Янн Хорн (Jann Horn) из команды Google Project Zero, в своё время выявивший уязвимости Spectre и Meltdown, нашёл логическую ошибку в реализации модуля безопасности Linux (LSM) Landlock, позволяющую программе получить обратно уже сброшенные привилегии, в случае наличии у программы доступа к системным вызовам fork() и keyctl()...Подробнее: https://www.opennet.me/opennews/art.shtml?num=61619
не прокатила закладка, кто там авторы?
Сервисмены ограниченные жопаруки. Не надо выдавать каждую глупость за хитрый плпн.
О да Jin Tan тоже допустил глупость, чего сразу миллион новостей по ней выпустили?
Даже ванговать не надо и так очевидно,что индусский кот былых времен был на голову выше современного профессионального тяпляпства.
> О да Jin Tan тоже допустил глупость, чего сразу миллион новостей по ней выпустили?Как раз то что расследование инцидента показало что - это не глупость а злонамеренный мутный код. Откуда и фурор.
Это тебе в новостях так сказали, а сам головой подумать ты не пытался. В сабже никто ничего не расследовал, значит можно расслабиться?
> Это тебе в новостях так сказали, а сам головой подумать ты не
> пытался. В сабже никто ничего не расследовал, значит можно расслабиться?Что мне в новостях сказали? Что некий х..рен попробовал нечто левое - засыпался - и - treason uncloaked? Оок, и это плохо, недостоверно, и проч - потому что что? :) И что я должен придумать головой? Что энные типы могут и бэкдор внедрить? Ну а вот для этого и нужны тысячи глаз, чтобы это все неповадно было.
И хотя тут кто-то пиндит что опенсорс благодатное поле, по логике вещей пропреитарь намного благодатнее - там случайные васяны в код не смотрят и шансы палива - ниже. По логике вещей.
>> Это тебе в новостях так сказали, а сам головой подумать ты не
>> пытался. В сабже никто ничего не расследовал, значит можно расслабиться?
> Ну а вот для этого и нужны тысячи глаз, чтобы это все неповадно было.Прошло пять лет и наконец-то тысячный глаз смог заметить что-то неладное!
> И хотя тут кто-то пиндит что опенсорс благодатное поле, по логике вещей пропреитарь намного благодатнее - там случайные васяны в код не смотрят и шансы палива - ниже. По логике вещей.
Неа. Проприетарь хоть как-то отвечает, за то что делает.
Так к мелкомягким могут прийти люди в черном и спросить "какого собственно буя из-за вашего овнокода (сертифицированного кстати) у нас прон с сенатором в сеть утек?".
А в попенсорсе тут анархия и никто, никому, ничего не должен.
Ну что ты возьмешь с васяна который закоммитил выход за пределы буфера? Уволишь?
А он и так бесплатно работает как умеет.В некоторых случаях, как в примере с ХЗ, разработчики вообще хз с кем они работают.
Паспорт же на входе не проверяют)
> Прошло пять лет и наконец-то тысячный глаз смог заметить что-то неладное!Прошло пять лет и этой функцией решили воспользоваться, и заметили неладное.
> Проприетарь хоть как-то отвечает, за то что делает.
Никак не отвечает. Заглатываешь "AS{S,} IS". За свой счет. Ещё и настаивает, чтобы штаны спускал для установки зонда и ладошкой не прекрывался для своего же блага.
> А в попенсорсе тут анархия и никто, никому, ничего не должен.
Как и везде. Только это называется не "анарxия", а "lib-ная demo-тия". Любой дурак может выбрать любого подлеца по вкусу. Правда выбирает он, почему-то, всегда одного и того же, с самым большим рекламным бюджетом. Поколение кваса, например, выбирает эргономичные зонды компании "Маленький и Мягкий". "Спешите! Предложение ограниченно, уходя ухожу с минуты на минуту вот уже третий год! И всё никак не уйдусь! Мы всегда заботимся, чтобы дорогие рос-яне успели на последний вагон уходящего казино!"
> Никак не отвечает. Заглатываешь "AS{S,} IS". За свой счет. Ещё и настаивает, чтобы штаны спускал для установки зонда и ладошкой не прекрывался для своего же блага.Ха, ты просто не видел контракты которые "не для плебса".
Там тебе будет и SLA где каждая девятка после запятов может увеличивать стоимость в 10 раз, и команда поддержки которая дежурит 24/7 и прочие вкусности.Кроме того, если в проприетарный продук добавят лишний бекдор, то хотя бы есть с кем судиться.
Более того полиция получит все о сотруднике, начиная от паспортных данных, до ʼсколько пончиков он ел на ланчʼ.
А про анонимных опенсорсеров ты получишь кукишь с маслом, Jia Tan может это подтвердить.ps не то что мне было бы сильно интересно, так в рамках наблюдения за девиантами, почему у вашей братии постоянно речь про зонды? Причем исключительно которые в зад засовываются?
Это какая-то болезнь? Или неудовлетворенные фетиши?
> Ха, ты просто не видел контракты которые "не для плебса".Ага, банкам что-то не сильно помогло. Наверное, недостаточно патрициальными оказались. Или плохо договор читали, спешили подписать, на радостях, что господин озарил их вниманием.
> Кроме того, если в проприетарный продук добавят лишний бекдор, то хотя бы есть с кем судиться.
Не бекдор, а непредумышленная ошибка. А теперь, будь добр, оплати-ка все судебные издержки всех сторон процесса, после третьего удара молотка. Продано!
> полиция получит
Отворот поворот с той стороны границы. Не факт, что добьешься даже внутреннего расследования. На усмотрение господина, если будет в настроении.
> почему у вашей братии постоянно речь про зонды?
Стараюсь говорить на понятном вашей корпоративной "семье" языке. С уважением к донам, их "семейным" ценностям и традициям.
> Причем исключительно которые в зад засовываются?
А что, теперь зонды ещё куда-то засовываются? Молодцы, расширяете ассортимент.
> Ага, банкам что-то не сильно помогло. Наверное, недостаточно патрициальными оказались.
> Или плохо договор читали, спешили подписать, на радостях, что господин озарил их вниманием.Хм, если ты про последжний случай, когда софт сторонней фирмы сломал винду.. ну так на икс к ней уже очередь)
Линукс кстати тоже сломался, но всем было плевать. Тк во-первых сколько там этих красногразых девиантов, а во вторых - сразу видно что работает, а что нет.> Не бекдор, а непредумышленная ошибка. А теперь, будь добр, оплати-ка все судебные издержки всех сторон процесса, после третьего удара молотка. Продано!
Хахаха, хаватит нести свои бредовые фантазии.
> Отворот поворот с той стороны границы. Не факт, что добьешься даже внутреннего расследования. На усмотрение господина, если будет в настроении.
Странно, какиров которые что-то украли у НВидии быстренько взяли за жабры.
> Стараюсь говорить на понятном вашей корпоративной "семье" языке. С уважением к донам, их "семейным" ценностям и традициям.
Ты наверное хорошо разбираешься в корпоративных языках. Ну или просто человечек с нереализованными фантазиями.
> А что, теперь зонды ещё куда-то засовываются? Молодцы, расширяете ассортимент.
Не знаю. Ты же у нас спец по зондах.
Из того что слышал - то внезапно в рот, всякие гастроскопии.
Думаю для всяких раков там тоже хватает инструментов.
Все-таки предположу что твои склонности просто вылазят наружу.
Не то чтобы это было плохо, но не уместно на техническом форуме.
Да-да, а "ответственность сторон" при этом - сюрприиз! Вот ровно тот же as is. Ну, еще обещание что "нипачинити - мы вам СЛЕДУЮЩИЙ РАЗ саппорт не купим!!!111 (на самом деле - все равно купим, но)".
Из того, что я реально видел - разве что вариант со страховкой, в которой вот явным образом прописан ущерб в том числе и от проблем с софтом - но к этому варианту разработчик софта отношения почитай что и не имеет.
Такие дела.P.S. Что не отменяет in general значительно более высокого качества проприетарного софта.
По правде говоря, что те, что те, не несут прямой ответственности. Всё на свой страх и риск. О чем они пишут во всех лицензиях.
Единственное, проприетарщики отвечают баблом своим, если начнут гнать совсем пургу, то продажи упадут.
И в редких случаях, когда уж совсем совсем совсем совсем прям вот совсем в край офигели и целенаправленно творят дичь, тогда могут придти и по жопе дать.
такое бывает только если будет умысел, а не баг.
> Прошло пять лет и наконец-то тысячный глаз смог заметить что-то неладное!Ну дык. А вон у той проприетарщины ntfs.sys как летал в бсод так и летает. Начиная с nt4 минимум.
> Неа. Проприетарь хоть как-то отвечает, за то что делает.
А почему тогда в EULA написано "as is" по жизни? Если почитать EULA, в 2 словах, там написано "мы - боги, вы - слизняки, [x] вы согласны, а если нет - не пользуйтесь нашим божественным софтом".
> Так к мелкомягким могут прийти люди в черном и спросить "какого собственно
> буя из-за вашего овнокода (сертифицированного кстати) у нас прон с сенатором в сеть утек?".И как, много спрашивали то? Ну вон у msblast штук 5 реинкарнций было - в 1 и том же lsass несчастном. Так что это вообще в корпоративных сетях годами замочить не могли. Куда люди в черном смотрели, спрашивается? А, были заняты - пытались свои сети от него отчистить? :)
> Ну что ты возьмешь с васяна который закоммитил выход за пределы буфера?
> Уволишь? А он и так бесплатно работает как умеет.А что с раджи в майкрософте возьмешь? Он генерил гамнокод под запросы манагера, и его вообще ничерта не интересует кроме как чеклист поставить да чтоб от него отъ... с этим поскорее. Ведь чем больше чеклистов тем больше шансов премию срубить. Ну и что что нагамнякал, кто там потом разберется, а даже если - он уже работу три раза сменит на более оплачиваемую.
> В некоторых случаях, как в примере с ХЗ, разработчики вообще хз с
> кем они работают. Паспорт же на входе не проверяют)А что мне так по жизни даст знание что вон тот раджа насредин нагамнякал? Ну нагамнякал, и теперь чего?
>ntfs.sys как летал в бсод так и летает. Начиная с nt4 минимум.
>msblastПознания в винде начала 2000-х годов.
Ни разу за десятки лет, ни в одной из версий винды не ловил бсод от драйвера ФС. Как вы это делаете?
> Познания в винде начала 2000-х годов.
> Ни разу за десятки лет, ни в одной из версий винды
> не ловил бсод от драйвера ФС. Как вы это делаете?Попробуйте зацепить рушеный том - после например битой RAM. У хомячков очень интересные морды когда на ДРУГОМ компе с виндой, даже другой версии - тоже не цепляется, и тоже улетает в бсод. Такая паника сразу прикольная. Ну а вот под линухом это обычно таки - читается. Во всяком случае, большая часть. Без откровенного out of bounds доступа в память в отличие от того кода махровой индусни.
А если еще попробовать ворочать иерархией размером с Linux Kernel - можно заметить что NTFS вместе с виндой так то довольно тормозные штуки в файловых операциях. Технологии ФС прямо из середины девяностых прошлого века, топчик и инновации, аж два раза.
> не прокатила закладка, кто там авторы?Вот конкретно сабж - очень странная штука для именно закладок. Это опциональный модуль, где программы могут добровольно (!!!) скинуть прва которые не считают нужными, для улучшения безопасности.
И пихать бэкдор в вот имнено такую штуку - вообще странная идея. Это дополнительное средство укрепления безопасности, не более. Автыри просто продолбались в сложных взаимодействиях, и уйдя в лес - заблудились, продолбав пару вариантов как это может быть, и оказалось что они несколько вариантов взаимодействий тупо не предусмотрели. И программа может получить сброшенные права назад. Заметьте: эти права у программы уже были. Просто "sandboxing fail" получился.
Не приходила в голову мысль что дополнительную безопасность будут делать только для очень специальных задач и иметь именно там дыру это лакомый кусочек?
> Не приходила в голову мысль что дополнительную безопасность будут делать только для
> очень специальных задач и иметь именно там дыру это лакомый кусочек?Нет, не приходило - сейчас это делают вообще все нормальные люди. Это уже давно - best practices. Даже какой-нибудь дебиан seccomp'ом и не только отпиливает системные сервисы - по дефолту. А это еще 1 приблуда на эту тему. Сейчас вам не 1990.
Ну раз все делают, то и место для закладки удобное, популярное ...Хе-хе
> Ну раз все делают, то и место для закладки удобное, популярное ...Хе-хеLandlock относительно нишевая штука, топовые дистры им по дефолту не пользуются. Хотя я так смотрю, у вас удобная позиция - какой вариант не выбери, а всегда только ваша точка зрения правильная. Так бэкдор - потому что попса. А так - потому что не попса. Вау.
Манипулятивные паттерны - это как-то так. И кстати как вы уже заметили, в эту игру могут играть и двое. Treason uncloaked :)
что-то объяснять местному анонимосу бесполезно, признавать ошибки, узнавать что-то новое, учится на конец, это не про них
Что характерно исправлено, но не бекпортироапно, поче у? Опять случайность и никто на виноват?
Хм, а разве бекпортом не должны заниматься васяны, которые до сих пор сидят на некроверсии?
Ну типа "я у себя исправил, а если вам сильно надо - то вот код, сами сидите и бекпортите".
Потому что ну его, бекпортить во все древние версии.
Ну как тебе сказать. Если бы они действительно хотели безопасности то бекпортировали. Не по все, но хотябы в дом и туда где есть поддержка.
Ну такое.
Это же не просто нужно код перенести. Это надо еще протестировать.
И я думаю что этим должны заниматься все-таки создатели-мейнтенеры компонента.
Т.к их экспертиза скорее всего больше.
Кто они? Ян Хорн просто закоммитил исправление ошибки в дев ветку ядра. Остальные пока не в курсе за “уязвистоть”, оно ещё за уязвимость ни кем кроме анонов с опеннета не признано. Замечу, исправление не критичных багов в старые ядра не бэкпортят.
Вот кто признал критический баг некритическим и есть враг.
а ты когда сразу в продакшен хреначешь? :)
заново?
Я понял обнаружил один васян. А тот который вставил уязвимость для отчёта поправил в мейнлайне и все с его стороны пуля вылетела. Будет делать новый выход с прогибом.
не нужны не только запятые но и точки и заглавные буквы просто пишешь всё как есть и пусть там сами разбираются кому где надо а кому не надо пусть не разбираются у нас же не принудиловка всё таки васян васяну рознь и всё такое мало ли кто насколько грамотен или не очень с той стороны то будет другой человек у него же тоже свой уровень грамотности
Видимо так закладки и добавляют. Прикидываются плохими программистами. В OpenSource для этого раздолье.
А это -идейа - строго спросить с создателей всякой Astra Linux почему не предотвратили и провести большой процесс программистов-вредителей.
> почему не предотвратилиПотому что были в сговоре с буржуинами-шпийонами!
Возможно это тянет как минимум на сотрудничество с иностранными агентами. А как максимум на госизмену!
Вместо создания ОС взяли иностранный зонд и вставили всем по самое не болуйся.
Как только касперский свой "большой полосатый мух" выпустит - вот так сразу и.
Ну или не касперский, а "любая-другая-альтернатива-не-на-вашем-линуксе". Ну, примерно как с VK и блокировкой тытрупа, ага.
да какая же это уязвимость! у неё да же CVE’гки нет! так, бага, не более.
Не хотят светить отверстие.
Это ещё что! Я вот обнаружил, что firejail сбрасывает apparmor-профиль на свой стандартный вместо того, чтобы накладывать свой стандартный поверх сконфигурированного в apparmor.d, усиливая защиту, как от неё ожидается (я крайне удивлён что она работает не таким образом).Также:
1. якобы имеется поддержка landlock, но есть нюанс
2. вообще по идее firejail должна сама конвертировать свои профили в профили apparmor и landlock
Также прошу знающих товарищей объяснить объяснить, нафига вообще придумали отдельный landlock, если могли бы расширить apparmor всеми нужными фичами (в частности неотменяемостью) и позволить приложениям добавлять дополнительный профиль поверх системного для своего процесса и его детей?
apparmor - кривое поделие, применяется в таких убогих дистрибутивах Linux как Ubunru и SUSEнафига нужен apparmor, когда есть божественный SELinux от американского правительства!
Вот это открытие! Автомобиль в студию!AppArmor работает с путями by design. (В отличие от SELinux, который использует compile-time метки.) Если программа запускается другим процессом, например, как через shell-скрипт или как аргумент для /bin/firejail, то и профиль применяется соответствующий -- этого процесса. Нужно в его apparmor-профиле явно указать смену профиля для дочерних процессов на их глобальные профили (Px) или дочерние (Cx), которые тут же определить.
Но в программах изоляции (firejail, bubblewrap) обычно явно блокируется смена привилегий для дочерних процессов (man 2const PR_SET_NO_NEW_PRIVS), иначе с MAC-профилем будет хуже, чем без. Если не ошибаюсь, у firejail nonewprivs отключаем в настройках, а в aa-профили можно насовать flags=(attach_disconnected). Но это всё одна большущая дырень. Уж лучше отключить в его настройках поддержку AppArmor, и позволить тому самостоятельно применять глобальные профили из /etc/apparmor.d к дочерним процессам песочницы. Тогда очень желательно брать firejail без SUID. Из-за чего отвалится большая часть его функций, и станет разумнее использовать bubblewrap (тоже без SUID), с меньшей кодовой базой и, следовательно, поверхностью атаки.У Landlock нет профилей, он в исходниках каждой программы отдельно добавляется и настраивается её разработчиком. По сути, это механизм самоизоляции, самоцензуры. Вообще, это самый благоразумный (и дешёвый) способ изоляции, но он пока ещё в разработке, ограничен по возможностям, и применим лишь к программам с открытым исходным кодом. То есть заглотнуть у корпораций с лопаты не получится, а ведь так хочется.
Зачем всё это придумали? Когда коту делать нечего.. он придумывает SELinux, AppArmor, TOMOYO, Smack, Grsecurity RBAC, тысячу их. Наверное, во имя (ложного) чувства безопасности при запуске неведомой бинарной икс-игрек-ни от дорогих и любимых доброхотов-проприетарщиков. Вместо того, чтобы использовать, исследовать и улучшать открытое ПО. Ну и как-то же надо продать.., ну то есть чем-то занять новенький 100500-ядерный CPU. Планета сама себя не нагреет.
>В отличие от SELinux, который использует compile-time меткиSelinux использует метки в файловой системе, а не в бинарниках.
>Если программа запускается другим процессом, например, как через shell-скрипт или как аргумент для /bin/firejail, то и профиль применяется соответствующий -- этого процесса.
>Но в программах изоляции (firejail, bubblewrap) обычно явно блокируется смена привилегий для дочерних процессов (man 2const PR_SET_NO_NEW_PRIVS), иначе с MAC-профилем будет хуже, чем без.Программа изоляции может блокировать смену привилегий для детей. Но уже после того, как на них навешен нужный apparmor-профиль.
>У Landlock нет профилей, он в исходниках каждой программы отдельно добавляется и настраивается её разработчиком.
Что значит нет? Он просто обычно не в файле на диске хранится, а в виде структуры данных в памяти, вот и всё. Это не значит, что его нет. Хоть структура и удобнее для программного редактирования - но нафига отдельный огород городить?
> Selinux использует метки в файловой системе, а не в бинарниках.Ну, ок. Мой дистр не поддерживает, почему-то был уверен, что программы пересборку требуют для работы с SELinux.
Тогда, в AppArmor можно похожий метод использовать на раcширенных атрибутах (man 7 apparmor_xattrs). Только очень острожно. Там труднопредсказуемый механизм разрешения глобов в метках, особенно в связке с разрешением путей. И пространство меток (xattr namespace) нужно выбирать так, чтобы их не смог сбросить кто попало.> Программа изоляции может блокировать смену привилегий для детей. Но уже после того, как на них навешен нужный apparmor-профиль.
Так она сама под aa-профилем запущена, смена профиля будет после, как она установит атрибут и породит дочь.
> Что значит нет? Он просто обычно не в файле на диске хранится, а в виде структуры данных в памяти, вот и всё.
Под профилем обычно понимают отдельный файл, управляющий поведением программы для каждого особого случая. Например, команда `bwrap --args 33 -- bash` профилем (для bash) не является, а /dev/fd/33 - да.
>Так она сама под aa-профилем запущена, смена профиля будет после, как она установит атрибут и породит дочь.Ну допустим да, и что? Запуск программы и назначение ей её прифиля из apparmor.d - это абсолютно обыденное событие.
>Под профилем обычно понимают отдельный файл, управляющий поведением программы для каждого особого случая. Например, команда `bwrap --args 33 -- bash` профилем (для bash) не является, а /dev/fd/33 - да.
Ну профили firejail эквивалентны аргументам командной строки напр. Я под профилем подразумеваю любой набор данных, который указывает средствам разграничения доступа как ограничить программу.
Ошибка не в модуле, а в самом подходе. Вместо белого списка применяется чёрный, да ещё и с самостоятельным занесением. Но кого это волнует, когда настала эпоха замены блэк на блок.
> Ошибка не в модуле, а в самом подходе. Вместо белого списка применяется
> чёрный, да ещё и с самостоятельным занесением. Но кого это волнует,
> когда настала эпоха замены блэк на блок.Дык выкатите свои модули - покажите как надо было. Заодно посмотрим найдется ли хоть 1 мазохист который это еще и использовать в таком виде будет.
Простите, но если для когфигурации для пары программ надо тр@хаться неделю - на такую секурити все просто забьют. Ибо можно например виртуалку скроить - и ломайте ее наздоровье хоть целиком со всеми ее сисколами, у нее доступа в вон ту систему - мизер. А зачем тогда ваша секурити нужна, если можно - вот так?
Те кто поумнее уже это поняли - и сделали вещи типа Qube OS. Куда как лучше соотношения в этом плане.
>> Ошибка не в модуле, а в самом подходе. Вместо белого списка применяется
>> чёрный, да ещё и с самостоятельным занесением. Но кого это волнует,
>> когда настала эпоха замены блэк на блок.
> Дык выкатите свои модули - покажите как надо было. Заодно посмотрим найдется
> ли хоть 1 мазохист который это еще и использовать в таком
> виде будет.Кому выкатить и зачем это надо мне? Да, нашлись те, кто сам нашёл и развивал мои "модули".
> Те кто поумнее уже это поняли - и сделали вещи типа Qube
> OS. Куда как лучше соотношения в этом плане.Для меня показательно, что создатель "пилюль" не захотел принимать участие в этой деятельности.