The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +/
Сообщение от opennews (ok) on 10-Май-17, 22:21 
Исследователи безопасности из группы Zero, созданной компанией Google для предотвращения атак, совершаемых с использованием ранее неизвестных уязвимостей, опубликовали (https://googleprojectzero.blogspot.ru/2017/05/exploiting-lin...) технику эксплуатации уязвимости (CVE-2017-7308 (https://security-tracker.debian.org/tracker/CVE-2017-7308)) в ядре Linux, позволяющей поднять свои привилегии в системе через передачу специально оформленных параметров при манипуляции с RAW-сокетами AF_PACKET. Опубликован (https://github.com/xairy/kernel-exploits/tree/master/CVE-201...) прототип эксплоита, работоспособного в  Ubuntu 16.04.2 с ядром 4.8.0-41-generic с включенными механизмами защиты KASLR, SMEP и SMAP. Проблема была выявлена в результате fuzzing-тестирования системных вызовов ядра Linux.


Уязвимость вызвана целочисленным переполнением в функции packet_set_ring() для сокетов AF_PACKET. Примечательно, что это вторая уязвимость в packet_set_ring() за последнее время, похожая проблема  (CVE-2016-8655) была выявлена (https://www.opennet.me/opennews/art.shtml?num=45632) в конце прошлого года. Для атаки злоумышленник должен иметь полномочия CAP_NET_RAW, которые необходимы  для создания сокетов AF_PACKET. В Ubuntu и Fedora данные полномочия можно получить через использование пространств имён идентификаторов пользователей (user namespace), которые включёны по умолчанию. Проблема проявляется в ядрах до 4.10.6.

В Ubuntu (https://www.ubuntu.com/usn/usn-3256-1/) и Fedora (https://bugzilla.redhat.com/show_bug.cgi?id=1437406) проблема была устранена в апрельском обновлении пакетов с ялром. Для SUSE 12 и openSUSE исправление было выпущено (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2017-7308) несколько дней назад. Red Hat Enterprise Linux 5/6 и SUSE 11, проблеме не подвержены, а в RHEL 7 и Debian для эксплуатации требуется (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2017-7308) явное предоставление полномочий CAP_NET_RAW. В Android право создавать сокеты AF_PACKET имеет процесс mediaserver, через который может быть эксплуатирована уязвимость.

URL: https://googleprojectzero.blogspot.ru/2017/05/exploiting-lin...
Новость: http://www.opennet.me/opennews/art.shtml?num=46526

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +/
Сообщение от Michael Shigorin email(ok) on 10-Май-17, 22:21 
...и опять userns... (в альте подумали и перевели в вид "если хочешь сидеть на этой пороховой бочке, включай своей рукой" как бы не ещё при первом CVE на сей счёт, помнится)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +3 +/
Сообщение от Аноним (??) on 10-Май-17, 22:30 
Эти user namespaces, как и контейнеры со своим root-ом, просто раздолье для атак на системные вызовы, позволяя без назначения capabilities обращаться к любым подсистемам ядра.

Итог: user namespaces и root-права в контейнере и без уязвимостей уже дыра в безопасности.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

42. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +/
Сообщение от Michael Shigorin email(ok) on 11-Май-17, 09:32 
> Эти user namespaces, как и контейнеры со своим root-ом,
> просто раздолье для атак на системные вызовы

Именно.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

106. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +/
Сообщение от pavlinux (ok) on 17-Май-17, 05:17 
Причём тут namespaces, нехера преобразовывать типы в середине кода,
чтоб заткнуть компилятор про сравнение unsigned и signed

> (int)(req->tp_block_size - BLK_PLUS_PRIV(req_u->req3.tp_sizeof_priv)) <= 0)

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

54. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +/
Сообщение от Аноним (??) on 11-Май-17, 11:51 
Для контейнеров задавать Capabilities таки нужно.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +7 +/
Сообщение от Аноним (??) on 10-Май-17, 22:38 
Я же говорил альт эта крута Шигорин обясни им
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +1 +/
Сообщение от Аноним (??) on 10-Май-17, 22:52 
Спрашиваю не ради флейма а ради интереса: альт реально чем-то хуже десятка других дистров? Или ваше (и не только) отношение вызвано исключительно тем, что сотрудники альта тут пишут, а сотрудники вашей любимой федоры/убунты/дебиана/слаквари нет?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +15 +/
Сообщение от Аноним (??) on 10-Май-17, 23:15 
Иногда мне кажется, что Шигорин на самом деле сотрудник не альта, а какого-то другого конкурирующего дистрибутива, потому как никто не делает здесь для альта такую антирекламу, как Шигорин. Что касается технической части, то я также спрашивал у Шигорина, в чем преимущество у альта, на что он мне начал говорить про какое-то "договороспособное руководство". https://www.opennet.me/openforum/vsluhforumID3/109979.html#6
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +/
Сообщение от Sabakwaka (ok) on 10-Май-17, 23:39 
Каким там годом помечены последние движения на сайте АлтЛинух?
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +2 +/
Сообщение от о6какатрон on 10-Май-17, 23:56 
вы зря так , там очень прикольные обои
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +7 +/
Сообщение от Аноним (??) on 11-Май-17, 00:14 
Вы хотели сказать нескучные, нескучные обои.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

26. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  –1 +/
Сообщение от Аноним (??) on 11-Май-17, 08:07 
Это же самое важное!!1 В моём дистрибутиве очень ОЧЕНЬ скучные обои. Срочно перехожу на Альт, там нескучно!
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

11. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +8 +/
Сообщение от freehck email(ok) on 11-Май-17, 00:06 
Ребята, давайте на чистоту: вы не любите Мишу. Альт тут вообще не при чём. :)
Сам Альт вообще не так уж плох. Сравнить с халтурой поделкой, типа Astra - так небо и земля.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

16. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +6 +/
Сообщение от cmp (ok) on 11-Май-17, 00:19 
Которую сравнить с поделкой попова, которую сравнить с результатом прыганья обезьян на клавиатуре.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

18. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +1 +/
Сообщение от Crazy Alex (ok) on 11-Май-17, 00:43 
Любой "национальный" дистр плох по определению, если это не проект по допиливанию чего-то более распространённого под нужды конкретной конторы/городской управы. И то грех такие штуки в виде отдельного дистрибутива организовывать.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

20. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  –1 +/
Сообщение от Аноним (??) on 11-Май-17, 01:33 
> Любой "национальный" дистр плох по определению

Почему?
Вот федора, например, типичный американский национальный дистр, воплощающий американские народные заморочки типа патентов на ПО.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

56. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +1 +/
Сообщение от Аноним (??) on 11-Май-17, 12:08 
А типичный российский нациоанальный дистр должен воплощать заморочки на тему росспила ;)
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

68. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +5 +/
Сообщение от Аноним (??) on 11-Май-17, 17:50 
Есть подозрение, что западные партнёры более продвинуты в этом (распил) вопросе.
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

59. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +/
Сообщение от dq0s4y71 (ok) on 11-Май-17, 13:18 
Какой "типичный американский национальный дистр"? Вы о чём?

"The Fedora Project is a partnership of Free software community members from around the globe." (https://fedoraproject.org/wiki/Overview)

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

62. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +/
Сообщение от Аноним (??) on 11-Май-17, 15:39 
All your globes are belong to US.
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

74. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  –1 +/
Сообщение от dq0s4y71 (ok) on 11-Май-17, 18:46 
"Are" не надо, просто "belong". А то вероятный противник вас сразу раскусит ;)
Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

78. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +/
Сообщение от Аноним84701 (ok) on 11-Май-17, 18:59 
> "Are" не надо, просто "belong". А то вероятный противник вас сразу раскусит

Надо, Фёдор, надо.
http://lurkmore.to/All_your_base_are_belong_to_us
https://en.wikipedia.org/wiki/All_your_base_are_belong_to_us

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

92. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +/
Сообщение от dq0s4y71 (ok) on 12-Май-17, 13:53 
"...popular Internet meme based on a broken English ("Engrish") phrase..."
Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

89. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  –1 +/
Сообщение от Аноним (??) on 12-Май-17, 08:54 
>Вот федора

Fedora полигон для тестирования новых фич RHEL. Более того, сделан по индивидуальной инициативе (RH его поддерживает постольку-поскольку). И бабло Fedora не приносит в отличие от "нац. дистрибутивов".

Кроме того, по закону США все что делается в правительстве для масс -- национальное достояние. А у нас для попилов.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

34. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +1 +/
Сообщение от пох on 11-Май-17, 08:47 
> Любой "национальный" дистр плох по определению,

странное это у вас "определение".

> такие штуки в виде отдельного дистрибутива организовывать.

такие - и незачем, совершенно.

А универсальный - очень даже. Это даже оставляя в сторонке, как оно было во времена, когда alt только задумывали - из серии "хочешь в grep поддержку collate? Скопируй из дерева freebsd, и собери make _FreeBSD=1 , только те два изменения, которые на самом деле специфичны, а не патч для локали, не забудь назад откатить". И в ста местах - наоборот, оторвать странные идеи по поводу обработки старшего бита, придуманные кем-то, кто краем уха слышал про кодировки, отличные от ansi, но зачем-то полез код писать, не поинтересовавшись, как они на самом деле работают.

Правда, конкретно alt, насколько я знаю, никогда не задумывался как "национальный".

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

60. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  –1 +/
Сообщение от Адекват (ok) on 11-Май-17, 14:03 
> Любой "национальный" дистр плох по определению, если это не проект по допиливанию
> чего-то более распространённого под нужды конкретной конторы/городской управы. И то грех
> такие штуки в виде отдельного дистрибутива организовывать.

Национальный дистр должен быть сделан с нуля, используя уже имеющиеся наработки, страна большая, матерых спецов полно, нефти и газа, чтобы им зарплату платить - тоже, если бы государству нужна была такая ось - давно бы была.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

66. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +/
Сообщение от freehck email(ok) on 11-Май-17, 17:21 
> Любой "национальный" дистр плох по определению, если это не проект по допиливанию
> чего-то более распространённого под нужды конкретной конторы/городской управы.

Нет, конечно. Если патентное право какой-либо страны запрещает распространение или использование кода, то международный дистрибутив не имеет возможности включить этот код, даже если он востребован на рынке. Однако "национальный" дистрибутив в стране, не признающей эти патенты, вполне может поставлять их. В том числе "из коробки".

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

33. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  –1 +/
Сообщение от Аноним (??) on 11-Май-17, 08:43 
Ну, насчет Астры я бы поспорил. Вот МСВС - другое дело.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

35. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +/
Сообщение от ann (??) on 11-Май-17, 08:53 
Согласен с анонимом чуть выше.
Вот я лично ничего против ни Шигорина на Альта не имею. Альтом пользовался когда не было альтернатив (релиз 3), теперь не пользуюсь и пока не собираюсь.
Но когда в каждой новости мне пишут про "великий альт" - вот это раздражает и да - это самая настоящая антиреклама.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

37. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +1 +/
Сообщение от Аноним (??) on 11-Май-17, 09:02 
> Но когда в каждой новости мне пишут про "великий альт" - вот
> это раздражает и да - это самая настоящая антиреклама.

Чего-чего, не видел здесь ни одной новости с упоминанием Alt Linux, кроме непосредственных новостей про релизы Alt. Написание в комментариях к новости не значит впаривание чего-то в самой новости.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

48. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  –1 +/
Сообщение от Led (ok) on 11-Май-17, 10:07 
> Написание в комментариях к новости не значит впаривание чего-то в самой новости.

Karpov, залогинься.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

43. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +/
Сообщение от Michael Shigorin email(ok) on 11-Май-17, 09:37 
> Иногда мне кажется, что Шигорин на самом деле сотрудник не альта, а какого-то другого
> конкурирующего дистрибутива, потому как никто не делает здесь для альта такую
> антирекламу, как Шигорин.

Мне на утверждениях подобной степени категоричности (только более взвешенных, как мне кажется) некоторые люди здесь говорили, что стоит в явном виде прописывать "IMHO"; подумал и решил к ним прислушаться, могу и Вам предложить подумать.

> Что касается технической части, то я также спрашивал у Шигорина, в чем преимущество
> у альта, на что он мне начал говорить про какое-то "договороспособное руководство".
> https://www.opennet.me/openforum/vsluhforumID3/109979.html#6

Хорошо, что дали ссылку -- стоит пройти и прочесть контекст Вашего вопроса и моего ответа по ней.  Кто знаком с повадками _руководства_ Русбитеха (поскольку Вы прямым текстом спрашивали и про Astra), тот поймёт, почему это не "какое-то", а критично важно.

Про остальное постарался ответить там же, не вижу сейчас смысла повторяться, кроме краткого "бывает полезней знать неочевидные недостатки, а не очевидные достоинства".

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

96. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +2 +/
Сообщение от Аноним (??) on 12-Май-17, 18:07 
> > Иногда мне кажется, что Шигорин на самом деле сотрудник не альта
> стоит в явном виде прописывать "IMHO";

По-моему, тут и так указано, что это имхо. "Мне кажется" имхо и есть.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

12. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +1 +/
Сообщение от freehck email(ok) on 11-Май-17, 00:10 
> Спрашиваю не ради флейма а ради интереса: альт реально чем-то хуже десятка других дистров?

Самое забавное, что нет. Местами даже лучше. Посмотрите на сизиф, hasher, gears. Ребята не фигнёй страдают - это точно.

> Или ваше (и не только) отношение вызвано исключительно тем, что сотрудники альта тут пишут

Сотрудники - сильно сказано. Тут пишет ровно один сотрудник Альта. )

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

14. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  –2 +/
Сообщение от Sabakwaka (ok) on 11-Май-17, 00:15 
> Посмотрите на сизиф, hasher, gears.

Смотрю. 14-й год.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

44. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +/
Сообщение от Michael Shigorin email(ok) on 11-Май-17, 09:38 
> Тут пишет ровно один сотрудник Альта. )

Ну почему -- порой заглядывает cas@ (Skull), изредка видал boyarsh@, sem@ и aen@ со smi@.  Но "пишу", пожалуй, и впрямь я.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

30. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +/
Сообщение от пох on 11-Май-17, 08:31 
> Спрашиваю не ради флейма а ради интереса: альт реально чем-то хуже
> десятка других дистров?

десятка - нет, ничем не хуже.
Чем вообще отличаются нормальные (не узкоспециализированные и не болгеносные) дистрибутивы? Идеями, вызвавшими необходимость действовать в виде отдельного проекта, и качеством реализации (которое зависит сегодня не столько от вложенного труда, сколько от того, насколько далеко в сторону от мэйнстрима ушел проект).
Идея "влезть на 'вертикальные рынки' в одной ресурсной ფედერაცია" ничуть не хуже идей "героически истребим все непохожее на gnu" или "древнее африканское слово для тех, кто не может одолеть debian'овский установщик"

Если говорить не о десятке, а о чем-то пригодном к коммерческой эксплуатации (во что там играет админ локалхоста, глубоко пох) - там "есть ньюансы".

btw, не включенные user namespaces - вряд ли сегодня особо хорошая идея в этом плане. Потому что всякие поделки уже привыкли на них полагаться.
В общем-то беда любого дистрибутива линyпса ровно в этом - поскольку ты только называешься разработчиком, а на самом деле ты собиратель пакетиков, разрабатываемых _не_тобой_, причем по кругу зависящих друг от друга - никуда особо деться с подводной лодки ты не можешь. Можно либо упорно избегать новых фич и версий - и останешься на обочине, прогресс уедет мимо, либо героически пилить и пилить форки _всего_, а прогресс все равно проедет мимо, потому что угнаться за стадом мелкой группой не выйдет.
Хотите изменить мир - вам в Free/NetBSD. Правда, лучше было это сделать уже лет десять назад.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

45. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +/
Сообщение от Michael Shigorin email(ok) on 11-Май-17, 09:56 
> btw, не включенные user namespaces - вряд ли сегодня особо хорошая идея в этом плане.

Их можно включить, но именно волевым движением принимающего за это ответственность (даже не знаю, стоит ли документировать ручку на вики).

> Потому что всякие поделки уже привыкли на них полагаться.

Это неплохой фильтр поделок, в своём роде.  Примерно как Alpha на маршрутизаторе ;-)

> В общем-то беда любого дистрибутива линyпса ровно в этом - поскольку ты
> только называешься разработчиком, а на самом деле ты собиратель пакетиков,
> разрабатываемых _не_тобой_, причем по кругу зависящих друг от друга - никуда особо
> деться с подводной лодки ты не можешь.

Не совсем любого -- федора пишет о принятой локомотивной роли прям на вывеске (сузя этот бой проиграла, разве что ещё сделав бросок и закрепившись на тематике OBS), скажем.

> Можно либо упорно избегать новых фич и версий - и останешься на обочине,
> прогресс уедет мимо

В целом бутстрап альта на эльбрусе показал, что жизнь --without selinux --without java --without systemd --without pulse _на данном этапе_ вполне возможна, хотя тенденции и впрямь нездоровые.

_Но_ тенденции такие в основном идут всё-таки из федоры и около, а не из того "длинного хвоста" самостоятельных апстримов собственно функционального ПО.

> либо героически пилить и пилить форки _всего_, а прогресс все равно проедет мимо,
> потому что угнаться за стадом мелкой группой не выйдет.

Не, далеко не всего.  Можно на LVEE обсудить отдельным workshop'ом ;-)

> Хотите изменить мир - вам в Free/NetBSD.
> Правда, лучше было это сделать уже лет десять назад.

Ой не знаю, Dear Netch лет пять-семь тому не очень хорошо отзывался о вменяемости фрёвых разработчиков как сообщества -- мол, уж лучше net или open.  Сейчас по вменяемому человеку из net и open всё так же знаю, но менять _тот_ мир всё так же не тянет.

Думаю, для этого MSFT 2.0 в виде RHAT с основными описанными тем же Спольски в "войне API" тяжёлыми вооружениями ключевым фактором всё-таки будет общее состояние штатовской экономики.  Ну а мы пока на бережку и пакетики пособираем, и инфраструктурой продолжим заниматься.  Потому как дистрибутивы -- это не только пакетная база per se, сами понимаете.

В общем же альт изначально был этаким сборищем перфекционистов и практиков, которые между собой умудряются найти точки соприкосновения, а вот с уже существующими major distros или даже не очень major, но всё-таки живыми -- не сложилось.

PS: тут на https://vk.com/wall-667081_22242 запросили перевод последней фразы -- Skull предложил такой:

---
Если изложить простым языком: «В Альте работают люди, которые хотят сделать не просто хорошо, а идеально. И умудряются при этом договариваться друг с другом. К сожалению, с разработчиками других активно развиваемых дистрибутивов договорится у них получается намного хуже.»
---

Поправил его вот так:

---
Захар, Андрей перевёл "с шигоринского" почти точно, за исключением одного временнОго момента: не "получается", а "получилось" — т.е. когда такие люди разочаровываются в других проектах, зачастую более крупных и известных, то приходят со своими идеями и реализациями к нам.
Из примеров: https://bugzilla.redhat.com/195365
---

Решил на всякий вернуть сюда.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

50. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +/
Сообщение от Онанимус on 11-Май-17, 10:35 
> ключевым фактором всё-таки будет общее состояние штатовской экономики.
> Ну а мы пока на бережку и пакетики пособираем, и инфраструктурой продолжим заниматься.

А что нам еще остается? Ведь с нашей экономикой уже все ясно (

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

97. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  –1 +/
Сообщение от Michael Shigorin email(ok) on 15-Май-17, 12:14 
> А что нам еще остается? Ведь с нашей экономикой уже все ясно (

Да, с экономикой достаточно неплохо.  И главное -- есть всё нужное, чтоб было не хуже.

Лоботрясов, которые стенают за "режим" и не в состоянии сравнить с "благословенными девяностыми" без специальных очков, всерьёз принимать не получается.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

53. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +10 +/
Сообщение от Сэмуэль on 11-Май-17, 11:47 
> Ой не знаю, Dear Netch лет пять-семь тому не очень хорошо отзывался о вменяемости фрёвых разработчиков как сообщества -- мол, уж лучше net или open.

Dear Netch это Валя Нечаев? По поводу вменяемости сообществ, у net своих проблем не меньше: https://habrahabr.ru/post/201618 как и у open (достаточно почитать орхивы misc@). парни из фрёвых могут нахамить иногда, это да, и средний уровень разработчиков подупал -- но это лишь следствие большей популярности и желания привлечь "новую кровь".

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

55. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +/
Сообщение от Аноним (??) on 11-Май-17, 11:57 
>альт реально чем-то хуже десятка других дистров?

И даже был бы лучше того другого десятка, если бы не повелись на НенужноД.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

57. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  –4 +/
Сообщение от пох on 11-Май-17, 12:33 
> И даже был бы лучше того другого десятка, если бы не повелись на НенужноД.

для тех кто так и не понял, разжевываем: повелись не они, а разработчики прикладного софта - начиная от банального screen и заканчивая "десктопами". Без него - что-то с трудом собирается, что-то собирается но в нем что-нибудь не работает, или работает не так как привыкли. Судя по "блестящим" результатам деятельности проекта тухлыйдебиан http://www.opennet.me/opennews/art.shtml?num=46504 - которые занимаются _только_ этим выпиливанием - из _готового_ проекта, где всего-то достаточно взять и пересобрать только то, что затронуто - задача уже не имеет решения в рамках универсального дистрибутива.

Вы же первыми и начнете ныть, что "все глючит, и ничего нет".

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

65. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +/
Сообщение от WoT on 11-Май-17, 16:51 
Вы могли бы уточнить, какой screen имеется ввиду?

Использую app-misc/screen на Gentoo, даже в use-флагах у него нет systemd.
(сайт https://www.gnu.org/software/screen/)

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

71. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +3 +/
Сообщение от Сэмуэль on 11-Май-17, 18:19 
Поддерживаю: во фре тоже есть sysutils/screen при том что (слава богу) нет никакой системды.
Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

73. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  –1 +/
Сообщение от пох on 11-Май-17, 18:35 
> Поддерживаю: во фре тоже есть sysutils/screen при том что (слава богу) нет
> никакой системды.

там как бы и x11/gnome3 _пока_ есть.
А на мелочи типа тут отвалится, там не работает - немногие, кто еще и десктоп держат на фре, давно привыкли внимания не обращать. (впрочем, кто сервер - тоже. Я тут с удивлением изучаю патч имени slw@ - вероятно таки решающий мою проблему, если работает)

Но обратите внимание, грабли: вам ведь обещали в 12 "асинхронный инит" ?

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

79. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +3 +/
Сообщение от Аноним (??) on 11-Май-17, 19:42 
> А на мелочи типа тут отвалится, там не работает - немногие, кто
> еще и десктоп держат на фре, давно привыкли внимания не обращать.

На самом деле, та же сёрфилка и проигрыватель ютубных котиков через HDMI на телевизоре, даже поспокойнее бубунт будет. Вот у тех регулярно то звук из-за пульсы, то тач-настройка после обновления/отключения отваливался, то еще что-то по мелочи, типа яркости освещения.

Чтобы воткнуть фряху, придется конечно немного повозиться (если все делать с нуля, но вот если уже настройки где-то есть и религиозные соображения не запрещают перекидывать на другой ящик, то не слишком-то и обременительно). А потом оно просто работает. Годами.

При этом, не норовит задолбать очередным недоведенным до ума автоматизмом (из свеженького: та же хубунта на T420, после каждого саспенда "забывает", что подключена к телеящику и радостно запускает диалог "новый экран, хозяина, че делать?", заодно теряя настройки "отключить LCD, пока есть подключение к телеку").
Да и кастомизация фри обычно не превращается в епический гуглеж с продиранием сквозь скриншоты, устаревшие (ведь прошло 2+ года) конфиги и пошаговые инструкции в стиле МС "для самых маленьких", которые еще и не всегда применимы.

В общем, опыт и прямое сравнение бубунты с дебиянами и фрей на одном и том же азусе, высе^W асере и четверке тинкпадов как-то не дает согласиться с вами.

Но, конечно, наверняка все дело в том, что "дебиан/бунта какaшка, то ли дело дистр Х" и моих кривых руках, растущих не из того места :)


Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

83. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +2 +/
Сообщение от Сандибридж on 11-Май-17, 22:17 
> Чтобы воткнуть фряху, придется конечно немного повозиться (если все делать с нуля,
> но вот если уже настройки где-то есть и религиозные соображения не
> запрещают перекидывать на другой ящик, то не слишком-то и обременительно). А
> потом оно просто работает. Годами.

Именно. Настройка Фри сводится к нескольким строчкам в паре конфигов, и работает потом годами.

Отдельная фича это звук, тут линухам еще расти и расти: https://bsd.slashdot.org/comments.pl?sid=2514866&cid=37985112

Единственное, что периодически вызывает боль, это иксы, но опять же только лишь потому, что апстрим месы и прочего drm это линукс, от того и такое качество кода.

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

84. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +/
Сообщение от пох on 12-Май-17, 00:14 
> На самом деле, та же сёрфилка и проигрыватель ютубных котиков через HDMI
> на телевизоре, даже поспокойнее бубунт будет. Вот у тех регулярно то

ну да - привыкаешь что ничего до конца не работает в принципе, и успокаиваешься.

> звук из-за пульсы, то тач-настройка после обновления/отключения отваливался, то еще
> что-то по мелочи, типа яркости освещения.

а под bsd, конечно же, с яркостью все в порядке, регулируется?  (это ж у нас acpi, надо полагать, а не видеодрайвер, соответственно, кривой dsdt он и в африке, в смысле, убунте кривой, и во фре таким же останется, если не заменить [хз на что])

> Чтобы воткнуть фряху, придется конечно немного повозиться (если все делать с нуля,

чтобы просто "воткнуть",возиться совершенно незачем - next,next,ok давным-давно уже точно такие же как для хоть убунты, хоть чего.
А найдет ли при этом оно твой телевизор - это уж как повезет. Напоминаю, что те же kms-драйвера у фряхи -плохой клон линуксовых пятилетней давности (в том числе - в виду мучительного цепляния за старую технологию, когда было не принято тащить видеодрайвер в ядро "как в windows" - то есть точное повторение истории).

> Да и кастомизация фри обычно не превращается в епический гуглеж с продиранием

кастомизация как фри так и чего угодно - банальное ковыряние в паре конфигов. Можно, но совершенно необязательно - чем-то гуевым. Кастомизация Xorg, гнома или, упаси Б-же, какой юнити, не говоря уже о том что под ними работает - абсолютно одинаковая, потому что первое, второе и третье у нас те же самые. С поправкой вот на то, что нет (пока нет) libsystemd, и все что завязано на нее или на общение через правильный интерфейс, может внезапно и неодолимо глючить. Речь шла о том, что дальше эта тенденция, к сожалению, будет развиваться лавинообразно.

> Но, конечно, наверняка все дело в том, что "дебиан/бунта какaшка, то ли
> дело дистр Х" и моих кривых руках, растущих не из того места :)

один раз я могу поставить и настроить (в том числе и отломав ненужный функционал) любой дистрибутив. Но времени на это тратить дюже жалко.

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

88. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +1 +/
Сообщение от Аноним (??) on 12-Май-17, 01:16 
> ну да - привыкаешь что ничего до конца не работает в принципе,
> и успокаиваешься.

Можно подумать, в окошках (стояли поначалу на азусе и одном из тинкпадов) все работает. Черный экран после автообновления вполне себе явление и хз. как залочить дрова, не отключая обновления полностью.

>> звук из-за пульсы, то тач-настройка
> а под bsd, конечно же, с яркостью все в порядке, регулируется?  

Значит, насчет проблем с пульсой возражений нет? )
На азусе под убунтой, яркость регулировалась только костылянием со скриптом и setpci велосипедизмом.
На бзде вроде бы работала, хотя точно не скажу - оно было просто подключено к телевизору в «закрытом» состоянии, пока полтора года назад не приказало долго жить.
На тинкпадах яркость регулируется еще при буте (на двух – точно), а отваливалось в бубунте сохранение яркости. После саспенда выставлялась на минимум. Хз. где там нужно было копать.
Ну и свелосипедить что-то типа


sysctl dev.acpi_ibm.0.lcd_brightness > /var/run/brightness

sysctl -f /var/run/brightness


в rc.suspend, rc.resume не сильно то и сложно.

> чтобы просто "воткнуть",возиться совершенно незачем - next,next,ok давным-давно уже точно
> такие же как для хоть убунты, хоть чего.

А что, уже иксы и прочее в дефолт завезли? Как и дефолты для десктопа, типа
kern.sched.preempt_thresh=224, включения powerd, вайфая и т.д.?

> А найдет ли при этом оно твой телевизор - это уж как
> повезет. Напоминаю, что те же kms-драйвера у фряхи -плохой клон линуксовых

Да пока как-то везло. Даже на двух гибридах с интелем и невидией.

>> Да и кастомизация фри обычно не превращается в епический гуглеж с продиранием
> кастомизация как фри так и чего угодно - банальное ковыряние в паре
> конфигов. Можно, но совершенно необязательно - чем-то гуевым. Кастомизация Xorg, гнома
> или, упаси Б-же, какой юнити, не говоря уже о том что
> под ними работает - абсолютно одинаковая, потому что первое, второе и

Что вам во фразе "епический гуглеж" непонятно-то? Оно-то да, вроде как все должно везде быть одинаково, но вот мелкие детали в виде завелосипеженных автоматизмов, как и отсутствие нормальной документации, вкупе с усердным перепиливанием юзерлэнда раз в год могут причинить «некоторые» неудобства.


Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

91. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  –1 +/
Сообщение от пох on 12-Май-17, 12:54 
> Можно подумать, в окошках (стояли поначалу на азусе и одном из тинкпадов)

УМВР, ЧЯДНТ?

> все работает. Черный экран после автообновления вполне себе явление и хз.
> как залочить дрова, не отключая обновления полностью.

ну я вот - знаю, "как". Правда, никогда не требовалось.

> Значит, насчет проблем с пульсой возражений нет? )

нет пульсы - нет проблем. Заметим, в винде - работает (да, да, вы думали, откуда эта архитектура содрана?)

> На тинкпадах яркость регулируется еще при буте (на двух – точно), а

штатная фича, отключаемо, кажется, в биосе (в виду отсутствия линуксов на моем - управляется из леновского pm заодно с теми что не при буте)
> отваливалось в бубунте сохранение яркости. После саспенда выставлялась на минимум. Хз.
> где там нужно было копать.

где-нибудь в laptop_scripts, вероятно, если их еще в системненужно не засосало с концами. afair, там был хук для wake.

>> чтобы просто "воткнуть",возиться совершенно незачем - next,next,ok давным-давно уже
>> точно такие же как для хоть убунты, хоть чего.
> А что, уже иксы и прочее в дефолт завезли? Как и дефолты

надо выбрать установку не с минимального CD-образа и где-то там да, нажать "хочу иксов". Гом, наверное, да, придется либо выбрать из уродливого списка, либо вовсе по старинке pkg install - ну вон в "тот-же-debian-только-неработает" вообще, говорят, выбрать нельзя теперь, только руками в адовом dselect ;-)

> для десктопа, типа
> kern.sched.preempt_thresh=224, включения powerd, вайфая и т.д.?

я бы не назвал это правильным дефолтом для десктопа. Кстати, десктопу-то зачем powerd?

> Да пока как-то везло. Даже на двух гибридах с интелем и невидией.

ну а я вот наслушался страданий. Почему-то предложенный мной вариант - поставить винду и запустить в ней виртуалку, если уж прям получаешь оргазм от наличия фри на десктопе, страдальцы не оценили.

> Что вам во фразе "епический гуглеж" непонятно-то? Оно-то да, вроде как все

непонятно зачем. Я иногда случайно нахожу, и в ужасе закрываю окошко, чтоб не видеть это.

Нет, если ты пытаешься вернуть системе хоть немного предсказуемое поведение - то да, впрочем, не факт что поможет. А если просто чтоб пищалко-перделки срабатывали правильно, и при втыкании флэшки с порнухой она автоматически начинала показываться на телевизоре, то вряд ли для этого понадобится что-то трогать руками. Ну, апдейт еще после установки запустить, наверное. А то сам он может не сразу.

> должно везде быть одинаково, но вот мелкие детали в виде завелосипеженных
> автоматизмов, как и отсутствие нормальной документации, вкупе с усердным перепиливанием
> юзерлэнда раз в год могут причинить «некоторые» неудобства.

просто наслаждайся, что перделка из левого нижнего угла переехала в верхний правый. В принципе-то, и похрен, где она, глаза б мои ее не видели. К тому же ms этой глупостью тоже заболели (и да, я тоже могу это отключить, и остаться на старой версии с апдейтами - но лучше я время на что-то менее отвратительное потрачу).


Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

95. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +/
Сообщение от Аноним (??) on 12-Май-17, 16:26 
>> Можно подумать, в окошках (стояли поначалу на азусе и одном из тинкпадов)
> УМВР, ЧЯДНТ?

Ну дык, было бы странно, если бы до сих пор не починили. Но идея была «гениальная», да. И правда, кто же мог подумать, что производители железок забьют на все, что старше двух-трех лет?

>> как залочить дрова, не отключая обновления полностью.
> ну я вот - знаю, "как". Правда, никогда не требовалось.

Я ж и говорю, пользователи недовольны были. Странно было, если бы в редмонде не среагировали. А уж знание, какую гайку на сколько оборотов нужно повернуть у конкретно этого черного ящике ...  


>> На тинкпадах яркость регулируется еще при буте (на двух – точно), а
> штатная фича, отключаемо, кажется, в биосе (в виду отсутствия линуксов на моем
> - управляется из леновского pm заодно с теми что не при
> буте)

А на кой ее отключать, если оно делает то, что надо - регулирует яркость, да еще и независимо от ОСи?

>> отваливалось в бубунте сохранение яркости. После саспенда выставлялась на минимум. Хз.
>> где там нужно было копать.
> где-нибудь в laptop_scripts, вероятно, если их еще в системненужно не засосало с
> концами. afair, там был хук для wake.

Во-во. Оно вроде как все кастомизируется, но вот черт прячется в деталях.


>> для десктопа, типа
>> kern.sched.preempt_thresh=224, включения powerd, вайфая и т.д.?
> я бы не назвал это правильным дефолтом для десктопа.

Потому что?
> Кстати, десктопу-то зачем powerd?

Чтоб не шумел зря, вестимо. Слипстейты слипстейтами, но дополнительны сброс частоты заметно понижает тепловыделение.

>> Да пока как-то везло. Даже на двух гибридах с интелем и невидией.
> ну а я вот наслушался страданий.

А, ну тогда все ясно.

Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

99. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  –1 +/
Сообщение от Michael Shigorin email(ok) on 15-Май-17, 12:21 
> На самом деле, та же сёрфилка и проигрыватель ютубных котиков через HDMI
> на телевизоре, даже поспокойнее бубунт будет. Вот у тех регулярно то
> звук из-за пульсы, то тач-настройка после обновления/отключения отваливался,
> то еще что-то по мелочи, типа яркости освещения.

Необязательно же кидаться в крайности -- если не фря, так непременно убунта.

> Но, конечно, наверняка все дело в том, что "дебиан/бунта какaшка, то ли
> дело дистр Х" и моих кривых руках, растущих не из того места :)

Дело во вкусах, а они заведомо из разных мест растут ;)

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

80. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +/
Сообщение от Аноним (??) on 11-Май-17, 21:25 
> обратите внимание, грабли: вам ведь обещали в 12 "асинхронный инит" ?

Давно пора. Только причём здесь systemd?

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

81. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +1 +/
Сообщение от Аноним (??) on 11-Май-17, 21:37 
>> обратите внимание, грабли: вам ведь обещали в 12 "асинхронный инит" ?
> Давно пора. Только причём здесь systemd?

Так то ж Поттеринг изобрел! Все знают, что до него никакой асинхронщины не было!

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

90. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +2 +/
Сообщение от пох on 12-Май-17, 12:25 
> Так то ж Поттеринг изобрел

нет, он просто ловко включился в тренд.
до него - да, не было, были runlevel'ы с четкой последовательностью запуска при загрузке - которая была _предсказуема_ и управляема, если надо. У bsd, в виду любви к уродливому иниту, все было существенно хуже, но, в принципе, один раз можно одолеть, а больше редко нужно.
Но вам не надо управляемо, вам надо вжух-работает.

Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

85. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  –1 +/
Сообщение от пох on 12-Май-17, 00:24 
>> обратите внимание, грабли: вам ведь обещали в 12 "асинхронный инит" ?
> Давно пора. Только причём здесь systemd?

вот ровно при том, что если старательно делать "как в windows", то оно "как в windows" и получается. А у меня уже одна windows есть - и, в отличие от, прекрасно работает. С асинхронным "инитом"(bsd-style,кстати, без runlevels), бинарными логами оного, хитровыгнутой "регистрацией" сервисов(привет юнитам) и много чем еще, до боли напоминающем.

А вот системы с предсказуемым поведением, где не выскакивают внезапно-сервисы "асинхронно", и где не надо от всех болезней использовать перезагрузку - скоро не будет совсем. Патамушта в ей гом не работает (или, на первых порах, в нем не все  работает).

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

100. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  –1 +/
Сообщение от Michael Shigorin email(ok) on 15-Май-17, 12:24 
> А вот системы с предсказуемым поведением, где не выскакивают внезапно-сервисы
> "асинхронно", и где не надо от всех болезней использовать перезагрузку - скоро
> не будет совсем. Патамушта в ей гом не работает

Да, затаскивание systemd как pid1 по умолчанию аргументируется именно им, насколько видел.  "Коготок увяз".

Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

82. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +/
Сообщение от Сандибридж on 11-Май-17, 22:05 
> x11/gnome3

Не нужно, как говорят на ЛОРе. Да и вообще, мало ли дерьма в портах. ;-)

> А на мелочи типа тут отвалится, там не работает - немногие, кто еще и десктоп держат на фре, давно привыкли внимания не обращать.

В том-то и дело, что отваливаются мелочи, в отличие от линукса, где отваливается полсистемы и непонятно как это всё чинить.

> патч имени slw@ - вероятно таки решающий мою проблему, если работает

Слава Ольховченков? Что за патч, что за проблема?

> Но обратите внимание, грабли: вам ведь обещали в 12 "асинхронный инит" ?

Кто обещал, так ли это нужно? УМВР и мне пофигу, синхронно или нет.

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

86. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +/
Сообщение от пох on 12-Май-17, 00:36 
>> А на мелочи типа тут отвалится, там не работает - немногие, кто еще и десктоп держат
>> на фре, давно привыкли внимания не обращать.
> В том-то и дело, что отваливаются мелочи, в отличие от линукса, где
> отваливается полсистемы и непонятно как это всё чинить.

ну снеси эти "полсистемы", и будет обратно почти фря. Все равно в ней ты гом не используешь - значит, тебе оно и не надо.

> Слава Ольховченков? Что за патч, что за проблема?

виснет оно нахрен.  А надысь всплыло: https://reviews.freebsd.org/D7538 - предназначено совсем для другого, но, очень похоже, что заодно и мой мертвый вис устраняет (эмм...правильней, конечно, "загоняет мусор поглубже под коврик", поскольку было б все правильно - оно бы работало с трешингом, а не висло и без патча). И учтите, что лимиты на ARC нам пользовать нынче не велено.
Это вот у нас так _все_ нынче работает.

>> Но обратите внимание, грабли: вам ведь обещали в 12 "асинхронный инит" ?
> Кто обещал, так ли это нужно? УМВР и мне пофигу, синхронно или

вот для гома и ему подобных и нужно. (ну там еще сказка венского леса на тему "повышения скорости загрузки"[еще один жупел systemd], как обычно - зачем эти одаренные без конца что-то у себя перезагружают - я без понятия, крышку ноута закрыл и домой пошел)
> нет.

а мне вот не пофигу - потому что у меня и в винде "все работает". Если не вдаваться в подробности, как оно внутри устроено. А зачем мне вторая винда? Обои скучные...


Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

72. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  –1 +/
Сообщение от пох on 11-Май-17, 18:28 
> Использую app-misc/screen на Gentoo, даже в use-флагах у него нет systemd

там utempter  - который нынче, насколько я успел понять, уже совсем не то, что было раньше (в systemd-богатых системах, у остальных он тупо суидный враппер для записи в wtmp или вовсе отсутствует + набор из трех функций для собственно записи сессии)
поскольку, создавая сессию, уже практически невозможно избежать общения с этим чудом в виде его login-чтототам компоненты. Эх... всего десять лет назад я его удалял сразу после установки, без всяких последствий (разумеется, screen оставался suid root, designed to be)

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

93. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +1 +/
Сообщение от WoT on 12-Май-17, 13:53 
В этой теме первой идёт ветка с обсуждением АльтЛинукса, так что мне показалось смешным:

sys-apps/utempter не установлен.
установлен sys-libs/libutempter, у которого :)
  Домашняя страница: http://altlinux.org/index.php?module=sisyphus&package=libute...

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

94. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +/
Сообщение от пох on 12-Май-17, 15:52 
ls -la `which screen` ? дай угадаю - он окажется suid?
Или он там вообще сессий не создает?

> Домашняя страница: http://altlinux.org/

похоже, это как раз порт freebsd'шной затычки вместо настоящего.

не, не смешно - но можно делать ставки, сколько и чего в результате отвалится при очередном мерже свежих пакетов (с наисвежайшими systemd-only-патчами) и кода им надоест.

Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

101. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +/
Сообщение от Michael Shigorin email(ok) on 15-Май-17, 12:34 
> ls -la `which screen` ? дай угадаю - он окажется suid?
> Или он там вообще сессий не создает?

$ ls -la `which screen`
-rwx--s--x 1 root screen 438408 мар  9 19:47 /usr/bin/screen
$ rpm -qf =screen
screen-4.5.1-alt1.x86_64

>> Домашняя страница: http://altlinux.org/
> похоже, это как раз порт freebsd'шной затычки вместо настоящего.

Растёт он ещё от упакованного в шляпу jbj@, но изрядно допилен ldv@ -- можно его и спросить: https://packages.altlinux.org/ru/Sisyphus/srpms/libutempter/...

Ответить | Правка | ^ к родителю #94 | Наверх | Cообщить модератору

98. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  –1 +/
Сообщение от Michael Shigorin email(ok) on 15-Май-17, 12:18 
>> И даже был бы лучше того другого десятка, если бы не повелись на НенужноД.

http://altlinux.org/starterkits
http://altlinux.org/sysvinit

УМВР ;-)

> задача уже не имеет решения в рамках универсального дистрибутива.

Помимо эластичной составляющей, в этом сдвиге явно есть и упругая, сдаётся мне...

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

102. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  –1 +/
Сообщение от пох on 15-Май-17, 20:47 
> http://altlinux.org/sysvinit

ну чего-то это как-то уже овердохрена "там подпилить, тут подрезать, и в результате все равно кое-что не выглядит идеально".

К тому же я бы предпочел не патчить конфиги polkit, а отправить его туда же, куда и то, чем это уродище было порождено (флэшку я как-нибудь без него смонтирую - если оно мне зачем-то надо)
Однако же ж: The following packages are going to be REMOVED:
  ConsoleKit ConsoleKit-x11 (ну это и досведание)
  [skip]
  kdelibs4 kdelibs4-core (казалось бы, причем тут...)
  pm-utils [здравствуйте, приехали] tightvnc [опа] xkeyboard-config xorg-x11 и так далее.

windows, как он есть. Только "всем хуже".

Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

103. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  –2 +/
Сообщение от Michael Shigorin email(ok) on 16-Май-17, 15:24 
>> http://altlinux.org/sysvinit
> ну чего-то это как-то уже овердохрена "там подпилить, тут подрезать,
> и в результате все равно кое-что не выглядит идеально".

Да; усилиями непосредственно заинтересованных потихоньку допинываем: https://forum.altlinux.org/index.php?topic=36177.msg299358#m... (результат валится в квартальные сборки стартеркитов -- кстати, лето не за горами и если вдруг что из них глянете да покритикуете, было бы здорово).

> К тому же я бы предпочел не патчить конфиги polkit, а отправить
> его туда же, куда и то, чем это уродище было порождено
> (флэшку я как-нибудь без него смонтирую - если оно мне зачем-то надо)

Ну вот я и монтирую.

> Однако же ж: The following packages are going to be REMOVED:
>   ConsoleKit ConsoleKit-x11 (ну это и досведание)
>   [skip]
>   kdelibs4 kdelibs4-core (казалось бы, причем тут...)
>   pm-utils [здравствуйте, приехали] tightvnc [опа] xkeyboard-config xorg-x11 и так далее.

KDE, однако -- у меня на ноуте с E и WM выглядит так:

apt> remove polkit
Чтобы выполнить эту операцию необходимы изменения, которые не были запрошены.
Следующие пакеты будут УДАЛЕНЫ:
  ConsoleKit ConsoleKit-x11 cpu-x entrance pcsc-lite pcsc-lite-ccid pcsc-tools polkit polkit-sysvinit

> windows, как он есть. Только "всем хуже".

Зависит ;-)

Ответить | Правка | ^ к родителю #102 | Наверх | Cообщить модератору

6. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  –2 +/
Сообщение от A.Stahl (ok) on 10-Май-17, 22:54 
>Исследователи безопасности из группы ... для предотвращения атак ... опубликовали технику эксплуатации уязвимости

Они точно понимают значение слова "предотвращение"?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  –5 +/
Сообщение от Аноним (??) on 10-Май-17, 23:27 
Это ж гугл, им напару с мс не западло порасшатывать экосистему линуксов
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

17. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +8 +/
Сообщение от Аноним (??) on 11-Май-17, 00:31 
Да, чувак, вот так вот предотвращают уязвимости: выявляют, сообщают разработчикам, а после исправления публикуют подробный отчёт, чтобы другие на те же грабли не наступали.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

19. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +2 +/
Сообщение от Аноним (??) on 11-Май-17, 01:31 
> Они точно понимают значение слова "предотвращение"?

Вы точно понимаете значение слов "устранено", "выпущено"?

> В Ubuntu и Fedora проблема была устранена в апрельском обновлении пакетов с ядром. Для SUSE 12 и openSUSE исправление было выпущено несколько дней назад.

 

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

27. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +/
Сообщение от iPony on 11-Май-17, 08:12 
Принцип "security through obscurity" неочень работает.
Особенно, если это скрыто лично от тебя, но не от всех.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

22. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  –1 +/
Сообщение от Аноним (??) on 11-Май-17, 02:21 
> Опубликован прототип эксплоита, работоспособного в Ubuntu 16.04.2 с ядром 4.8.0-41-generic с включенными механизмами защиты KASLR, SMEP и SMAP.

А зачем тогда нужны механизмами защиты KASLR, SMEP и SMAP если они не защищают?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +/
Сообщение от llolik (ok) on 11-Май-17, 08:27 
А они должны защитить вот прямо от всего? Для того, для чего они были придуманы - атаки затрудняют (некоторый и большой их класс делают невозможными), да, но предотвратить вообще всё - это нереально.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

28. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  –1 +/
Сообщение от XX1asd on 11-Май-17, 08:14 
> должен иметь полномочия CAP_NET_RAW, которые необходимы для создания сокетов AF_PACKET. В Ubuntu и Fedora данные полномочия можно получить через использование пространств имён идентификаторов пользователей (user namespace)

так, не понял.. эт что же получается? с какого-то чёрта user_ns разрешает использовать приложению raw-сокеты? не слишком ли жирно?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +/
Сообщение от пох on 11-Май-17, 08:34 
> так, не понял.. эт что же получается? с какого-то чёрта user_ns разрешает
> использовать приложению raw-сокеты? не слишком ли жирно?

он для этого (и похожих вещей) как раз и предназначен. Сюрприз?

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

39. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  –2 +/
Сообщение от XX1asd on 11-Май-17, 09:18 
а мне то казалось user_ns нужен чтобы *имитировать* повышенные привелегии, в то время как по факту программа так и остаётся в рамках своих лимитов...

например chroot сделанный через user_ns -- не способен навредить остальным (в отличии от обычного рутового chroot)..

но ведь raw-сокеты -- они то как раз *способны* навредить?!

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

51. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +/
Сообщение от пох on 11-Май-17, 11:13 
> а мне то казалось user_ns нужен чтобы *имитировать* повышенные привелегии

разумеется, нет - зачем тебе такая "имитация"?
Он именно для полноценных повышенных привиллегий (с сохранением возможности их делегировать или, наоборот, сбросить), но замкнутых внутри песочницы. Чтобы не давать каждому пользователю, которому приспичило, полноценного рута, хотя бы даже и в виртуалке, сохранив хотя бы видимость контроля за инфраструктурой. Или не бегать за ними всеми выполнять их работу самому, не потому что они с  ней не справляются, а потому что побочные эффекты не могут предотвратить.

Ну и как с любыми другими песочницами - песочек иногда высыпается сквозь дырки в бортиках. Поскольку именно эта a)новая b) модн...сложная - сыплется чаще, чем из примитивных.

> но ведь raw-сокеты -- они то как раз *способны* навредить?!

ну да. А без них - банальный ping не работает. И мы делаем его suid root, что, потенциально, способно навредить гораздо существенней, если вдруг в банальном парсере ключиков опять что-то прощелкали (а бывало). ping это, разумеется, утрированный пример - он простой, в нем проблем давно не видели. А когда задачка посложнее - неизвестно, какой подход окажется хуже.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

76. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  –2 +/
Сообщение от X3asd (ok) on 11-Май-17, 18:57 
> банальный ping не работает

раз в жизни для запуска ping -- можно и до настоящего root снизайти..

..а в контейнерах-всяких -- вообще ping не нужен.

> ping это, разумеется, утрированный пример - он простой, в нем проблем давно не видели. А когда задачка посложнее - неизвестно, какой подход окажется хуже.

других задачек где требовался бы сырой socket, кроме ping, особо и не выдумать

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

87. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +/
Сообщение от пох on 12-Май-17, 01:16 
> других задачек где требовался бы сырой socket, кроме ping, особо и не
> выдумать

банально не tcp и не udp, и подобных протоколов - мильен с тыщами и помимо icmp, вот сюрприз-то, елки-палки...
Можно использовать raw, можно - AF_PACKET, хрен редьки абсолютно не слаще (первое не очень переносимое, второе именно в линуксах может желать странного, что на совсем специфичных системах недоступно), обоим рута или CAP_эквивалент подавать.

Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

40. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  –2 +/
Сообщение от XX1asd on 11-Май-17, 09:26 
>> так, не понял.. эт что же получается? с какого-то чёрта user_ns разрешает
>> использовать приложению raw-сокеты? не слишком ли жирно?
> он для этого (и похожих вещей) как раз и предназначен. Сюрприз?

ты б ещё сказал что USER_NS предназначен чтобы эксплуатировать локальные уязвимости 😂😂😂🤣

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

36. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  –1 +/
Сообщение от _Anon on 11-Май-17, 08:53 
хстате, скромно забыли, что баг привнесен в ядре 3.2 http://kernelnewbies.org/Linux_3.2 - см ссылки на конкретные коммиты для TPACKET_V3.

Те, у кого 3.1 все еще считается "достаточно стабильным", ему не подвержены ни в каком виде.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

47. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  –1 +/
Сообщение от AlexYeCu_not_logged on 11-Май-17, 10:05 
> В Android право создавать сокеты AF_PACKET имеет процесс mediaserver, через который может быть эксплуатирована уязвимость.
> mediaserver

Бггг.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

61. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +/
Сообщение от Аноним (??) on 11-Май-17, 14:08 
И действительно, непонятно зачем медиасерверу AF_PACKET ? Ему вполне должно быть достаточно AF_LOCAL, AF_INET, AF_INET6.
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

70. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +1 +/
Сообщение от Alex (??) on 11-Май-17, 18:04 
igmp, например. Вообще, принимать или выдывать мультикастовый медиа-поток - одно из основных функциональностей для мультимедиа сейчас.
Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

77. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  –1 +/
Сообщение от X3asd (ok) on 11-Май-17, 18:59 
> igmp, например. Вообще, принимать или выдывать мультикастовый медиа-поток - одно из основных
> функциональностей для мультимедиа сейчас.

для мультикаста не нужен AF_PACKET

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

104. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +/
Сообщение от pavlinux (ok) on 17-Май-17, 04:56 
> для мультикаста не нужен AF_PACKET

Вставь сниффер перед цифровым теликом и удивись

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

67. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  –2 +/
Сообщение от Аноним (??) on 11-Май-17, 17:34 
У меня эксплоит не заработал: https://dpaste.de/Dcvj
Система Slackware64-14.2
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

75. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +3 +/
Сообщение от Ordu email(ok) on 11-Май-17, 18:53 
Потребуй, чтобы заменили по гарантии.
Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

105. "Локальная root-уязвимость в реализации сокетов AF_PACKET в я..."  +/
Сообщение от pavlinux (ok) on 17-Май-17, 04:58 
> Опубликован прототип эксплоита

Чтоб заработало нужно добавить пару строк в алгоритм прокладки.

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру