03 Feb 2022 09:02:41 GMT &gt; С такими вводными не то чтобы use-after-free, я даже не знаю что в редохе считать багом. <br><br>Если не знаете -- это понятно. Но вы не увиливайте: там use-after-free много уже нашли или нет?<br> Уязвимость в механизме ucount ядра Linux, позволяющая повыси... (anonymous) https://www.opennet.ru/openforum/vsluhforumID3/126618.html#112 Thu, 03 Feb 2022 08:57:37 GMT &gt; Неужели нельзя собрать тестовое ядро с кастомным аллокатором, которое отслеживает use-after-free?<br><br>Для этого нужно прогнать через всевозможные сценарии использования и окружения. Иначе можно и не поймать.<br> Уязвимость в механизме ucount ядра Linux, позволяющая повыси... (Прохожий) https://www.opennet.ru/openforum/vsluhforumID3/126618.html#111 Wed, 02 Feb 2022 23:55:08 GMT &gt;Но я как бы и не говорил что умные указатели - серебряная пуля.<br><br>Зато ты постоянно говорил, что умные указатели в плюсах - это так же эффективно и круто, как в Раст. Оказалось - нет. А ещё говорил, что сообщество Раст тупое. И вот тебе один из членов этого сообщества объяснил на пальцах, как все работает и в плюсах, и твоей любимой сишечке на самом деле. Ну и кто тут идиот теперь?<br><br>&gt;Это онтосится ко всем языкам и парадигмам программирования без исключений<br><br>Я давно заметил, думать и приходить к правильным выводам - не твой конёк. Это никак не относится к низкоуровневым языкам. От слова совсем. Разжевать или сам поймёшь, почему так?<br><br>&gt;Посмотрите на количество сложнейших проектов на С++ - они мало того, что работают. Так еще и в сопровождении стоят милосердно недорого.<br><br>Никто не знает, чего это стоило их авторам. Попадалась статья как-то, где один спец оптимизировал софт на крупной международной бирже. Ему одному в итоге удалось сделать на F# за полгода то, что десяток плюсовиков не могло сделать несколь Уязвимость в механизме ucount ядра Linux, позволяющая повыси... (Прохожий) https://www.opennet.ru/openforum/vsluhforumID3/126618.html#110 Wed, 02 Feb 2022 22:48:11 GMT Q. Can I use this on a serious project ?<br>A. Yes, but as this project has not been widely used, there might be some bugs. Beware!<br><br>А ещё эта хрень зависит исключительно от одного свойства компилятора gcc, насколько я понял. То есть, для других компиляторов может не работать. <br>