В Netfilter, подсистеме ядра Linux, используемой для фильтрации и модификации сетевых пакетов, выявлена уязвимость (CVE-2022-25636), позволяющая выполнить код на уровне ядра. Заявлено о подготовке примера эксплоита, позволяющего локальному пользователю поднять свои привилегии в Ubuntu 21.10 c отключённым механизмом защиты KASLR. Проблема проявляется начиная с ядра 5.4. Исправление пока доступно в виде патча (корректирующие выпуски ядра не сформированы). Проследить за публикаций обновления пакетов в дистрибутивах можно на данных страницах: Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=56742

• Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 13:21 , 22-Фев-22
• Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 13:22 , 22-Фев-22
  • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 13:32 , 22-Фев-22
    • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,пох., 13:40 , 22-Фев-22
      • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 13:42 , 22-Фев-22
        • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 16:49 , 22-Фев-22
          • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 17:09 , 22-Фев-22
          • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 13:12 , 23-Фев-22
            • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 15:52 , 23-Фев-22
              • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 19:35 , 23-Фев-22
                • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 00:58 , 24-Фев-22
        • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,пох., 17:26 , 22-Фев-22
          • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 17:36 , 22-Фев-22
            • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Анто Нимно, 07:17 , 23-Фев-22
              • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Антон Им, 11:25 , 23-Фев-22
          • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 13:17 , 23-Фев-22
      • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 14:12 , 22-Фев-22
        • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,пох., 18:49 , 22-Фев-22
      • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,crypt, 15:16 , 22-Фев-22
        • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 17:30 , 22-Фев-22
        • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 21:54 , 22-Фев-22
          • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 13:20 , 23-Фев-22
      • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,ух, 17:04 , 22-Фев-22
        • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,пох., 19:14 , 22-Фев-22
      • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 21:59 , 22-Фев-22
        • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Анто Нимно, 07:20 , 23-Фев-22
      • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 13:09 , 23-Фев-22
    • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Sultan, 14:08 , 22-Фев-22
      • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 14:23 , 22-Фев-22
      • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 16:50 , 22-Фев-22
        • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 00:00 , 23-Фев-22
          • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 00:40 , 23-Фев-22
            • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 11:51 , 23-Фев-22
              • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 12:49 , 23-Фев-22
            • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 18:07 , 23-Фев-22
              • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 20:18 , 23-Фев-22
        • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Igor, 02:41 , 23-Фев-22
          • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 13:22 , 23-Фев-22
            • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 15:06 , 23-Фев-22
          • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 17:53 , 23-Фев-22
      • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,ух, 17:13 , 22-Фев-22
        • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,пох., 12:20 , 23-Фев-22
          • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 17:56 , 23-Фев-22
    • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,BSDunya, 22:05 , 22-Фев-22
    • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 01:46 , 23-Фев-22
      • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,пох., 12:21 , 23-Фев-22
  • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 13:44 , 22-Фев-22
    • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 16:22 , 22-Фев-22
      • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 09:56 , 23-Фев-22
        • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,likeyourdaddy, 11:56 , 23-Фев-22
          • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 12:00 , 23-Фев-22
    • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 13:23 , 23-Фев-22
      • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 14:29 , 23-Фев-22
        • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 19:38 , 23-Фев-22
  • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Жироватт, 13:53 , 22-Фев-22
    • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 14:14 , 22-Фев-22
    • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 21:31 , 22-Фев-22
      • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 00:00 , 23-Фев-22
        • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 10:40 , 23-Фев-22
      • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 18:52 , 23-Фев-22
    • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аномни, 13:24 , 23-Фев-22
  • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 14:16 , 22-Фев-22
    • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 19:10 , 22-Фев-22
• Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 13:26 , 22-Фев-22
  • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 13:34 , 22-Фев-22
    • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Apple, 13:50 , 22-Фев-22
      • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Сири, 13:25 , 23-Фев-22
        • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Дядюшка Apple, 14:01 , 23-Фев-22
  • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Жироватт, 13:54 , 22-Фев-22
• Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Урри, 13:28 , 22-Фев-22
• Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 13:30 , 22-Фев-22
• Уязвимость в подсистеме netfilter, позволяющая выполнить код...,пох., 13:38 , 22-Фев-22
• Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Сергей, 13:54 , 22-Фев-22
  • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,hshhhhh, 14:01 , 22-Фев-22
• Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 14:11 , 22-Фев-22
  • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 14:16 , 22-Фев-22
  • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 14:18 , 22-Фев-22
    • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,anonymous, 00:28 , 23-Фев-22
      • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 10:29 , 23-Фев-22
        • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,anonymous, 02:16 , 25-Фев-22
  • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 14:18 , 22-Фев-22
  • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 14:25 , 22-Фев-22
    • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 13:27 , 23-Фев-22
  • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Ordu, 15:45 , 22-Фев-22
    • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 19:02 , 23-Фев-22
      • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Ordu, 19:34 , 23-Фев-22
        • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 19:45 , 23-Фев-22
          • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Ordu, 19:56 , 23-Фев-22
            • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 22:52 , 23-Фев-22
  • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,InuYasha, 18:34 , 22-Фев-22
• Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 16:44 , 22-Фев-22
  • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 16:52 , 22-Фев-22
    • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Анто Нимно, 07:26 , 23-Фев-22
      • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 11:20 , 23-Фев-22
• Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Онаним, 17:19 , 22-Фев-22
• Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним12345, 19:08 , 22-Фев-22
• Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 21:03 , 22-Фев-22
  • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,john_erohin, 21:36 , 22-Фев-22
    • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 22:02 , 22-Фев-22
• Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 12:59 , 23-Фев-22
• Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 14:17 , 23-Фев-22
  • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,старый_админ, 14:38 , 23-Фев-22
  • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 19:48 , 23-Фев-22
• Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 15:14 , 23-Фев-22
  • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 15:55 , 23-Фев-22
    • Уязвимость в подсистеме netfilter, позволяющая выполнить код...,Аноним, 17:17 , 23-Фев-22

Вот и наслаждайтесь своим безопасным и стабильным лялексом.

// b.

Сколько наворочено всяких концепций, которые управляют другими, которые... Пора возвращаться к простоте.

> Пора возвращаться к простоте.

Ставьте FreeBSD.

Там та, которая хуже воровства.

Ставьте ведро 3.0.100какоето- там еще нормальный iptables.
Без вот этого вот "очень похожего на BPF, но не так чтоб сохранить копирайты Berkley"

>Ставьте ведро 3.0.100какоето-

Старый код = неисправленные уязвимости.

Зря ты так про фряху. Фряха идеальна!

Я не про фряху.

> Зря ты так про фряху. Фряха идеальна!

История с вайргадом в фряхе сойдет за идеальныое что, детектив?!

>> Зря ты так про фряху. Фряха идеальна!
> История с вайргадом в фряхе сойдет за идеальныое что, детектив?!

Не попавшая в релиз и за которую разраба с треском выперли?
То ли дело история с патчами от всяких минесот, где часть "протухла сама по себе - даже исправлять не надо!", ага.
https://www.opennet.me/opennews/art.shtml?num=55095
> Также были проанализированы 435 коммитов, включающих исправления, отправленные разработчиками из Университета Миннесоты и не связанные с проведением эксперимента по продвижению скрытых уязвимостей.
> 349 коммитов признаны корректными и оставлены без изменений. В 39 коммитах обнаружены проблемы, требующие исправления - данные коммиты отменены и до выпуска ядра 5.13 будут заменены на более корректные исправления. Ошибки в 25 коммитах оказались исправлены в последующих изменениях. 12 коммитов потеряли актуальность,

> Не попавшая в релиз и за которую разраба с треском выперли?

После того как он втянул код и саботировал вынос этого трэша, и все это потребовало вмешательства автора вайргада. Наверное кернел тим так и должен работать... у кого-нибудь другого, мне такой кернелтим имхо ни к чему.

> То ли дело история с патчами от всяких минесот, где часть "протухла
> сама по себе - даже исправлять не надо!", ага.

Так их же вычислили как раз на гуанокоде и для предосторожности снесли и остальные комиты.

> на более корректные исправления. Ошибки в 25 коммитах оказались исправлены в последующих
> изменениях. 12 коммитов потеряли актуальность,

Да, стоило бы посмтоетреть на ту же статистику в фрибсд... кмк там просто всем по...й бы было, трэш гангстера вообще никого кроме автора вайргада не напряг, при том что он не девтим вообще.

> Так их же вычислили как раз на гуанокоде и для предосторожности снесли и остальные комиты.

Занятное врань^W "motivated reasoning". Для "предосторожности" - эти коммиты проанализировали и " 349 коммитов признаны корректными и оставлены без изменений.", а 12 - "протухли сами по себе"

>> на более корректные исправления. Ошибки в 25 коммитах оказались исправлены в последующих
>> изменениях. 12 коммитов потеряли актуальность,
> Да, стоило бы посмтоетреть на ту же статистику в фрибсд... кмк там
> просто всем по...й бы было, трэш гангстера вообще никого кроме автора вайргада не напряг, при том что он не девтим вообще.

Юли фантазер^W Емеля, твоя неделя.

То ли дело зеродеи в новом, модном коде!

(а из серьезных там разьве что n_tty, да и та вроде в последних версиях кое-как прикрыта)

Сложите вместе эти два факта. Из этого следует, что стоит искать актуальный код, но не "модно-молодёжный".

Молодёжно-халявный, так, вероятно, стоит трактовать модно-молодёжность в контексте кода.

> Молодёжно-халявный

Антикварно-роскошный

> То ли дело зеродеи в новом, модном коде!

можно подумать в старом их не бывает, старый сишный код вообще часто писан без секурити в голове, лишь бы работало, долбать эксплойтами стали ведь уже потом

Уязвимость в _netfilter_. Не важно, кто там правила загружает.

Уязвимость в модном-молодежном "почти как bpf но без лицензии bsd" нетфильтре.

А в 3.0.100 немодный, он правила выполняет в том виде, в котором их собирает iptables, и там нет никакого nf_tables_api.c поскольку они никуда не "компилируются".

Офлоада, правда, тоже нет, но полагаю это не последний баг и не все они будут связаны с офлоадом.

я сидел на 2.6.32 до упора, но поддержка rhel6 закончилась:( с нее на freebsd чуть ли не проще мигрировать, чем на новый systemd/Linux.

даже запостил историю "Переход с Linux на FreeBSD. Успех, но..."

https://www.linux.org.ru/gallery/screenshots/16719927

p.s.

анонимные комментаторы там в игноре

> 3.4 FreeBSD - это единственная ОС из других *BSD с проприетарными драйверами. Полный успех.

В любой есть.

> p.s.
>анонимные комментаторы там в игноре

) Только ум, честь и совесть эпохи. Кстати, в свете последних постановлений надо доставать РК-86?

а что ему делать было, когда основная трабла - "нет исходников иконок в svg" и операционки некроманские это гарантирует характерные коменты и жесты пальцами около виска )))

а мусью может пояснить, что именно не устроило их величество? в handbook много букв? нет systemd? kde не патчится? докер не едет через докер?

Могу, но ты все равно не сможешь понять.

У вас три пакетных фильтра с невменяемым синтаксисом, один мертвый, второй полуработающий а третий вообще ни для чего непригоден из-за плоского конфига с номерками, здравствуй 96й год когда сети были примитивные и списки правил умещались на экран 80x24.

userspace helpers, XXI век, userspace helpers для тривиального исправления одного байта в передаваемом пакетике а не какой-то суперсложной обработки (на которую в линуксе закладывались но так и не придумали к чему бы применить)...

>Ставьте ведро 3.0.100какоето

Когда-то в линуксе развитие сопровождалось прогрессом. А теперь фанатики с "прогрессом" борятся.
Прекрасно, чо!

Когда софт стали делать не инженеры, а инженеры с бизнесменами, то качество изменилось - заболачивается.

Оборотная сторона победы. Победа интересна с перспективы продать, на ней карьеру построить.

> Ставьте ведро 3.0.100какоето- там еще нормальный iptables.

и получите мешочек известных вулнов в подарок, при том фиксить их там уже точно никто не будет

и что мешает отключить вон то в билдконфиге ядра? джедаи не ищут простых путей?

Если фря наберёт такие обороты, то и там найдут кучи дырок. Нахождение уязвимостей - вопрос интереса к системе.

Не только. Ещё и качества кода и организации структуры.

Во всех плейстейшенах и в нинтендо свитч фряха. Это прям дофига устройств. И что ты там найдешь?  

Ты думаешь Сони и Нинтендо искали баги, а не просто взяли готовую кодовую базы и сделали на ее основе продукт под свои нужды? Или к чему тогда твое сообщение, оно ведь никак не контраргументирует высказывание про баги фряхи, которые не нашли ибо не искали

>>> Если фря наберёт такие обороты
>> ... Это прям дофига устройств.
> Ты думаешь Сони и Нинтендо искали баги, а не просто взяли готовую
> кодовую базы и сделали на ее основе продукт под свои нужды?
> Или к чему тогда твое сообщение, оно ведь никак не контраргументирует
> высказывание про баги фряхи, которые не нашли ибо не искали

Попробуйте перед ответом читать. Глазками.
Очевидно, что отвечали в контексте "во фре не находят дыры, потому что мало где испольюзубт" и "контраргумент" тут ничем не хуже "не нашли, потому что не искали!"

В плойке я знаю довольно эпичные дыры находили. Но сравнение не совсем корректное, в плойке архитектура не писи и дрм во все дыры.

>> Если фря наберёт такие обороты, то и там найдут кучи дырок.
>> баги фряхи, которые не нашли ибо не искали
> В плойке я знаю довольно эпичные дыры находили.

Хреноватый "качественно-количественный" анализ, если честно. Впрочем, аналитики выше вообще не в курсе, что Сонька платит 50000$ баг-баунти

> Но сравнение не совсем корректное, в плойке архитектура не писи и дрм во все дыры.

Вообще-то, сравнение "только ядро!" и "полноценная ОС с браузером и шахматессами"  -- не только "не совсем", а даже "совсем не".

То есть использование кода фряхи в проприетарных системах Сони и Нинтендо делает такой же популярной как и Линукс? Радует, что адепты фряхи ещё где-то остались, хоть и вот такие

> То есть использование кода фряхи в проприетарных системах Сони и Нинтендо делает
> такой же популярной как и Линукс?

Т.е. ты опять ведешь диалог с самим собою, увлеченно что-то придумывая и оспаривая.

Ну так PS4 поломали именно через сеть и встроенный браузер, который открывал руководство пользователя из сети. Через браузер грузился эксплоит, который использовал дыры в ядре, позволившие получить доступ к ядреному пространству и заменить ключи шифрования. В результате появилась возможность расшифровать игрушки и зашифровывать их с нулевым ключем.

ну хоть кто-то изучил секурити бздей... хоть и по таксебешной причине, да и фряха поди с этого получит как обычно - ничего

> да и фряха поди с этого получит как обычно - ничего

commit d6c6c7850d14846c7106a09712f2ed97f87988cd
Author: Mark Johnston <markj@FreeBSD.org>
Date:   Thu Apr 2 15:30:51 2020 +0000
    MFC r359154:
    Fix synchronization in the IPV6_2292PKTOPTIONS set handler.

Очередной опеннетно-лапчатый онализ.

Ключём, извините )

белые тоже едят друг друга, но хорошо скрывают. это не аргумент, это попытка оправдаться.

но в общем с идей согласный - п.о. пишут люди, которым свойственно ошибаться. и вот тут начинаются ньюансы, потому что эти люди разные. одни в ластах и с гиперактивностью, а другие в кедах и с дипломами.

> белые тоже едят друг друга, но хорошо скрывают.

а что с этим тезисом-то не так?

> п.о. пишут люди

но есть большая разница между Рыжим дол..ом писавшим ранний iptables just for fun и потому что мог, пусть и оставившего после себя развалины, их еще можно было восстанавливать, и моральным уродом комитером в CoC который "всех засужу за нарушение GPL!" - после которого восстанавливать уже нечего, надо наоборот, заливать напалмом.

Прекращайте коммунизм восхвалять!

К простоте, но не в каменный век.

BSD который хакинтош особенно рекомендую

там еще большее г-но с пакетным фильтром - из трех полуработающих работает один совсем бесполезный.

- Человек - это много данных. Аденин, цитозин, гуанин, тимин - алфавит человека - четыре символа. У меня лишь два - ноль и единица.
- В два раза проще, зато в два раза прекраснее.

Откуда?

Из экранизации "Мечтают ли андроиды об электроовцах? 2049"

зумер, спок

Зумер, зумеры не в состоянии запомнить такой диалог.

в чем проблема, по 2 бита на символ недурно упаковывается

- Будь это правдой, за мной всю мою жизнь охотился кто-то вроде меня.
- Но так здорово помечтать, согласись.
- Лучше не надо.

мечты выполняются, так что...

QNX. Куня спасет весь мир могильных устройств

Куня спасет весь мир

Сдохла куня.

Убили.

Воскреснет и вознесется в облака, ой, небеса. Ждем второго пришествия. Да будет так и во веки веков!

Куни живо

> мир могильных устройств

и фрибсдшные черти с вилами стоят...

И хостеры останутся без контейнеров?

Хипстеры вы хотели сказать?

Черт... опять нашли нашу закладку...
(с) АНБ

Да и ничего страшного, сейчас вон Microsoft запушит в ядро новую.

// b.

А мы червей откусываем.

вы сделали опечатку в слове надкусываем

Девочка, у Вас ротик маленький.

Кладмена своего увольте, а? У нас и так уже полядра изрыто, и надписи какие-то.

> Проблема проявляется начиная с ядра 5.4.

Ну вот. А я надеялся на своем ведроиде временный рут получить.
Придется искать старые cve.

> Ошибка проявляется при настройке правил "dup" и "fwd" в цепочках, для которых применяется аппаратное ускорение обработки пакетов (offload).

Т.е. затрагивает в лучшем случае 50 серверов во всём Интернете.

Please disperse.

// b.

из соседней новости, прекрасное:
> Непосредственно правила фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после
> чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в ядре в специальной виртуальной машине, напоминающей BPF
> (Berkeley Packet Filters). Подобный подход позволяет значительно сократить размер кода фильтрации, работающего на уровне ядра и вынести
> все функции разбора правил и логики работы с протоколами в пространство пользователя.

что, что тут могло бы пойти не так?!

То, что ее эксплуатировать можно только локально никого не смущает?

> Уязвимость также может быть использована для атак на системы контейнерной изоляции.

Проверка границ массива это слишком медленно и всё будет тормозить говорили они. Взамен уже десятки лет огребают трудновыловимые дыры в безопасности.

Именно так, зато щас как на Rust перепишем! Да как все дыры залатаем!

// b.

Надо было десятки лет сидеть в панике?

Если будет попытка взлома, то лучше уйти в панику, чем позволять выполнять произвольный код.

Если будет не попытка взлома?

Хорошо: лучше уйти в явную панику с описанием конкретной проблемы, чем втихоря начинать непредсказуемое поведение

А чему тормозить в данном случае? Если тут проверять только при загрузке правил.

Ну пока ломом по голове ен настучит это все они так и будут избегать языки с тостыми указателями

Юзеры не желают тормозные ядра и денег за это не несут. Хоть вы там с жиру полопайтесь с вашими указателями.

Справедливости ради стоит отметить, что тогда ещё говорили о том, что вообще нельзя писать систему на высокоуровневом языке, потому что тормозить будет. C смог пролезть в системное программирование потому, что он позиционировался как кроссплатформенный ассемблер.

Ну и да, тогда проверка границ была дороже: компиляторы были тупыми, подметить что условия цикла гарантируют, что проверка всегда даст true и вышвырнуть её за ненадобностью, они не могли. Да и языки были другие -- итераторов нет, лямбд нет, а значит нет способов свалить на массив организацию цикла так, чтобы с минимумом проверок. И спекулятивного выполнения тогда не было, чтобы эта проверка задним числом выполнялась бы параллельно с выполнением другого кода.

Даже сишный компилер может мастерски изгадить код, тормознув в пару раз на ровном месте. Или, наоборот, удалить "ненужных" проверок NULL, прувер штука такая, докажет "never happens" на раз, и пофиг ему что full view большой системы где-то уже продолбали.

Если код раз в день выполняется - черт с ним с всем этим, но ядро выполняет вообще все запросы программ и ворочает БОЛЬШИМИ потоками данных.

Есть юзеры с 8K дисплеями, NVME всякие, 100GigE - и их обладатели считают что это должно работать на скорости железа. Четвертинка от этой скорости их вообще совсем не устраивает.

А за спекулятив мы получили спектры с мельдонием, когда оказаолсь что задним числом оно эвона как, проц на допинге попадается.

> Даже сишный компилер может мастерски изгадить код, тормознув в пару раз на
> ровном месте.

На это есть профайлер.

> Или, наоборот, удалить "ненужных" проверок NULL, прувер штука такая,
> докажет "never happens" на раз, и пофиг ему что full view
> большой системы где-то уже продолбали.

Это не было проблемой, пока C был кроссплатформенным ассемблером. Он генерил машинный код максимально приближенный к C'шному.

> На это есть профайлер.

Как вы себе это представляете на штуках типа линукс кернела в среднеотфонарных конфигах, работающих для вон той толпы народа? И что делать с комбинаторным взрывом и тем фактом что для одних лучше так, а для других эдак? Реально оно приходит к неким компромиссам, а что-то такое более реально для секурити типа kasan толпой ботов.

> Это не было проблемой, пока C был кроссплатформенным ассемблером. Он генерил машинный
> код максимально приближенный к C'шному.

Всего лишь это сейчас уже никого не устраивает. Крутой оптимизатор может намного больше. А если можно выжать больше из того же железа... нет, бизнес совершенно точно свою халяву никаким концептуалам не подарит. Ничего личного, это бизнес и это их бабки. А докупите на 10% больше серваков - за это в ином энтерпрайзе так то можно на мороз уйти. Другого нанять дешевле будет.

А LTO на коде более нескольких кило легко даст мне мастер класс по фолдингу констант, оптимизации перемещений регистров и проч. Я просто потеряюсь в этом объеме - а компилеру пофиг, он железный.

Я не понимаю о чём ты споришь. Речь идёт о том, что "вас же предупреждали, что надо выход за границы проверять, а вместо этого вы десятками лет баги ловите". Вот когда предупреждали дешевизна проверки на выход за границы была очень неочевидной. Ситуация сейчас изменилась, и я не спорю с этим.

> "вас же предупреждали, что надо выход за границы проверять, а вместо
> этого вы десятками лет баги ловите".

Все хотят и рыбку съесть и косточкой не подавиться. С растом столько возятся в основном потому что он похоже на это смотрится благодаря паре интересных идей. И меня так то устроит если компилер математически докажет "never happens" и выпилит проверку. Если оно стопудово так. Это даже желательно. Проблемы начинаются когда он что-то профакапил, упс...

Там вон еще некий ZIG вылупился, для сишного кода как-то логичнее как путь апгрейда смотрится, радикально переписывать не надо а секурити может улучшить.

> Вот когда предупреждали дешевизна проверки на выход за границы была
> очень неочевидной. Ситуация сейчас изменилась, и я не спорю с этим.

Ну попробуйте с пакетами в 100Г сетевку или NVME так. IO с тех пор тоже не стоял на месте. Можно поискать историю с PPS и IOPSами в паре последних ядер, начните на форониксе, они такое любят.

Мы не говорили. Мы и на null проверяли, и на выход за границы, и на порчу/сглаз данных.

Камни с неба прилетели

Зато мы в родном Линуксе.

Много званых, да мало избранных.

> да мало избранных

Голосуй, а то проиграешь!

> в цепочках, для которых применяется аппаратное ускорение обработки пакетов

Так, уже легче. На боевых системах оффлоуда нетфильтра нет.

Нет худа без добра

Новость не читал.
Надо было ставить pf.
По факту увизгвимостей в нфт.
Вангую, что из-за синтаксиса основные уязвимости будут из-за неверного написания правил.
Сейчас ведь некоторые даже не понимают как в айпитабле работают правила и сперва пишут разрешения а дроп в конце. Видел на форуме недавно такие примеры.

> некоторые даже не понимают как в айпитабле работают правила

а я и не собираюсь "понимать" (т.е. гадить
себе же в мозг еще одним собачьим языком).
пусть за меня понимает firehol.
к сожалению аналог для nftables мне неизвестен.

>  и сперва пишут разрешения а дроп в конце.

всегда так делаю. недавно удалось убрать ил логов
чью-то протекшеую в провайдерский влан локалку.
именно тихим дропом в конце.

>> некоторые даже не понимают как в айпитабле работают правила
> а я и не собираюсь "понимать" (т.е. гадить
> себе же в мозг еще одним собачьим языком).
> пусть за меня понимает firehol.
> к сожалению аналог для nftables мне неизвестен.
>>  и сперва пишут разрешения а дроп в конце.
> всегда так делаю. недавно удалось убрать ил логов
> чью-то протекшеую в провайдерский влан локалку.
> именно тихим дропом в конце.

Вы молодец! Продолжайте в том же духе!

> возможно только при наличии привилегий CAP_NET_ADMIN,

При таких привилегиях права можно особо и не повышать - а зачем? :)

> непривилегированным пользователем в отдельном сетевом пространстве имён (network namespaces)

cgroups & namesoaces & BPF - выкинуть с ядра.

> позволяющего локальному пользователю поднять свои привилегии в Ubuntu 21.10 c отключённым механизмом защиты KASLR.

ASLR необходим и в ядре и в юзерспейсе.

en.wikipedia.org/wiki/OpenBSD

> cgroups & namesoaces & BPF - выкинуть с ядра.

Конфигуряемо при билде ядра.

> ASLR необходим и в ядре и в юзерспейсе.

Тоже конфигуряемо, и как правило активно.

1.5 анончика, обращение к вам: Что-то смотрю совсем тут поплохело. Помимо лора (что там знаю) вы еще где-то несете свет в прогрессивные массы? На лор не пойду, там толерастия цвет и попахивает.

> свет

Это не бесконечная тьма. Света мало, конечное(?) количество. Иначе весь космос светился бы ослепительными красками в любое время суток. Так что строго дозировано в неведомых просторах космоса согласно парадоксу Ферми.

Ну тогда делом займусь. Хотя и лениво.
Нашим еще полутора оставшимся, сохранившим и идеалы и мозги, привет при случае. "Тьма проходит и истинный свет уже светит..."(с). Не сдавайте позиции, посоны! Честь имею.