https://www.opennet.ru/openforum/vsluhforumID3/75394.html Несколько недавно найденных уязвимостей:<br><br><br><br>- Вышел (http://googlechromereleases.blogspot.com/2011/03/stable-and-beta-channel-updates.html) корректирующий релиз web-браузера Chrome 10.0.648.133 в котором устранена уязвимость, степень опасности которой отмечена как высокая (не критическая). Уязвимость присутствует в WebKit, свойственна всем браузерам на базе данного движка и может привести к повреждению областей памяти при попытке обработки определенным образом оформленных таблиц стилей. Благодаря многоуровневой защите Chrome напрямую эксплуатировать данный браузер проблематично, но успешная эксплуатация менее защищенных web-браузеров уже была продемонстрирована (http://www.opennet.ru/opennews/art.shtml?num=29886) на конкурсе Pwn2Own. В частности, данная уязвимость была использована для взлома телефона Blackberry;<br>- В утилите patch найдена уязвимость (http://lists.gnu.org/archive/html/bug-patch/2010-12/msg00000.html) позволяющая модифицировать файлы вне базовой директории, при об...<br><br>URL: <br>Новость: http https://www.opennet.ru/openforum/vsluhforumID3/75394.html#34 Wed, 16 Mar 2011 20:41:45 GMT &gt; Это мнение в духе "я не асилил, значит это остой".<br><br>А у меня нет в жизни цели "асилить %s". У меня есть задачи и хотелки. Лично мои. И в моих же интересах сделать так чтобы мне было с ними просто разобраться. Геморрой из принципа - это не мой подход. Назовите мне преимущества которые я реально получу - и я подумаю стоит ли соотношение геморроя и преимуществ моих затрат сил, или же решение идет в сад. Мне вот как-то соотношение затрат сил и результата в случае контейнеров нравится гораздо больше. Результат примерно тот же и даже лучше: довольно параноидальная изоляция с отделением от основной системы, вплоть до того что это будет выглядеть для софта как якобы отдельная машина, вообще без доступа к файлам и процессам "хоста" и могут быть даже некие лимиты на жрач ресурсов.<br><br>&gt; Все там просто. Для тех, кто не хардкорный админ есть куча гуевых утилит, <br><br>Только вот гуевые утилиты - они годны для наиболее типовых случаев. Для типовых случаев и шаблоны готовые есть, етц. Жопа начнется когда готовых решений вдр https://www.opennet.ru/openforum/vsluhforumID3/75394.html#33 Wed, 16 Mar 2011 20:11:22 GMT &gt; http://danwalsh.livejournal.com/40350.html#cutid1 &lt;-- хотите сказать, такой контейнер <br>&gt; сложнее сисколлов? Не смешите меня ;) <br><br>Я хочу сказать что:<br>1) Гуйные конфигурялки - это круто. Пока вам надо только то что там есть. А когда надо что-то чуть больше чем там есть - все, шаг в сторону и весь мозг вынести можно. Selinux весьма геморно сделан, рулесы навороченые, а что прикольнее всего - достаточно новости почитать чтобы найти сплойты которые его в 2 счета выпиливают несмотря на все эти навороты. Итого: много гемора, а ради чего - не очевидно. Сама по себе идеология мандатного контроля, требуемая в основном бюрократами из спецслужб лично мне не вставляет. Она конечно гибкая, правами можно вертеть как угодно. Зато в отместку за это - такие системы геморны в настройке и как правило в такой системе довольно сложно понять - какой же эффективный набор прав действует в сумме. Мне это не нравится. <br><br>И да, мне технически проще сделать пару сисколов в ядро с четким пониманием того что получится и какие далее у https://www.opennet.ru/openforum/vsluhforumID3/75394.html#32 Tue, 15 Mar 2011 19:28:19 GMT http://danwalsh.livejournal.com/40350.html#cutid1 &lt;-- хотите сказать, такой контейнер сложнее сисколлов? Не смешите меня ;)<br> https://www.opennet.ru/openforum/vsluhforumID3/75394.html#31 Tue, 15 Mar 2011 19:19:13 GMT Это мнение в духе "я не асилил, значит это остой". Все там просто. Для тех, кто не хардкорный админ есть куча гуевых утилит, есть куча переменных selinux, разрешающих определенные возможности (getsebool -a и в путь..), есть простые объяснения, как решать типичные (для 99% пользователей) проблемы вроде http://www.linuxtopia.org/online_books/rhel6/rhel_6_selinux/rhel_6_selinux_sect-Security-Enhanced_Linux-Troubleshooting-Top_Three_Causes_of_Problems.html#ftn.id2917409<br>А уж сэндбоксами пользоваться совсем несложно, перечисляете, к каким файлам иметь доступ и пускаете sandbox ваше-приложение - вот и все (http://people.fedoraproject.org/~dwalsh/SELinux/Presentations/sandbox.pdf).<br><br>То, что вы описываете - принудительный мандатный контроль всего - действительно актуально для ФСБ, а вот то, что работает по умолчанию, отлично защищает и не мешается. У меня среди серверов на 5-ке (в основном) и чуток на 6-ке нужно настройки selinux править буквально на паре из нескольких десятков, при этом только на одном пришлось с https://www.opennet.ru/openforum/vsluhforumID3/75394.html#30 Tue, 15 Mar 2011 15:40:29 GMT &gt; Интересно, уязвимы ли подобным образом системы управления версиями?<br><br>Проверьте :))). Готов поспорить что такие сюрпризы наверняка зарыты еще в куче неожиданных мест :). Более того, если какойнить make install вместо инсталла сделает rm -rf /, или скомпиленая программа сделает то же самое - ничему особо не противоречит, поэтому юзать программы или патчи откуда попало вообще не следует, как минимум без просмотра глазами до полного понимания что именно вам подсунули :)<br> https://www.opennet.ru/openforum/vsluhforumID3/75394.html#29 Tue, 15 Mar 2011 15:37:02 GMT &gt; Так это и без хромов доступно, во всяком случае в redhat и fedora. <br>&gt; Поставьте пакет policycoreutils-python для текстовых приложений и policycoreutils-sandbox<br><br>Спасибо, конечно, но имхо вы это сами и юзайте. Вместе с вашими питонами и SELinux'ами. А я пешком какнить постою. <br> <br>&gt; для графического sandboxX и вот замечательно средство для запуска любого приложения <br>&gt; в отдельной песочнице, под надежной защитой selinux.<br><br>Угу, у селинукса проблема только в том что мозг сломаешь если потребуется сделать шаг в сторону от готовых профилей. Весь этот мандатный контроль по большому счету нужен фсбшно-црушным конторам, у которых регламент такой по работе с секретными документамИ, а в силу специфики контор, если их регламент требует чтобы трава была зеленой, а на улице вдруг некстати оказалось -20 и вообще снег выпал, значит, берут лопату и ведро с краской в зубы, и вперед! Ведь трава должна быть зеленой, а в системе должен быть мандатный контроль, и не колебет. А вот у меня - нет такого регламента. И я не прусь https://www.opennet.ru/openforum/vsluhforumID3/75394.html#28 Tue, 15 Mar 2011 15:07:14 GMT &gt; моя всегда думала, что это фича, а не баг &#8212; как бы <br>&gt; оно делало то, что написано в дифф файле :-S <br><br>совершенно согласен. по-моему, это называется не &#171;исправили уязвимость&#187;, а &#171;кастрировали функционал&#187;.<br> https://www.opennet.ru/openforum/vsluhforumID3/75394.html#27 Tue, 15 Mar 2011 15:06:21 GMT &gt; И в веб-серверах это считается откровенным багом.<br><br>дададада! веб-сервера всенепременно нужны для того, чтобы запускать patch через cgi!<br> https://www.opennet.ru/openforum/vsluhforumID3/75394.html#26 Tue, 15 Mar 2011 14:29:51 GMT Так это и без хромов доступно, во всяком случае в redhat и fedora. Поставьте пакет policycoreutils-python для текстовых приложений и policycoreutils-sandbox для графического sandboxX и вот замечательно средство для запуска любого приложения в отдельной песочнице, под надежной защитой selinux.<br>