OpenForum RSS: Уязвимость в ядре Linux, позволяющая обойти ограничения режима Lockdown https://www.opennet.ru/openforum/vsluhforumID3/128032.html В ядре Linux выявлена уязвимость (CVE-2022-21505), позволяющая легко обойти механизм защиты Lockdown, который ограничивает доступ пользователя root к ядру и блокирует пути обхода UEFI Secure Boot. Для обхода предлагается использовать подсистему ядра IMA (Integrity Measurement Architecture), предназначенную для проверки целостности компонентов операционной системы по цифровым подписям и хэшам...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57534<br> Уязвимость в ядре Linux, позволяющая обойти ограничения режи... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/128032.html#76 Mon, 25 Jul 2022 12:04:33 GMT Дистры линукса, лол. Кроме того - ну, э, /dev/mem так то штатная фича линуха. А то что тебе через него можно всю систему развандалить, имея рут, ну... такой вот интерфейс, рут же изначально супербог. Проблема в том что поимение рута в такой парадигме ведет к полному и необратимому взъ#$у системы, к тому же не детектированному так изначально.<br> Уязвимость в ядре Linux, позволяющая обойти ограничения режи... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/128032.html#75 Mon, 25 Jul 2022 11:58:27 GMT &gt; Вы о чём вообще? Речь про механизм Secure boot на уровне недобиоса,<br><br>Secure Boot можно делать по разному. И BIOS'ом вон тот бутлоадер может и не являться, в том смысле что никакого IO он никому не обеспечивает, только кернел пинает. Ну или не пинает, если подпись, вот, не совпала.<br><br>Сабжевой фиче вообще класть активен ли на платформе секурбут и уж тем более как он там реализован. Есть патформы где секурбут есть а никаких EFI и BIOS вообще нет. Скажем ведроиды многочисленные. И таки да, kexec() это один из популярных способов обхода секурбута.<br><br>&gt; причём тут система сборки?!<br><br>При том что компилять ли вообще САБЖ и если да, то активировать ли его по дефолту - выбирается там.<br><br>&gt; И потом, "а с чего это вы будете решать за всех", нужно ли оно во всём железе,<br>&gt; может быть те, кому это надо,будут покупать это опицонально устанавливать в своё железо?<br><br>Так я примерно это и делаю.<br><br>&gt; Ах уже почти нигде нельзя, потому что почти везде оно есть уже дефолтно, а <br>&gt; что так, любители под свою любимую ОС, компани Уязвимость в ядре Linux, позволяющая обойти ограничения режи... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/128032.html#74 Mon, 25 Jul 2022 11:45:24 GMT &gt; Для глупых, secure boot нужен, чтобы зафорсить винду. На этом его полезность <br>&gt; заканчивается.<br><br>ORLY? А я то им пользуюсь для того чтобы я мог грузить мои системные компоненты, а левые васи - нет. Кстати на вон тех ARM винда и так то не загрузится, хотя-бы потому что "драйверов нету, бжад!!!111". При этом lockdown оказывается очень в тему. Иначе можно легко отменить эти ограничения, сделав kexec() или сменив ядро на вариант не требующий подписи модулей.<br><br>То-есть, это уже опровергает тезис "На этом его полезность заканчивается". Что я про системную экспертизу говорил? Если вы не умеете фичами пользоваться во свое благо - блин, да вы даже в барак с замком у надсмотрщика по сути добровольно заходите. А можно - только подумайте - вообще не ходить в барак с надсмотрщиком. За это даже не будет ничего, единственный минус - надсмотрщик не притащит баланду, не предоставит хату, придется как-то канителиться самому уже со всем этим.<br> Уязвимость в ядре Linux, позволяющая обойти ограничения режи... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/128032.html#73 Mon, 25 Jul 2022 11:27:43 GMT &gt; Списочек можно? Какие дрова типично выкидываются для десктопного применения.<br><br>Врядли у вас на десктопе есть что-нибудь с infiniband или иное откровенно датацентровое и энтерпрайзное за много денег. Или вооооон тот сенсор давления на SPI - откуда он в десктопе? Там и SPI скорее всего нет (в планшетных уродцах даже на x86 он таки может быть).<br><br>А так зазырить свои lsmod, builtin модули и dmesg - даст некое понимание чего активно вообще и почему. Вот это придется собирать, иначе работать не будет. Модули файлух тоже лучше все же собрать, невозможность подцепить ту или иную ФС все же обидна. Хотя есть серьезный шанс что NILFS2 вы на жизненном пути не встретите. Как и JFS. И так далее.<br> Уязвимость в ядре Linux, позволяющая обойти ограничения режи... (pavlinux) https://www.opennet.ru/openforum/vsluhforumID3/128032.html#72 Mon, 25 Jul 2022 07:57:56 GMT &gt; ограничивается доступ к /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs,<br>&gt; отладочному режиму kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS, некоторым<br>&gt; интерфейсам ACPI и MSR-регистрам CPU, блокируются вызовы kexec_file и <br>&gt; kexec_load, запрещается переход в спящий режим, лимитируется использование DMA<br>&gt; для PCI-устройств, запрещается импорт кода ACPI из переменных EFI, не <br>&gt; допускаются манипуляции с портами ввода/вывода, в том числе изменение <br>&gt; номера прерывания и порта ввода/вывода для последовательного порта.<br><br>Вот, бл.., скажите, кто оставляет в ядре всю эту шнягу, на том серваке, где можно ждать атак? <br> Уязвимость в ядре Linux, позволяющая обойти ограничения режи... (Анончик) https://www.opennet.ru/openforum/vsluhforumID3/128032.html#71 Sun, 24 Jul 2022 10:47:19 GMT Или для серверов без экзотического железа, некоторой степени выдержки (максимально стандартного железа).<br> Уязвимость в ядре Linux, позволяющая обойти ограничения режи... (Анончик) https://www.opennet.ru/openforum/vsluhforumID3/128032.html#70 Sun, 24 Jul 2022 10:42:42 GMT &gt;более 9000 дров для ненужно<br><br>Списочек можно? Какие дрова типично выкидываются для десктопного применения.<br> Уязвимость в ядре Linux, позволяющая обойти ограничения режи... (Иван Васильевич) https://www.opennet.ru/openforum/vsluhforumID3/128032.html#69 Sat, 23 Jul 2022 08:38:57 GMT &gt;&gt; Можно, но не нужно.<br>&gt; А с чего вы будете за всех рещать что и кому нужно? <br>&gt; Я вот фичой пользуюсь. Если вам не надо - не включайте <br>&gt; ее в системе сборки да и делов. <br><br>Вы о чём вообще? Речь про механизм Secure boot на уровне недобиоса, причём тут система сборки?!<br>И потом, "а с чего это вы будете решать за всех", нужно ли оно во всём железе, может быть те, кому это надо, будут покупать это опицонально устанавливать в своё железо? Ах уже почти нигде нельзя, потому что почти везде оно есть уже дефолтно, а что так, любители под свою любимую ОС, компания-производитель которой держит за гениталии все эти ключи, имея "одно кольцо, чтобы управлять всеми" может значит решать за всех, так получается?!<br><br>Претензия не к подписям, а к поводку, который by design реализован таким образом, что он для вендорлока, а не для какой-то там "защиты", хотя, если для "защиты", от потенциальных конкурентов, то да.<br>C Pluton'ом же тоже будет защита, от ...нежелательного конкурента, но вы продолжайте верить в "галактико опасно Уязвимость в ядре Linux, позволяющая обойти ограничения режи... (Skullnet) https://www.opennet.ru/openforum/vsluhforumID3/128032.html#68 Fri, 22 Jul 2022 21:41:04 GMT Для глупых, secure boot нужен, чтобы зафорсить винду. На этом его полезность заканчивается.<br>