The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимость в реализации сокетов AF_PACKET ядра Linux "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от opennews (??), 04-Сен-20, 08:45 
Спустя три года с момента волны уязвимостей (1, 2, 3, 4, 5) в подсистеме  AF_PACKET ядра Linux выявлена ещё одна проблема (CVE-2020-14386), позволяющая локальному непривилегированному пользователю выполнить код с правами root или выйти из изолированных контейнеров, при наличии в них root-доступа...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=53656

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +7 +/
Сообщение от Аноним (1), 04-Сен-20, 08:45 
Значит может появиться рут патчинг для андроид?
Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +3 +/
Сообщение от n80 (?), 04-Сен-20, 10:42 
Хорошо бы, но вряд ли: сначала нужно найти, например, ранее неизвестную дыру в mediaserver, позволяющую выполнять произвольный код (такое бывало конечно, но известные-то уже давно закрыты), а потом ещё запастись большим везением.
Ответить | Правка | Наверх | Cообщить модератору

96. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от Атон (?), 04-Сен-20, 16:55 
Но например, ты можешь написать свой собственный mediaserver!
Ответить | Правка | Наверх | Cообщить модератору

100. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +2 +/
Сообщение от Odalist (?), 04-Сен-20, 17:43 
Как раз пишу на хаскеле для тайлинга такое.
Ответить | Правка | Наверх | Cообщить модератору

2. Скрыто модератором  –7 +/
Сообщение от Lex (??), 04-Сен-20, 08:56 
Ответить | Правка | Наверх | Cообщить модератору

3. Скрыто модератором  +9 +/
Сообщение от Анонимъ (?), 04-Сен-20, 09:03 
Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +4 +/
Сообщение от Аноним (4), 04-Сен-20, 09:14 
Хорошо хоть не удаленная уязвимость. Было бы весело. Да и локально это далеко не каждому грозит, как я понял.
Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +4 +/
Сообщение от Онаним (?), 04-Сен-20, 09:43 
В основном опять любители доскеров пострадают.
Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  –3 +/
Сообщение от пох. (?), 04-Сен-20, 10:02 
Там s stands for "security", так что только самые глупые.

Любители обмазываться неймспейсами, заменять виртуалки контейнеризацией "так дешевле и я так привык", они и вне докера расплодились в неимоверном количестве.

Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +1 +/
Сообщение от Аноним (31), 04-Сен-20, 11:58 
Да я бы не сказал, что контейнеры проще настраивать, чем виртуалки.
Ответить | Правка | Наверх | Cообщить модератору

128. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от And (??), 06-Сен-20, 10:40 
У контейнеров назначение другое.
Настроить браузер в контейнере - да, не сразу.
Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +1 +/
Сообщение от Аноним (27), 04-Сен-20, 11:42 
> любители доскеров пострадают

Ну да. Профессионалы-то умеют запускать в нём процессы не от рута.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

5. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  –12 +/
Сообщение от Fracta1L (ok), 04-Сен-20, 09:27 
> вызовет переполнение
> неверной последующей установке указателя на буфер

Ахахахахаха

Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  –3 +/
Сообщение от Аноним (26), 04-Сен-20, 11:12 
Ну то есть даже если разработчик знает о том, в каком месте постоянно возникают такие ошибки он не в состоянии безопасно работать с указателями. Это говорит многое о языке.
Ответить | Правка | Наверх | Cообщить модератору

108. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  –2 +/
Сообщение от Аноним (108), 04-Сен-20, 20:09 
Если бы Rust был так прост и удобен, то все уже давно бы переехало на него,
а так как там наплодили всякого хакерства, то ждем улучшенный вариант Rust.
Ответить | Правка | Наверх | Cообщить модератору

114. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +1 +/
Сообщение от draw1 (?), 05-Сен-20, 03:05 
Если разработчик знает о том, в каком месте постоянно возникают такие ошибки и при этом он не в состоянии безопасно работать с указателями, то это в первую очередь говорит многое о разработчике.
Кривые руки никакой язык не исправит (дыры вполне себе неплохо получаются и без всяких указателей).
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

32. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +6 +/
Сообщение от Аноним (31), 04-Сен-20, 12:02 
Для особо одарённых - уязвимость вызвана ошибкой вычисления переменной netoff, т.е. это алгоритмическая ошибка. Твой, пииии, Rust не способен угадывать правильность алгоритма.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

35. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от Аноним (26), 04-Сен-20, 12:07 
Да, от ошибки в вычислении раст не спасёт. Но будет ли происходить запись в память за пределами выделенного буфера?
Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +1 +/
Сообщение от Аноним (31), 04-Сен-20, 12:50 
Это код ядра, в этом месте потребовалось бы unsafe.
Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +1 +/
Сообщение от Аноним (47), 04-Сен-20, 13:25 
> Это код ядра, в этом месте потребовалось бы unsafe.

Анонимный эксперд намба ван.

Ответить | Правка | Наверх | Cообщить модератору

72. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  –1 +/
Сообщение от Аноним (31), 04-Сен-20, 16:13 
Свидетель Раста животворящего.
Ответить | Правка | Наверх | Cообщить модератору

102. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от Аноним (102), 04-Сен-20, 18:00 
> Свидетель минимального знания обсужддаемого предмета.


Dereference a raw pointer
Call an unsafe function or method
Access or modify a mutable static variable
Implement an unsafe trait
Access fields of unions

It’s important to understand that unsafe doesn’t turn off the borrow checker or disable any other of Rust’s safety checks


поправил. Не благодари, Эксперд.
Ответить | Правка | Наверх | Cообщить модератору

69. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от ананимас (?), 04-Сен-20, 16:04 
В ядре все фиксированно и очень мало, особенно стек. Там подсказки раста - как сказать макаке, что валуны есть нельзя.
Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

40. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  –2 +/
Сообщение от Аноним (40), 04-Сен-20, 13:03 
Предлагаешь разрешить выполняться сборщику мусора на OSI 2 lvl?
Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

48. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +3 +/
Сообщение от Аноним (47), 04-Сен-20, 13:25 
> Предлагаешь разрешить выполняться сборщику мусора на OSI 2 lvl?

Анонимный эксперд намба ту.

Ответить | Правка | Наверх | Cообщить модератору

58. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  –2 +/
Сообщение от Аноним (58), 04-Сен-20, 15:27 
Анонимный растоперейсатель намба трипицотчетыре
Ответить | Правка | Наверх | Cообщить модератору

103. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +2 +/
Сообщение от Аноним (102), 04-Сен-20, 18:01 
> Анонимный растоперейсатель намба трипицотчетыре

Наверное, все же лучше быть "растоперейсателем", чем очередным анонимым Экспердом, пишущим чушь.


Ответить | Правка | Наверх | Cообщить модератору

107. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +1 +/
Сообщение от Аноним (107), 04-Сен-20, 19:59 
в расте нет GC
вы наверное с Go перепутали
Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

122. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  –1 +/
Сообщение от Аноним (122), 05-Сен-20, 21:18 
А как раст проверяет границы буфера? При каждой записи дополнительные проверки делает?
Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  –2 +/
Сообщение от Webmonkey (?), 04-Сен-20, 15:43 
У любителей сижки все ошибки алгоритмические, особенно записи за пределы буфера.
smugface.jpg
Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

105. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от Аноним (105), 04-Сен-20, 18:42 
Ну ведь так и есть. Чтобы не допускать buffer overflow, нужно добавить проверки.
Ответить | Правка | Наверх | Cообщить модератору

115. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +1 +/
Сообщение от draw1 (?), 05-Сен-20, 03:12 
Ни в одном стандарте (языка, кодирования, проектирования и т. п.) не видел фразы "реализовывать проверки строго запрещается".
Ответить | Правка | Наверх | Cообщить модератору

129. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от And (??), 06-Сен-20, 10:43 
Всегда в коллективе есть хоть один, не делающий проверок и искреннее обиженный, когда заставляют.
Ответить | Правка | Наверх | Cообщить модератору

99. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +1 +/
Сообщение от Odalist (?), 04-Сен-20, 17:41 
>Ахахахахаха

Что тебя так развесилило?

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

6. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +5 +/
Сообщение от mickvav (?), 04-Сен-20, 09:30 
> Для создания сокета AF_PACKET и эксплуатации уязвимости требуется наличие полномочий CAP_NET_RAW.

Ну то есть "почти рут" - процесс, которому разрешили делать все что угодно с сетью, может стать "совсем рутом" - процессом, могущим творить что угодно с машиной.

С одной стороны - не сильно страшно - таких процессов с гулькин нос и атакующему еще их нужно начать контролировать, с другой - хорошо, что нашли. С третьей - интересно будет посмотреть сколько времени уйдет у производителей всяческих сетевых железок на то, чтобы это подтянуть.

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от Lex (??), 04-Сен-20, 09:46 
>> Для создания сокета AF_PACKET и эксплуатации уязвимости требуется наличие полномочий CAP_NET_RAW.
> Ну то есть "почти рут" - процесс, которому разрешили делать все что
> угодно с сетью, может стать "совсем рутом" - процессом, могущим творить
> что угодно с машиной.
> С одной стороны - не сильно страшно - таких процессов с гулькин
> нос и атакующему еще их нужно начать контролировать, с другой -
> хорошо, что нашли. С третьей - интересно будет посмотреть сколько времени
> уйдет у производителей всяческих сетевых железок на то, чтобы это подтянуть.

.. с четвертой - 12 лет "искали"

Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +1 +/
Сообщение от mickvav (?), 04-Сен-20, 11:04 
> .. с четвертой - 12 лет "искали"

С дивана оно удобно обсуждать, но реально копаться в ядерном C - та еще задача. И хотя есть довольно много народу, который это делает, утверждать что каждая функция ядра прочитана и проверена много раз - по меньшей мере наивно. Открою "тайну" - оно так с любым софтом. Мотивация на "давайте сделаем, чтоб работало и приносило нам бабки прямщас" куда сильнее чем на "давайте сделаем так, чтобы оно никогда не приносило бабки кому не надо".

Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от Аноним (40), 04-Сен-20, 13:06 
А разве нету какой-то системы "доверия" коду, типо пометки "прочитали -цать раз, всё перепроверили, этот код ошибок не содержит"?
Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от пох. (?), 04-Сен-20, 13:59 
stable api nonsense же ж.
Сегодня прочитали, завтра бросились переделывать. Послезавтра еще раз.

Я вот попробовал применить этот патч к любимому 3.0  - как и следовало ожидать, код вообще ни разу не похож. Проверки, тем не менее, нет.

Патч добавляет АЖ ТРИ СТРОКИ. Одна из них не то что не работает в 3.0, а даже непонятно, чем заменять - управляющие структуры ядра совершенно не те.

Ну ладно, подождем - авось редхат починит в 6.

Ответить | Правка | Наверх | Cообщить модератору

60. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  –1 +/
Сообщение от Webmonkey (?), 04-Сен-20, 15:36 
Не поменялось там нихрена, единственное tp_drops в stats лежит:

https://elixir.bootlin.com/linux/v3.0.101/source/net/packet/...

Ответить | Правка | Наверх | Cообщить модератору

68. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  –2 +/
Сообщение от пох. (?), 04-Сен-20, 16:02 
> Не поменялось там нихрена, единственное tp_drops в stats лежит:

и он не atomic_t

А теперь вот и скажи - его можно просто ++, или нужно оборачивать в spin-lock?
(подозреваю, впрочем, что и то, и другое для тебя китайская грамота)

Ответить | Правка | Наверх | Cообщить модератору

82. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +1 +/
Сообщение от Webmonkey (?), 04-Сен-20, 16:29 
Это статистика, она особо ни на что не повлияет. Правильно будет инкрементить ++, взяв sk_receive_queue.lock.

>подозреваю, впрочем, что и то, и другое для тебя китайская грамота

Лолнет.

Ответить | Правка | Наверх | Cообщить модератору

89. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  –1 +/
Сообщение от пох. (?), 04-Сен-20, 16:39 
> Это статистика, она особо ни на что не повлияет.

там кое-где в других местах по похожей статистике if'ы случаютцо ;-)

> Правильно будет инкрементить ++, взяв sk_receive_queue.lock.

вот и я так подумал - ну это ж прям очевидно, стоит только посмотреть в текст патча, где ничего и близко похожего нет, ага? ;-)

> Лолнет.

ЛОВИТЕ НОРКОМАНА! Он правда знает много лишнего, типичному посетителю опеннета совершенно неположенного!

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от Аноним (9), 04-Сен-20, 09:48 
Капы как раз нужны, чтобы не было возможности делать что угодно.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

135. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от mickvav (?), 07-Сен-20, 01:53 
Это правда. Но стоит последить за связанными с capabilities уязвимостями, как становится понятно - когда ядро начиналось, этого не было. И в голове у многих разработчиков застряла эта идея - рут-не-рут, третьего не дано. В итоге ошибки дизайна вылезают как уязвимости вида "почти рут может стать рутом".
Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  –7 +/
Сообщение от пох. (?), 04-Сен-20, 09:49 
> Ну то есть "почти рут"

проблема, что у вас последние годы стало очень много этих "почти рутов", причем сбрасывать привиллегии сразу после того как ими воспользовались стало немодно, немолодежно, да и зачем - за вас все сделает сцыстемде, надо только грамотно прописать полсотни загогулин в нечеловекочитаемый "сервис", незачем учиться программированию в устаревшем юникс.

> С одной стороны - не сильно страшно - таких процессов с гулькин нос

да, твой /bin/ls в полной безопастносте.

К сожалению для модных девляпсов, любителей докера в докере в докере, их любимая мантра "обмажем все контейнерами, нейспейсами и запустим рутовое приложение от непривиллегированного юзера" в очередной раз лажанулась.

> С третьей - интересно будет посмотреть сколько времени уйдет у производителей всяческих сетевых
> железок

у производителей большинства сетевых железок рут все еще остается рутом, и им эта увизгвимость совершенно пофигу.

Вот любители всяких дерьмонасов, которые помимо хранения файлов имеют еще миллионы свистоперделок, или виртуализации замененной шибка-дешевой контейнеризацией - могут пострадать.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

42. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от Аноним (40), 04-Сен-20, 13:12 
Вы уж определитесь, кто у вас дурак — производители сетевых железок, пользующиеся «устаревшим юниксом» и чётко понимающие, что рут - это рут, и к нему доступ без вмешательства человека с консолью заварен найух, или любители дерьмонасов, которые даже не пытались вникнуть в то, почему существует так много разных "пользователей" и групп почти под каждую задачу.
Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  –1 +/
Сообщение от пох. (?), 04-Сен-20, 14:06 
> это рут, и к нему доступ без вмешательства человека с консолью заварен найух

причем бы тут - сонсоль? Достаточно найти уязвимость даже в "безопасной" "нерутовой" программе, позволяющую даже не произвольный код выполнить, а просто использовать уже созданный ей для чего-то сокет.
Остается надеяться, что на сетевых железках таких немного - просто потому что их там любых немного, а тут надо ж еще и особо постараться.

> или любители дерьмонасов, которые даже не пытались вникнуть в то, почему существует так много
> разных "пользователей" и групп почти под каждую задачу.

как это то есть не пытались? Пытались, тот же omv в основном тем и отличается от немодного freenas, что там докер ехал через докер. Просто попытка изначально провальная.
И если программе нужен зачем-то af_packet - этому докеру будет выдан нужный capability. Не, ну а чо, изоляция жеж.

Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +1 +/
Сообщение от НяшМяш (ok), 04-Сен-20, 12:06 
Я бы больше боялся за миллионы Android устройств без поддержки, потому что

> В Android право создавать сокеты AF_PACKET имеет процесс mediaserver, через который может быть эксплуатирована уязвимость.

Mediaserver довольно известное сито само по себе, а теперь ему ещё и универсальный эксплойт подвезли.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

54. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +2 +/
Сообщение от пох. (?), 04-Сен-20, 14:18 
> Я бы больше боялся за миллионы Android устройств без поддержки

чего их бояться, им все равно ничего не светит - хоть свинцовой фольгой оберни, хоть еще и в презерватив засунь - все равно поимеют.

Ну и потом - твои данные уже и так читают гугль с клаудфлерей, не отстают китайцы, выпустившие телефон, а тебе для пацанов жалко?

Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +1 +/
Сообщение от Аноним (-), 04-Сен-20, 14:55 
без пакетной передачи (и в режиме ожидания с 0-м балансом) совсем разгульным банкет не будет
Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  –7 +/
Сообщение от Michael Shigorinemail (ok), 04-Сен-20, 10:20 
Ну вот, вчера как раз за USER_NS говорили (и почему отключаю в "своих" ядрах)...

PS: только оно с подчёркиванием, ага.
PPS для альтернативно одарённых(tm): нет, это не серебряная пуля.

Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +5 +/
Сообщение от Аноним (22), 04-Сен-20, 10:45 
Боюсь, Михаил, вы тоже ничего не поняли, как и ваш протеже.
Для выдающихся умов повторяю: в докере user namespaces по умолчанию отключены, и 95% пользователей докера вообще не знают, что это такое и как их включить.
Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от Аноним (22), 04-Сен-20, 10:57 
Именно поэтому основной вектор атаки - эксплуатация уязвимостей в программах, которым выдана привилегия cap_net_raw. И отключения в ядре USER_NS никак от этого не поможет.
Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  –2 +/
Сообщение от Xasd6 (?), 04-Сен-20, 11:02 
> в докере user namespaces по умолчанию отключены

а в web-браузерах?

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

28. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +1 +/
Сообщение от Michael Shigorinemail (ok), 04-Сен-20, 11:46 
> Для выдающихся умов повторяю: в докере

Спасибо, о великий гуру, но докером мир не ограничивается.

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

46. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от timur.davletshinemail (ok), 04-Сен-20, 13:23 
https://docs.docker.com/engine/security/rootless/ - перепроверь официальное руководство.

По статистике Mozilla USER_NS включен у 85% пользователей.

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

55. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от пох. (?), 04-Сен-20, 14:28 
> Для выдающихся умов повторяю: в докере user namespaces по умолчанию отключены

ваш выдающийся ум так и не понял, что в данном случае не уязвимость при их использовании, а уязвимость, от которой и они (в очередной раз) бесполезны, недорут становится настоящим рутом.

> 95% пользователей докера вообще не знают, что это такое и как их включить.

95% пользователей докера просто копируют из кем-то наспех написанной инструкции - "этой нужной и полезной хрени нужен параметр --cap-add=SYS_ВАЩЕВСЕ " Я тоже так делаю - раз написано, значит, все равно без него не работает.

За остальных, продвинутых, 5% это сделал готовый конфижек для composer. Они его даже не открывали.

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

112. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от timur.davletshinemail (ok), 04-Сен-20, 21:12 
Это проблема вообще многих советов онлайн. Часто советуют вполне себе опасные вещи (или полную чепуху) с лицом, полным уверенности.
Ответить | Правка | Наверх | Cообщить модератору

113. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от онанимуз (?), 04-Сен-20, 23:32 
я давеча наблюдал на одном форуме, как люди, называющие себя системными администраторами, на серьёзных щщах обсуждают полнодисковое шифрование LUKS на виртуальных машинах.
- мне хсотер выдал VNC доступ к виртуалке, через который я установил ось с нуля и зашифровал диск, теперь мои данные safe?
- да, теперь твои данные safe, ведь никто не сможет расшифровать диск без твоей passphrase.
Ответить | Правка | Наверх | Cообщить модератору

130. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от Легивон (?), 06-Сен-20, 13:19 
Ну на 95% случаев тупого изъятия сервера товарищем майором это сгодится.
Ставим ssh сервер в initramfs, настраиваем протокол Diffie–Hellman'а для ssh handshake, при перезагрузке сервера коннектимся по ssh и вводим пароль (автоматизированно конечно, мы ведь любим devops, да?). Товарищи майоры если они даже пишут весь трафик, ничего не могут поделать, потому что надо было изначально ломать трафик активным человеком посередине. Ну и тут надо сваливать с хостинга сразу как тов. майоры первый раз остановили сервер.
Ответить | Правка | Наверх | Cообщить модератору

134. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от онанимуз (?), 06-Сен-20, 21:24 
если у товарища майора айсикью чуть выше, чем у хлебушка, то он попросит хсотера сделать дамп оперативной памяти этой виртуалки, прежде чем изымать сервер целиком.
но, к счастью, в 95% случаев это будет именно тупое изъятие.
Ответить | Правка | Наверх | Cообщить модератору

97. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от Аноним (97), 04-Сен-20, 17:01 
Отключение неймспейсов очень ограничивает применимость и защищённость такого ядра и программ под его управлением. В том числе браузеров, суидная песочница не многим лучше. Не обязательно же от рута сидеть в нём. Ещё бы можно было менять пользователя в неймспейсе (т.е. выполнил настройку от рута и сбросил привилегии, после чего уже запретил изменение), но так к сожалению нельзя, во всяком случае у меня не получилось.
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

111. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от Аноним (97), 04-Сен-20, 21:00 
getcap -r /bin /sbin /lib* /usr
/bin/arping cap_net_raw=ep
/bin/ping cap_net_raw=ep
/sbin/unix_chkpwd cap_dac_override=ep
/usr/sbin/mtr-packet cap_net_raw=ep
/usr/sbin/criu =
/usr/bin/dumpcap cap_dac_read_search,cap_net_admin,cap_net_raw=ep
/usr/libexec/qemu-bridge-helper cap_net_admin=ep
/usr/lib64/libexec/kf5/start_kdeinit cap_sys_resource=ep

Вот кстати да, что это за странные права у criu? Там вроде CAP_CHECKPOINT_RESTORE должно стоять. Кеды меня нервируют, суидный бинарник хотя бы можно удалить?

find / -mount -perm -4000 | grep kf5
/usr/lib64/libexec/kf5/fileshareset

Ответить | Правка | Наверх | Cообщить модератору

127. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от onanim (?), 06-Сен-20, 09:55 
sh-4.4# getcap -v /usr/lib64/libexec/kf5/start_kdeinit
/usr/lib64/libexec/kf5/start_kdeinit
sh-4.4# ls -lh /usr/lib64/libexec/kf5/fileshareset
-rwxr-xr-x 1 root root 11K Feb  3  2019 /usr/lib64/libexec/kf5/fileshareset

как же хорошо, что опенсусе не предустанавливают на ноутбуки! меньше пользователей — меньше дыр.

Ответить | Правка | Наверх | Cообщить модератору

132. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от Аноним (97), 06-Сен-20, 19:35 
Ну вообще, именно это конфигурируется, а по последниму у тебя версия двухлетней давности и с тех времён изменений очень много было.


* Searching for USE flag caps ...
[IP-] [  ] app-crypt/pinentry-1.1.0-r3:0
[IP-] [  ] app-emulation/qemu-5.1.0:0
[IP-] [  ] app-misc/pax-utils-1.2.6:0
[IP-] [  ] app-shells/zsh-5.8:0
[IP-] [  ] kde-frameworks/kinit-5.73.0:5/5.73
[IP-] [  ] kde-plasma/kwin-5.19.5:5
[IP-] [  ] media-libs/gstreamer-1.16.2:1.0
[IP-] [  ] net-misc/chrony-4.0_pre3:0
[IP-] [  ] net-misc/iputils-20200821:0
[IP-] [  ] sys-apps/coreutils-8.32-r1:0
[IP-] [  ] sys-apps/iproute2-5.8.0:0
[IP-] [  ] sys-apps/smartmontools-7.1:0
[IP-] [  ] sys-apps/util-linux-2.36:0
[IP-] [  ] sys-auth/pambase-20200817:0
[IP-] [  ] sys-libs/glibc-2.32-r1:2.2

Ответить | Правка | Наверх | Cообщить модератору

133. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от Аноним (97), 06-Сен-20, 19:50 
//последнему*

там правда у половины это называется filecaps, вот их можно отключить наверно, мне они вообще не нужны. Ну wireshark наверно они понадобятся, чтобы не от рута работать, а остальные я не знаю, видимо тоже изоляция, чтобы не от рута запускать.


* Searching for USE flag filecaps ...
[IP-] [  ] app-emulation/qemu-5.1.0:0
[IP-] [  ] net-analyzer/mtr-0.93-r1:0
[IP-] [  ] net-analyzer/wireshark-3.2.6:0/3.2.6
[IP-] [  ] net-misc/iputils-20200821:0
[IP-] [  ] sys-libs/pam-1.4.0_p20200829:0

Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +9 +/
Сообщение от solardiz (ok), 04-Сен-20, 10:42 
> Проблема присутствует в ядре с июля 2008 года, т.е. проявляется во всех актуальных ядрах.

Отправил модераторам исправление на вот такое:

Ошибка вычисления (баг) присутствует в ядре с июля 2008 года, т.е. во всех актуальных ядрах, однако известная сейчас возможность применить ее для записи в область за границей выделенного буфера (уязвимость) предположительно была привнесена в феврале 2016 (ядра 4.6-rc1 и новее), с развитием поддержки virtio_net.

Чуть подробнее об этом написал в oss-security.

Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  –1 +/
Сообщение от Аноним (31), 04-Сен-20, 12:04 
Вот накуя андрюшиному медиасерверу доступ к RAW-сокетам?
Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от Аноним (40), 04-Сен-20, 13:14 
Дудосить пацанской музыкой наушники в метро?
Ответить | Правка | Наверх | Cообщить модератору

64. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от Аноним (31), 04-Сен-20, 15:57 
Так для RTP нужен UDP.
Ответить | Правка | Наверх | Cообщить модератору

123. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от Аноним (122), 05-Сен-20, 21:26 
А зачем для udp raw сокеты?
Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +1 +/
Сообщение от гугель (?), 04-Сен-20, 13:15 
Что это за медиасервер, который использует немодные и устаревшие протоколы, может еще скажете - tcp?

Современный медиасервер ОБЯЗАН изобрести ни с чем несовместимый собственный tcp, желательно уязвимый к relay-attacks, а в идеале еще к точечным dos.

Разумеется, при его реализации без raw sockets никак не обойтись!

Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

49. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +2 +/
Сообщение от n80 (?), 04-Сен-20, 13:30 
Забавно: попытался я найти ответ на этот вопрос, а вместо этого нашлись новости за 2016 и 2017 г. почти слово-в-слово совпадающие с этой.

Вообще, похоже что для всякого изврата типа AVTP.

Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

62. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от Аноним (62), 04-Сен-20, 15:43 
Протоколы в локальной сети для обмена аудио
Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

86. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от Аноним (31), 04-Сен-20, 16:33 
Для этого UDP достаточно. Ну может UDPLite, тоже отдельный тип сокета, доступный всем пользователям.
Ответить | Правка | Наверх | Cообщить модератору

106. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от Аноним (106), 04-Сен-20, 19:18 
Для проприетарных протоколов андроида?
Ответить | Правка | Наверх | Cообщить модератору

57. Скрыто модератором  –1 +/
Сообщение от Hellscream (?), 04-Сен-20, 15:08 
Ответить | Правка | Наверх | Cообщить модератору

71. Скрыто модератором  +/
Сообщение от Аноним (31), 04-Сен-20, 16:10 
Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +2 +/
Сообщение от Аноним (58), 04-Сен-20, 15:30 
Что делают все эти свидетели раста в топиках про сишный, богомерзкий линукс ?
Ответить | Правка | Наверх | Cообщить модератору

61. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  –4 +/
Сообщение от Hellscream (?), 04-Сен-20, 15:38 
Хотят предложить спасение.
Ответить | Правка | Наверх | Cообщить модератору

67. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  –2 +/
Сообщение от Аноним (31), 04-Сен-20, 16:01 
Они уже своего Пророка выбрали?
Ответить | Правка | Наверх | Cообщить модератору

79. Скрыто модератором  –3 +/
Сообщение от Hellscream (?), 04-Сен-20, 16:29 
Ответить | Правка | Наверх | Cообщить модератору

83. Скрыто модератором  –1 +/
Сообщение от Аноним (31), 04-Сен-20, 16:31 
Ответить | Правка | Наверх | Cообщить модератору

78. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  –1 +/
Сообщение от Аноним (78), 04-Сен-20, 16:27 
И это все вместо того чтобы хотяб 1 драйвер на расте написать?
Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

65. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от Аноним (97), 04-Сен-20, 15:59 
С одной стороны "опять"?, А с другой, с CAP_NET_RAW ты уже рут или лицо исполняющее его обязанности, что вы так прицепились к этим неймспейсам (без которых всё равно жизни нет).

Можно ли таким образом распространять бинарники с нужными правами в каком-нибудь флатпаке? Если да, то так можно замаскировать рутовые бэкдорчики.

Ответить | Правка | Наверх | Cообщить модератору

66. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от oni66678910111213 (?), 04-Сен-20, 15:59 
>переполнение
>неверной последующей установке указателя на буфер

нет-нет! не надо переписывать на rust/Go/D! всё и так прекрасно!

Ответить | Правка | Наверх | Cообщить модератору

70. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  –1 +/
Сообщение от Аноним (31), 04-Сен-20, 16:06 
Есть такое чуйство, что на чём бы не переписали, а в этом месте понадобится @unsafe.
Ответить | Правка | Наверх | Cообщить модератору

76. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +2 +/
Сообщение от oni66678910111213 (?), 04-Сен-20, 16:25 
в любой программе, надобность в unsafe можно свести к минимуму: к нескольким функциям, которые можно пометить "для особого ревью всей командой".. - значительно безопаснее, чем всё писать на опасном языке.
Ответить | Правка | Наверх | Cообщить модератору

116. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  –1 +/
Сообщение от draw1 (?), 05-Сен-20, 03:32 
этот "минимум" может оказаться весьма обширен.
функции, хоть обсмотрись всей командой, работают не в чистом поле сами по себе - один фиг надо смотреть и всё вокруг и не менее пристально (что слегка портит радужную картину "посмотреть в одном месте, а остальное за нас язык сделает").
Если команда из таких людей, которым нельзя доверить "опасный" язык, то они точно в состоянии справиться с ревью?
Ответить | Правка | Наверх | Cообщить модератору

74. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  –1 +/
Сообщение от Аноним (97), 04-Сен-20, 16:22 
Писать ядро на языке с принудительным гц отличная идея, далеко пойдёшь.
Ответить | Правка | К родителю #66 | Наверх | Cообщить модератору

77. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от oni66678910111213 (?), 04-Сен-20, 16:26 
во всех перечисленных языках гц можно отключать или (в Go) выбирать стратегию разработки, которая не требует гц. - да, сложнее,.. но возможно.
Ответить | Правка | Наверх | Cообщить модератору

88. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  –1 +/
Сообщение от Аноним (97), 04-Сен-20, 16:34 
Очень теоретически (в д, поскольку библиотека на него завязана емнип), или через содомию, которая всё равно неэффективна (го). На го уже написали "ядро" таким образом. Теоретическая возможность не гарантирует практической применимости.
Ответить | Правка | Наверх | Cообщить модератору

95. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от Аноним (31), 04-Сен-20, 16:54 
Справедливости ради, в D использовать libgphobоs не обязательно. Только тогда придётся все необходимые функции самому. Но это и соотвествует ситуации писания ядер. Там, ведь, не используют стандартные библиотеки функций.
Ответить | Правка | Наверх | Cообщить модератору

98. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от Аноним (97), 04-Сен-20, 17:11 
А что там останется от ди без библиотеки? Заново его изобретать только уже со своим нескучным рантаймом?
Ответить | Правка | Наверх | Cообщить модератору

119. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от Аноним (119), 05-Сен-20, 13:20 
Очевидно компилятор.
Ответить | Правка | Наверх | Cообщить модератору

125. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от Аноним (97), 05-Сен-20, 22:03 
Разве это не в старом д компилятор? В новом -- рантайм. /
Ответить | Правка | Наверх | Cообщить модератору

124. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от Аноним (97), 05-Сен-20, 22:02 
Разве это не в старом д компилятор? В новом -- рантайм.
Ответить | Правка | К родителю #98 | Наверх | Cообщить модератору

81. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  –1 +/
Сообщение от Аноним (78), 04-Сен-20, 16:29 
где писатели драйверов на расте? кто железом будет рулить?
собака лает, а караван идёт.
Ответить | Правка | К родителю #66 | Наверх | Cообщить модератору

84. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от oni66678910111213 (?), 04-Сен-20, 16:31 
та идёт-идёт! Ритчи, в своё время, осознал ошибку и пошёл Limbo пилить с Plan9..
Ответить | Правка | Наверх | Cообщить модератору

85. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  –2 +/
Сообщение от Аноним (78), 04-Сен-20, 16:33 
Y FreeBSD тоже шло, а что в итоге?
В итоге осталься только linux : https://www.top500.org/
Ответить | Правка | Наверх | Cообщить модератору

87. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +1 +/
Сообщение от oni66678910111213 (?), 04-Сен-20, 16:34 
миллионы не ошибаются - ога
Ответить | Правка | Наверх | Cообщить модератору

117. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +1 +/
Сообщение от Hellscream (?), 05-Сен-20, 11:14 
FreeBSD так-то является самой популярной в мире игровой платформой, правда в обёртке от Sony и Nintendo. Но тут и линуксу похвастать нечем, ведь для обычного человека он пригоден к использованию только в виде Android.

Выходит, что оба этих продукта до человека доходят только в огороженном формате под присмотром корпораций.

Ответить | Правка | К родителю #85 | Наверх | Cообщить модератору

91. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от Аноним (31), 04-Сен-20, 16:43 
Смотрим исходники Plan 9 http://9p.io/sources/plan9/sys/src/ и... О ужас, да они же на богомерзком C!
Ответить | Правка | К родителю #84 | Наверх | Cообщить модератору

92. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от пох. (?), 04-Сен-20, 16:45 
> та идёт-идёт! Ритчи, в своё время, осознал ошибку и пошёл Limbo пилить
> с Plan9..

И результат?

Вот то и оно. Пока пилил для себя и своих собственных интересов, или хотя бы чтоб с работы не выкинули (не в смысле указивки начальства дотошно исполнял, как сейчас принято у шва6одных разработчиков, а наоборот - сам придумал как из своей игрушки сделать нечто, приносящее практическую пользу соседнему, зарабатывающему, подразделению) - получался юникс.

А как вздумал показать всему миру "как надо" - практической пользы только странный малоиспользуемый драйвер наложенной файловой системы вышел, как будто предыдущих ста штук было мало.

Ответить | Правка | К родителю #84 | Наверх | Cообщить модератору

120. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от Webmonkey (?), 05-Сен-20, 14:36 
>где писатели драйверов на расте?

Тут: https://www.redox-os.org/

Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору

126. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от Аноним (126), 06-Сен-20, 03:59 
Мне один сисадмин-икзперт рассказывал на собеседовании, что контейнеры/виртуализация самая защищенная вещь и что не надо в случае обнаружении вирусни на сервере с хостингом переустанавливать ОС. Ну, что чудило, понял в чем ты ошибался или до сих пор строишь из себя икзперта по ИБ?
Ответить | Правка | Наверх | Cообщить модератору

131. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от Легивон (?), 06-Сен-20, 13:26 
А разве это не близко к истине?
Использование контейнеров вкупе с остальным стеком DevOps радикально ускоряющим релиз и развертывание, позволит выкатить исправление в течении минимального времени и позволит не сломать им прод (что как правило гораздо хуже гипотетических уязвимостей)
Ответить | Правка | Наверх | Cообщить модератору

136. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от Аноним (136), 07-Сен-20, 14:44 
devops pipeline это отличный организационный объект, которому требуется системная защита, виртуализация это только у Rутковской и фриков про безопасность, а у системщиков свои принципы (минимум кодовой базы и т.д.). возможно пост выше про это.
Ответить | Правка | Наверх | Cообщить модератору

137. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от Аноним (137), 08-Сен-20, 07:50 
>А разве это не близко к истине?

Какой истине? Истина в том, что если у тебя есть рут на dom0, то ничего не спасет. Затрахаешься лечить такую систему, если, конечно, ты не Рутковская и знаешь про все возможные дыры, в том числе и не опубликованные.

>DevOps

Читать нужно внимательней. Написал же, что сервер для хостинга. Публичного хостинга. И если кто-то извне с рутом в domU использует уязвимость в сабже, получает контроль на dom0, то см. выше что будет.

Мне просто интересно как этот чудень оправдывался бы перед директором со словами "ну, я думал, что это нецеленаправленная атака", поэтому в domU я систему "почистил", ну а в dom0 все вроде нормально (угу, логи-хуеги все как надо почистили и естественно ничего не обнаружил).

Ответить | Правка | К родителю #131 | Наверх | Cообщить модератору

138. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от Аноним (138), 08-Сен-20, 20:48 
В случае, если вирусня не вылезла в dom0, действительно не надо. Но у такого эксперта вряд ли хватит квалификации понять, вылезла ли.
Ответить | Правка | К родителю #126 | Наверх | Cообщить модератору

139. "Уязвимость в реализации сокетов AF_PACKET ядра Linux "  +/
Сообщение от Аноним (137), 09-Сен-20, 04:05 
Давай порядок действий как опеределить влезли в dom0 или нет. Просто опиши шаги, которые нужно выполнить как минимум.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру