Компания Qualys выявила три уязвимости в утилите needrestart, предназначенной для перезапуска фоновых процессов после обновления используемых данными процессами библиотек. Начиная с Ubuntu 21.04 утилита needrestart включена в состав базового окружения Ubuntu Server, в котором запускается с правами root в конце каждой транзакции пакетного менеджера APT, сканирует запущенные процессы и перезапускает те их них, что связанны с файлами, изменившимися после обновления пакетов. Выявленные уязвимости позволяют локальному непривилегированному пользователю получить права root в Ubuntu Server в конфигурации по умолчанию...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=62261

• Уязвимости в утилите needrestart, позволяющие получить root-...,Аноним, 00:23 , 20-Ноя-24
  • Уязвимости в утилите needrestart, позволяющие получить root-...,Аноним, 00:59 , 20-Ноя-24
    • Уязвимости в утилите needrestart, позволяющие получить root-...,Ананым, 06:02 , 20-Ноя-24
      • Уязвимости в утилите needrestart, позволяющие получить root-...,Аноним, 07:49 , 20-Ноя-24
      • Уязвимости в утилите needrestart, позволяющие получить root-...,Аноним, 09:30 , 20-Ноя-24
      • Уязвимости в утилите needrestart, позволяющие получить root-...,Аноним, 16:46 , 20-Ноя-24
  • Уязвимости в утилите needrestart, позволяющие получить root-...,нах., 01:10 , 20-Ноя-24
    • Уязвимости в утилите needrestart, позволяющие получить root-...,Аноним, 02:07 , 20-Ноя-24
      • Уязвимости в утилите needrestart, позволяющие получить root-...,WE, 08:22 , 20-Ноя-24
        • Уязвимости в утилите needrestart, позволяющие получить root-...,Аноним, 10:09 , 20-Ноя-24
          • Уязвимости в утилите needrestart, позволяющие получить root-...,gogo, 11:03 , 20-Ноя-24
          • Уязвимости в утилите needrestart, позволяющие получить root-...,crypt, 11:22 , 20-Ноя-24
        • Уязвимости в утилите needrestart, позволяющие получить root-...,Аноним, 13:28 , 20-Ноя-24
      • Уязвимости в утилите needrestart, позволяющие получить root-...,Аноним, 09:31 , 20-Ноя-24
        • Уязвимости в утилите needrestart, позволяющие получить root-...,Аноним, 13:33 , 20-Ноя-24
      • Уязвимости в утилите needrestart, позволяющие получить root-...,freebzzZZZzzd, 20:06 , 20-Ноя-24
        • Уязвимости в утилите needrestart, позволяющие получить root-...,Аноним, 01:13 , 21-Ноя-24
  • Уязвимости в утилите needrestart, позволяющие получить root-...,Anonyrat, 01:47 , 20-Ноя-24
    • Уязвимости в утилите needrestart, позволяющие получить root-...,мяв, 02:35 , 20-Ноя-24
      • Уязвимости в утилите needrestart, позволяющие получить root-...,мяв, 02:40 , 20-Ноя-24
        • Уязвимости в утилите needrestart, позволяющие получить root-...,scriptkiddis, 21:45 , 21-Ноя-24
    • Уязвимости в утилите needrestart, позволяющие получить root-...,Соль земли, 10:41 , 20-Ноя-24
  • Уязвимости в утилите needrestart, позволяющие получить root-...,Аноним, 08:15 , 20-Ноя-24
• Уязвимости в утилите needrestart, позволяющие получить root-...,Аноним, 00:41 , 20-Ноя-24
• Уязвимости в утилите needrestart, позволяющие получить root-...,Аноним, 01:15 , 20-Ноя-24
  • Уязвимости в утилите needrestart, позволяющие получить root-...,crypt, 11:27 , 20-Ноя-24
  • Уязвимости в утилите needrestart, позволяющие получить root-...,Аноним, 18:59 , 20-Ноя-24
• Уязвимости в утилите needrestart, позволяющие получить root-...,Аэро, 01:54 , 20-Ноя-24
  • Уязвимости в утилите needrestart, позволяющие получить root-...,Anonyrat, 03:02 , 20-Ноя-24
    • Уязвимости в утилите needrestart, позволяющие получить root-...,Аноним, 03:38 , 20-Ноя-24
      • Уязвимости в утилите needrestart, позволяющие получить root-...,Аноним, 05:41 , 20-Ноя-24
        • Уязвимости в утилите needrestart, позволяющие получить root-...,Аноним, 09:07 , 20-Ноя-24
        • Уязвимости в утилите needrestart, позволяющие получить root-...,Минона, 10:19 , 20-Ноя-24
      • Уязвимости в утилите needrestart, позволяющие получить root-...,Ананым, 05:58 , 20-Ноя-24
  • Уязвимости в утилите needrestart, позволяющие получить root-...,Ананым, 06:00 , 20-Ноя-24
    • Уязвимости в утилите needrestart, позволяющие получить root-...,Ананий, 09:48 , 20-Ноя-24
      • Уязвимости в утилите needrestart, позволяющие получить root-...,InuYasha, 12:47 , 20-Ноя-24
        • Уязвимости в утилите needrestart, позволяющие получить root-...,Аноним, 13:38 , 20-Ноя-24
• Уязвимости в утилите needrestart, позволяющие получить root-...,penetrator, 03:35 , 20-Ноя-24
• Уязвимости в утилите needrestart, позволяющие получить root-...,Аноним, 08:35 , 20-Ноя-24
  • Уязвимости в утилите needrestart, позволяющие получить root-...,Аноним, 09:19 , 20-Ноя-24
  • Уязвимости в утилите needrestart, позволяющие получить root-...,Аноним, 09:46 , 20-Ноя-24
    • Уязвимости в утилите needrestart, позволяющие получить root-...,Аноним, 12:09 , 20-Ноя-24
  • Уязвимости в утилите needrestart, позволяющие получить root-...,пох., 11:47 , 20-Ноя-24
    • Уязвимости в утилите needrestart, позволяющие получить root-...,Аноним, 12:12 , 20-Ноя-24
    • Уязвимости в утилите needrestart, позволяющие получить root-...,Аноним, 11:54 , 21-Ноя-24
• Уязвимости в утилите needrestart, позволяющие получить root-...,Catwoolfii, 09:25 , 20-Ноя-24
  • Уязвимости в утилите needrestart, позволяющие получить root-...,Аноним, 10:20 , 20-Ноя-24
• Уязвимости в утилите needrestart, позволяющие получить root-...,Аноним, 10:26 , 20-Ноя-24
• Уязвимости в утилите needrestart, позволяющие получить root-...,Соль земли, 10:46 , 20-Ноя-24
• Уязвимости в утилите needrestart, позволяющие получить root-...,pic, 11:36 , 20-Ноя-24

Ну ещё и ещё один повод использовать рхел и его клоны.

Redhat добавляла уязвимости из-за кривых патчей.

В редхате патчей кот наплакал по сравнению с бубунтой и дебияном

Потому что это не полигон для испытаний?

> В редхате патчей кот наплакал по сравнению с бубунтой и дебияном

Особенно на доисторические керенлы, угумс.

> В редхате патчей кот наплакал по сравнению с бубунтой и дебияном

Это как сказать. Ядра они гальванизируют очень даже...

это в котором двадцать лет не могут аналогичную утилиту для dnf написать?
Ну да, безопастно. Нет утилиты, нет опастностей. Поставил обновления - просто перезагружайся, какввенде, неча тебе гадать, что именно этими обновлениями затронуто, а что нет.

(20 - потому что zypper в suse умел такое еще в начале нулевых, а убунта, вот, всего через 15 лет догнала, но есть нюанс)

> это в котором двадцать лет не могут аналогичную утилиту для dnf написать?

а с какого бодуна должна такая шняга перезапускать процессы без желания пользователя?

> Поставил обновления - просто перезагружайся

поставил обновления днем, ручной перезапуск ночью - аксиома.

аксиома это ночью спать, а не перезапускать непонятно чего.

sleep 5h && reboot - господь запретил набрать?

ребутить не глядя?
блаженны верующие )))

твой работодатель, если у тебя работа чуть крупнее, чем рога и копыта.

лол кек, ппц, алё, аксиома - дежурный админ, проснись "человек оркестр", концерт окончен.

> а с какого бодуна должна такая шняга перезапускать процессы без желания пользователя?

она спрашивает пользователя, если в интерактивном режиме и просто печатает список для перезапуска в неинтерактивном

"""
в котором запускается с правами root в конце каждой транзакции пакетного менеджера APT, сканирует запущенные процессы и перезапускает те из них, что связаны с файлами, изменившимися после обновления пакетов.
"""

что такое транзакция пакетного менеджера?

>поставил обновления днем, ручной перезапуск ночью - аксиома.

смехотворное обсуждение, на самом деле рхел-клоны всё давно перезапускают.
ну по крайней мере обновления проги точно перезапускает прогу.
какие-то либы глубоко в потрохах - зачем сразу перезапускать?

в целом это вопрос sla и конфигурации балансировщиков, за которыми эти сервисы сидят.

> на самом деле рхел-клоны всё давно перезапускают

вот и спрашивается, с какого бодуна?

> Ну ещё и ещё один повод использовать рхел и его клоны.

Можно подумать, будто бы у тебя есть выбор :-)
В deb дистрибутивах до сих пор нет возможности вывести список всех пакетов (включая метапакеты), которые ты установил вручную, без учёта тех, которые поставились с системой при её установке.

это ведь.. такой нужный функционал, лол?
и да, Вы не правы, man apt-mark, в частности, showmanual

а, нет, беру слова назад, щас перепроверила специально, это чуть другом.
тем не менее, такое умеет делать nala.

Точно! Нужно всего лишь еще чуть обмазаться сторонними утилитами разного качества

aptitude показывает локально установленные. Также список пакетов после установки никто не запрещает сохранить. Но вот rollback нет, как в yum/dnf.

needs-restarting в RH уже проверели?)

Так вроде ж ключевая идея всех суидных утилит в том, чтобы обнулять пользовательские переменные при исполнении. Зачем они каждый раз их задействуют? Едва ли можно на халатность. И как у них клиенты остаются после подобного?

Провел аудит Debian в минимальной установки с помощью systemd-analyze security.
.service красные.

это новый уровень линукса для домохозяек. нифига не понятно, зато эмодзи ресует.

>systemd-analyze security

Ну тогда всё в безопасТносте. Not a bug!

Щас вообще какой век что бы сидеть без фаервола?

Зачем тебе файрволл за NATом провайдера?

Откуда у ipv6-only провайдера NAT?

откуда такой провайдер? засланец?

Откуда там вообще канал связи?

Наверное это интернет-бояре с Барвихи, 10 Gbit в дом =)

> Откуда ipv6-only

Фикс, так будет правильнее

Ходят слухи что в наш век без фаервола сидеть куда безопаснее чем в век виндос хп

во времена WinXP вплоть до SP3 достаточно было времени между поднятием сети и влючением виндового "фириволла", чтобы словить бластер с сассером.

Спасибо! Вызвал у меня ностальгические слёзы умилениума.. т.е. умиления :_)

каретка сидирома заскрепела аж :)

вообще не удивлен, бубунта уникальный продукт, со своей особенной глюкавостью

Нафейхоа в одной утилите было использовать скритпы на куче интерпретируемых языков? Python, Ruby, Perl - кошмар. Неудивительно, что с вот этим всем можно запутаться, не учесть особенностей. Почему бы всё на том же Python не реализовать?

Да,тебе пора это реализовать. Разрешаем.

Это же не злой Корп который стукнул по столу кулаком и сказал только питон или только 1сскрипт. Тут добрый опенсорс каждый пишет во что горазд.

Canonical - может, не злой, но корп.

попробуй не используя скрипты на куче языков - проверить подлежит ли рестарту сервис, написанный на этих самых языках. (И нет, кроме очевидного апгрейда интерпретатора есть куча других причин по которым его обязательно надо перезапускать.)

> Почему бы всё на том же Python не реализовать?

приступай.
(и не забудь переписывать заново с каждой новой версией пихона. Это тебе ответ почему на нем вообще не надо писать ничего кроме одноразовых хеловротов.)

Обратная совместимость в пределах третьей ветки есть. Но можно всё и Баше.

>попробуй не используя скрипты на куче языков - проверить подлежит ли рестарту сервис, написанный на этих самых языках

Элементарно. Достаточно построить граф зависимостей до обновления и после, и сравнить, изменился ли хотя бы один лист. Но для этого, сервис должен быть полностью опакечен, что убунтам с дебианами и не снилось.

В Debian есть аналогичная утилита checkrestart из пакета debian-goodies.
Интересно, что там у неё с секьюрностью?

> Безопаснее только храстовики ко орве на каждый апдейт качают из карго новые эксплоиты.

Что что? У вас орви? Или вы агроном и про коров пытались задвинуть? :)

> окружения PYTHONPATH на основе содержимого файла /proc/pid/environ,
> которую затем использует и для запуска собственного Python-кода.

Убунта наняла всяких питонистов по объявлению. Уязвимости, блин?! Да у них их апгрейдер систему обновить не может в половине случаев. При том что по сути - только пакетный менеджер и запускает. Но нет, чудо-програмеры даже это прогадить умудряются. Например скачав распоследнюю версию скрипта апдейта - чтобы обнаружить что оказывается с системной версией питона это вообще не работает. И теперь вы либо реинсталите систему, либо свичите репы и апдейтитесь лапками. Потому что упс, "новая версия убунты не обнаружена!".

Глупые уязвимости. Но и исправляются тоже в два счёта. Оптимализм лучше перфекционизма.

А так ли нужен root?
Тем более на домашней системе.