The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимости в модуле ksmbd ядра Linux, позволяющие удалённо выполнить свой код"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в модуле ksmbd ядра Linux, позволяющие удалённо выполнить свой код"  +/
Сообщение от opennews (??), 24-Май-23, 11:56 
В модуле ksmbd, предлагающем встроенную в ядро Linux реализацию файлового сервера на базе протокола SMB, выявлено 14 уязвимостей, из которых четыре позволяют удалённо добиться выполнения своего кода с правами ядра. Атака может быть проведена без аутентификации, достаточно чтобы на системе был активирован модуль ksmbd. Проблемы проявляются начиная с ядра 5.15, в состав которого был принят модуль  ksmbd. Уязвимости  устранены в обновлениях ядра 6.3.2,...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=59189

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (-), 24-Май-23, 11:56   +3 +/
О__еть!
Единственная возможная реакция на ЭТО.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #62, #68

2. Сообщение от Аноним (2), 24-Май-23, 11:57   +8 +/
а зачем вообще самба в ядре? это же прикладной функционал, а не системный.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #7, #8, #32

3. Сообщение от iPony129412 (?), 24-Май-23, 11:58   +4 +/
В новости написано, но читать скучно видать...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #6

4. Сообщение от Koct9iemail (?), 24-Май-23, 11:59   +/
Кек. Чего ещё было ждать от Samsung.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #10, #13, #73

5. Сообщение от Карлос Сношайтилис (ok), 24-Май-23, 12:00   +5 +/
Опять школьники в ядре нашкодили, а диды недосмотрели.
Ответить | Правка | Наверх | Cообщить модератору

6. Сообщение от Аноним (2), 24-Май-23, 12:02   +2 +/
в новости написано что-то про ембед, но не упоминается, почему эта бредятина по умолчанию включена во всех настольных дистрах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #12, #14, #21, #69, #81

7. Сообщение от Карлос Сношайтилис (ok), 24-Май-23, 12:02   +1 +/
Монолит, сэр. Туда много чего тащить приходится для доступа к внутренним структурам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #71

8. Сообщение от Аноним (86), 24-Май-23, 12:03   +3 +/
Тут не любят упоминать теории заговора, но почитай в каких компаниях работают мейнтейнеры и что они натворили. Добавь к этому что он выполняют приложение на уровне ядра что в целом не может быть безопасным с самого начала и получи нелицеприятную картину. Как говорится ищи кому это выгодно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #20, #23, #70

9. Сообщение от Аноним (86), 24-Май-23, 12:05   +/
Им ещё к трем сабжевым компаниям не хватает компании Хуавей тогда бы это было каре.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

10. Сообщение от Карлос Сношайтилис (ok), 24-Май-23, 12:05   +1 +/
Причём тут самсунг? Написать код может кто угодно, но вот делают ревью и решают, включать код или нет, мэйнтейнеры. Все вопросы к ним. Ну и к Бате, конечно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

11. Сообщение от Анонин (?), 24-Май-23, 12:07   +2 +/
> приводит к эксплуатируемому состоянию гонки
> из-за разыменования нулевого указателя
> из-за возникновения взаимной блокировки
> вызваны отсутствием проверки размера ... перед копированием в буфер

Классические проблемы дыряшки //_-

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15

12. Сообщение от iPony129412 (?), 24-Май-23, 12:08   +/
А разве? Как посмотреть в Ubuntu?

100% оно не запускается автоматом (тоесть уязвимости считай мимо), вопрос скомпилировано ли?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

13. Сообщение от Rev (?), 24-Май-23, 12:09   +/
Да, в Самсунге не умеют писать код. Как разработчик со стажем, которому приходилось много сношаться с Самсунгами, говорю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

14. Сообщение от iPony129412 (?), 24-Май-23, 12:11   +/
Нету ничего, нехорошо обманывть

> sudo modprobe ksmbd.ko

[sudo] password for iHorse:
modprobe: FATAL: Module ksmbd.ko not found in directory /lib/modules/5.19.0-42-generic

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #82

15. Сообщение от Аноним (15), 24-Май-23, 12:13   –1 +/
Взаимную блокировку еще нигде не победили, а вот с остальным - да, "классика"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #27

16. Сообщение от Ананий (?), 24-Май-23, 12:15   +2 +/
>встроенную в ядро Linux реализацию файлового сервера на базе протокола SMB

жесть какая, а торрент-трекер с похапе еще не запихали?
вебдавы для гуглей, яндексов и майлрушечек, чего уже там.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #39

18. Сообщение от Аноним (18), 24-Май-23, 12:19   +17 +/
Нет. Единственная реакция - это: "Самба? Фи, обычное дело.".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

19. Сообщение от ryoken (ok), 24-Май-23, 12:27   +9 +/
Как узнал про то, что внедряют в ядро Самбу, так и ждал, когда ж оно сдетонирует. Дождался, чо.
Ответить | Правка | Наверх | Cообщить модератору

20. Сообщение от soarin (ok), 24-Май-23, 12:28   +3 +/
Ну да…
Когда NFS кучу лет в ядре и с уязвимостями — это нормально.
А как SMB, то …

Даже в TOP10 попадало
https://www.mend.io/resources/blog/top-10-linux-kernel-vulne.../

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #79

21. Сообщение от soarin (ok), 24-Май-23, 12:30   +/
А во нашёл, как загруженные модули смотреть

lsmod | grep "ksmbd"

Ну нет ничего, предсказуемо…

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

23. Сообщение от Анонимусс (?), 24-Май-23, 12:31   +/
Т.е. предположить, что один - код писать не умеют, а другие - халатно относятся к своим обязаностям, уже не вариант? Только заговор?


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #24

24. Сообщение от Аноним (86), 24-Май-23, 12:41   +/
Ага все резко разучились писать код и куча никогда не обновляемых ембедед устройств стала доступна кому угодно, когда угодно, для каких угодно целей. И Дед Мороз ещё настоящий.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #30, #34

25. Сообщение от Аноним (25), 24-Май-23, 12:41   +3 +/
Это какой-то позор
Ответить | Правка | Наверх | Cообщить модератору

27. Сообщение от Карлос Сношайтилис (ok), 24-Май-23, 12:43   +2 +/
Здесь гонка данных, при некорректном использовании мьютекса, а гонку данных победить можно.
Собственно мьютексы и нужны чтобы её предотвратить, но это же не раст, а С, который и слова не скажет, если разработчик напишет кривой код.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

28. Сообщение от Аноним (28), 24-Май-23, 12:45   +1 +/
>ядра 5.15

Господи, да что произошло на этой версии? Почему почти все уязвимости из последних новостей именно с этой версии появились?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #66

30. Сообщение от soarin (ok), 24-Май-23, 12:50   –1 +/
А когда умели?
Посмотри на частоту выявления уязвимостей в линукс ядре. Ничего не менялось то. Просто у тебя выборочное и узкое зрение.

Тут в новостях уже надоели с «буфера!» каждый день. Но как ты увидел в новости про Microsoft, то это уже сразу другое 😀

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #31

31. Сообщение от Аноним (86), 24-Май-23, 12:52   +1 +/
Просто ты думаешь так как тебе сказали, а шаг вправо или влево ты подумать не можешь потому что мыслепреступление. Поэтому ты и понь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #35

32. Сообщение от n00by (ok), 24-Май-23, 12:53   +/
Руткит - прикладной функционал. Но LD_PRELOAD это для детей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

34. Сообщение от Анонимусс (?), 24-Май-23, 12:55   +3 +/
Почему вдруг сразу? Они типа раньше сильно лучше умели...

Вон Поня выше ссылку привел на какой-то топ уязвимостей - там ядра и 4.4, и 4.11, и 3.13.6, и даже 2.6.34 есть.
Причем проблемы те же, фиксы аналогичные, вроде
  - argp->end = p + (argp->pagelen>>2);
  + argp->end = argp->p + (argp->pagelen>>2);
или
  - if (len < tcp_hdrlen)
  + if (len < tcp_hdrlen || tcp_hdrlen < sizeof(struct tcphdr))

Они никогда не писали без таких багов, просто с годами кода становится все больше, а возможности мозга не увеличиваются. Дальше будет только хуже.

Но теория заговора это удобно.
Это позволяет верить что язык хороший, архитектура хорошая, погромисты хорошие... и вот только злой умысел привел к такой дыре!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #44

35. Сообщение от soarin (ok), 24-Май-23, 12:57   –1 +/
Я не анимешник, поэтому СПГС не интересует.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #45

38. Сообщение от Аноним (38), 24-Май-23, 13:06   +4 +/
Ну что ты будешь делать, опять вместо профессионалов писать на си, каких-то рукожопов набрали.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #60, #61

39. Сообщение от фттщтт (?), 24-Май-23, 13:28   +1 +/
амиго! амиго браузер нужно добавить!
думаю у яндекс справится
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

40. Сообщение от Аноним (40), 24-Май-23, 13:31   +/
Та самая шляпа, которую бэкпортировали в шляпу! :)
Ответить | Правка | Наверх | Cообщить модератору

42. Сообщение от Аноним (42), 24-Май-23, 13:42   +2 +/
> Проблемы проявляются начиная с ядра 5.15

Дебиан как обычно торт. Самый надежный и безопасный :)

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #93, #103

44. Сообщение от Аноним (86), 24-Май-23, 14:08   +/
Да знаем мы таких верующих в программистов, и в то что язык плохой, а потом https://www.opennet.me/opennews/art.shtml?num=28998 но всё конечно же опровергнуто никто не виноват. Причём опровергает тот же самый человек, которого по факту обвиняют всё как всегда.

- Ты вставлял «баг»
- Нет я не вставлял следов своего «бага» я не нашел
- Ну ок тогда всё в порядке

Так детей в ясельной группе обманывают.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #72

45. Сообщение от Аноним (86), 24-Май-23, 14:09   –1 +/
Мы знаем ты первый канал смотришь. С тобой всё ясно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

46. Сообщение от Аноним (46), 24-Май-23, 14:10   +/
РЕШEТО ЭТОТ ВАШ ЛИНУКС! Говорю как бывший линуксоид. А еще при апдейте врод е как корпоративного OpenSuSE, вроде как мейнстримного Ubuntu, вроде как бывшего лидера на десктопе Mandriva - постоянно что отваливалось, то ФС(ext3,4, Reiser4) завалится, без возможности восстановления(пока данные), то иксы на проприетарном драйвере NVIDIA при обновлении отвалятся. Классический пример невозможность сделать бесшовную графическую загрузку. Это я уже просто не буду про пользовательское ПО и отдельно флэтпаки собранные школьниками.

У меня были средне-хорошие навыки по лялиху, но потом я женился и поставил венду. Из чего следует следующее - лялих для тех кому нечем заняться в жизни, и сисадминов которые юзают его за деньги. Дома линукс бесполезен, и даже вреден. В Виндовз ты играешь в игры, линукс сам играет в тебя.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #48, #49, #52, #54, #55, #56, #58, #64, #67

47. Сообщение от жявамэн (ok), 24-Май-23, 14:12   +/
причина засовывания смб в ведро?
кто это придумал вообще
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #75

48. Сообщение от Аноним (46), 24-Май-23, 14:18   +/
Ну не такое уж рeшето, на серверах-то как-то работает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #50

49. Сообщение от Аноним (51), 24-Май-23, 14:18   +/
Sad but True.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

50. Сообщение от Аноним (46), 24-Май-23, 14:20   +1 +/
До поры до времени, а потом бац и утечки данных из яндекс.еды, сбера итд, а я напоминаю там везде линукс стоял.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #51

51. Сообщение от Аноним (51), 24-Май-23, 14:23   +1 +/
Напомню у каждой утечки есть имя и фамилия и даже у ухода исходников яндекса тоже.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #53

52. Сообщение от Анонин (?), 24-Май-23, 14:26   +/
> Дома линукс бесполезен, и даже вреден

Ну почему так категорично. Линукс прекрасный хост для запуска виндовых виртуалок.
Как раз для игр можно иметь целый набор - и хрюшу, и семерку и 10-11.
Особенно если берешь игры сам знаешь где.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

53. Сообщение от Аноним (46), 24-Май-23, 14:27   +/
человеческий фактор это лишь половина случаев, другая это дырявый лялих. В венде если утром нашли дыру, к обеду уже прилетает заплатка, ды и все построено на куче кругов безопасности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #65

54. Сообщение от Аноним (28), 24-Май-23, 14:47   +2 +/
>но потом я женился и поставил венду.

Я вот раньше занимался физическими упражнениями и совершал пробежи, но потом я женился, нарастил жирок и превратился в тюленя. Следует ли из этого, что физкультура - для тех кому нечем заняться в жизни? Не думаю.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #57

55. Сообщение от Аноним (55), 24-Май-23, 14:54   +1 +/
Разработчики тоже походу "женились" получается
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

56. Сообщение от _hide_ (ok), 24-Май-23, 15:01   +/
>>> потом я женился и поставил венду

Да, понятно, чтобы вспоминать с ностальгией, как винду чинил...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

57. Сообщение от 1 (??), 24-Май-23, 15:25   +/
Именно это и следует ... Женился - какая тебе физкультура ? Иди полку прибей !
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

58. Сообщение от 1 (??), 24-Май-23, 15:26   +1 +/
Наверное наоборот - поставил винду и женился ?
Или женился переустанавливая винду ?

P.S. Вернулся как-то раз муж домой из командировки ... А у него винда переустановлена !

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

59. Сообщение от Анонимemail (59), 24-Май-23, 15:38   +/
Одно большое недоразумение а не модуль.
Ответить | Правка | Наверх | Cообщить модератору

60. Сообщение от Аноним (60), 24-Май-23, 15:38   +2 +/
Да уж, лучше бы набрали профессианалов на Расте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #74, #102

61. Сообщение от Аноним (61), 24-Май-23, 16:10   +/
Так это профессионалами и написано.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

62. Сообщение от xsignal (ok), 24-Май-23, 16:13   –4 +/
Переписать на Rust?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #78, #86, #100

63. Сообщение от Аноним (63), 24-Май-23, 16:18   +2 +/
Опять сишники ненастоящие попались, что ж ты делать будешь. Злыдни какие-то подкинули багов в идеальный код, а те как дети малые — ну за мьютексами гоняться и нулевые указатели разыменовывать. Ну хоть за пределы массива не попадали, и на том спасибо.
Ответить | Правка | Наверх | Cообщить модератору

64. Сообщение от Енотъ (?), 24-Май-23, 16:33   –2 +/
>У меня были средне-хорошие навыки по лялиху, но потом я женился и поставил венду. Из чего следует следующее - лялих для тех кому нечем заняться в жизни

Смешной троллинг но суть венды показана точно, винда для рабов, которые ни разнообразия в кексе, ни свободы, ни даже возможности есть что хочется, а не очередных кулинарных экспериментов в духе Юлии Высоцкой. Жри что дают, раз в неделю будешь допущен поёрзать по бревну - вот их идеал. Зото стобильно

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

65. Сообщение от 1 (??), 24-Май-23, 16:37   +/
нет, ms теперь апдейты раз в месяц делает
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

66. Сообщение от Аноним (66), 24-Май-23, 16:53   +2 +/
Обычный лтс. Все пытаются вмержить туда всё, что хотя бы компилируется, чтобы 5 лет можно было пользоваться не обновляясь до 5.16+, а когда приходят в сознание, выясняется, что все оставшиеся 5 лет поддержки придётся править в этом баги.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

67. Сообщение от Аноним (66), 24-Май-23, 17:02   +/
Ну ты нашёл что выбрать.

> корпоративного OpenSuSE

Ставил в году этак 2003. Сильно сомневаюсь, что за 20 лет можно было разгрести тот кошмар, который там был.

> вроде как мейнстримного Ubuntu

Ну вот тут ничего не могу сказать.

> вроде как бывшего лидера на десктопе Mandriva

В том же 2003 (плюс-минус) на 4 компакт-дисках распространялось то, что в слаке помещалось на один. Тоже о чём-то говорит.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

68. Сообщение от Аноним (-), 24-Май-23, 17:10   +4 +/
А что удивляет?

> Namjae Jeon из компании Samsung и Hyunchul Lee из LG,

У этих господ вообще богатые традиции разработки ПО, суть сводится к арбайтен, шнель, шнель, желательно 12 часов в день и более. Что там кодер при этом напишет - ну вы поняли. На Jeon к тому же еще и F2FS висит. Если на вас подвесить кодинг ядерного smbd и файлухи, в одно лицо, вы еще и не так программить будете, пожалуй. Потому что за@#$тесь в край...

> а сопровождением в составе ядра занимается Стив Френч (Steve French) из компании Microsoft,

Ну а у майкрософта, smb и CVE вообще очень давние отношения. Старые как msblast. И до сих пор периодически вылезающие.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

69. Сообщение от Аноним (69), 24-Май-23, 17:15   –1 +/
> включена во всех настольных дистрах.

Потому что перфоманса много не бывает. К сожалению за это есть цена... любые работы можно выполнить дешево, быстро и качественно. И если подвесить на одного Jeon'а по сути кодинг smbd и f2fs (ну вот такой вот самсунг гениальный) - и хотеть это именно еще вчера - ну, вы поняли, что получится в результате. Кодер просто зашьется в хлам. Что и наблюдается.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

70. Сообщение от Аноним (70), 24-Май-23, 17:17   +/
"Нелицеприятный" означает "беспристрастный". Видимо, вы имели в виду "неприятный"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #106

71. Сообщение от Аноним (-), 24-Май-23, 17:17   +4 +/
Модульный монолит. Поэтому вон тот модуль можно и не вгружать. И даже заблеклистить если фикс почему-то не вариант а дистро подогнал его. Тех кто вогнал его в основную тушку ядра - я вообще не встречал, это было бы очень странной идеей для этой фичи.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

72. Сообщение от фтщт (?), 24-Май-23, 17:28   +2 +/
хм... мне казалось "бремя доказательства лежит на том, кто обвиняет", а тут оказывается новое слово в юриспруденции

напоминает анекдот:
- я всем рассказал, что ваша дочь легкого поведения!
-- но у меня только один сын
- какая разница, теперь сами оправдыватесь

пока нет доказательств, что это намеренная ошибка
+ неужели, ты уверен, что у них хватит денег купить всех: кодописак, мейнтейнеров, ревьюверов и даже самого Линуса?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

73. Сообщение от пох. (?), 24-Май-23, 17:51   +1 +/
> Чего ещё было ждать от Samsung

еще exfat, f2fs и код для big.LITTLE но последнее неточно.

Ты бы, конечно, написал гораздо больше и без ошибок - если бы умел кодить.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #95

74. Сообщение от пох. (?), 24-Май-23, 17:53   +/
ну какие уязвимости могут быть в драйвере мигания светодиодиком? Там только потечь и запаниковать можно - что они и делают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

75. Сообщение от пох. (?), 24-Май-23, 17:53   +/
то ли дело ceph или nfs!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #87

76. Сообщение от Аноним (76), 24-Май-23, 18:10   +1 +/
Спасибо ОпенНету! Заблэклистил ksmbd еще 2 года назад. Ждём новых иниересных новостей...
Ответить | Правка | Наверх | Cообщить модератору

77. Сообщение от Аноним (-), 24-Май-23, 19:32   +/
Вот видите, проект русского безопасного линукса только начался, и сразу сколько дыр нашлось.
Ответить | Правка | Наверх | Cообщить модератору

78. Сообщение от Аноним (-), 24-Май-23, 19:44   +1 +/
Это врядли сильно поможет от одного замордованного корейского кодера надрывающегося аж на два здоровых проекта во имя луны^W самсунга. Он почти в 1 морду накодил smb сервер и f2fs. И при такой развесовке сил баланс явно "чтоб вообше работало" а не "чтоб безопасно". При таких соотношениях на любом ЯП кодер срежет все мыслимые углы, забьет на все best practices если это экономит время, и уж конечно его не хватит на какой-нибудь fuzzing своего добра. Оно и аутсорснулось исследователям безопасности на автомате, опосля комитов и с CVEшками уже.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #80, #83, #88

79. Сообщение от Аноним (-), 24-Май-23, 20:03   +/
> Когда NFS кучу лет в ядре и с уязвимостями — это нормально.

Да блин, понаделали суперсложных протоколов с более 9000 опций, потом жалуются что без вулнов накодить это не получается. Там бы депрекейтнуть к хренам старые диалекты и всякую нужную раз в год опциональщину... но любители совместимости с MSDOS 1.0 взвоют же :\

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

80. Сообщение от пох. (?), 24-Май-23, 20:17   +2 +/
Это как раз стопроцентно поможет - распутать все закорючки и правильно ублажить клиппи он точно один не потянет. Даже если просто будет переписывать уже написанное, как хрустишки любят.

Нет кода - нет уязвимостей, шах и мат вам, немодные сишники!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78 Ответы: #92

81. Сообщение от лютый арчешкольник (?), 24-Май-23, 20:20   +2 +/
>почему эта бредятина по умолчанию включена во всех настольных дистрах

галоперидолу выпей ) ссылки из новости же. арчеводская вообще 404, RHEL:
No Red Hat products are affected by this flaw, as the ksmbd code is not included in any shipping
kernel release.

lsmod|grep ksmbd

пусто.
кричи дальше как всё плохо

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

82. Сообщение от Аноним (82), 24-Май-23, 20:25   –2 +/
> modprobe ksmbd.ko

копыто-лицо

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #84

83. Сообщение от Аноним (83), 24-Май-23, 20:39   +/
Его дело - сделать свистоперделки. А вы возьмёте. Ибо бесплатно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

84. Сообщение от soarin (ok), 24-Май-23, 20:41   +1 +/
сути не меняет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82

85. Сообщение от Sw00p aka Jerom (?), 24-Май-23, 21:24   +/
>Авторами кода ksmbd являются Namjae Jeon из компании Samsung и Hyunchul Lee из LG

Чему удивляться то?

Ответить | Правка | Наверх | Cообщить модератору

86. Сообщение от Аноним (86), 24-Май-23, 21:39   +/
ФФ сначала перепиши.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

87. Сообщение от Аноним (86), 24-Май-23, 21:40   +/
Им можно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

88. Сообщение от kusb (?), 24-Май-23, 21:52   +6 +/
Большинству людей не нужна самба в контексте ядра.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78 Ответы: #94

89. Сообщение от pda (ok), 24-Май-23, 22:34   +/
Запихнули самбу в ядро...
Ответить | Правка | Наверх | Cообщить модератору

92. Сообщение от Аноним (-), 24-Май-23, 23:10   +2 +/
> Нет кода - нет уязвимостей, шах и мат вам, немодные сишники!

Ну не, тут так не прокатит. Видишь ли, самсунг - галера. При том в данном случае охреневшая настолько что 1 гребцу дали 2 галеры и предложили единолично рулить этим флотом "как угодно, но плыть должно - и в порт должно прибыть еще вчера".

При том вот тут их интересует именно приплытие, именно 2 галер, именно в порт назначения. Они просто не дадут денег если ядерного smb не будет - они гаджеты делают и кодер не для красоты. С F2FS аналогично, кстати. Поэтмоу вон те, с шах и матом, пойдут изучать портовых чау-чау на вкус. По принципу "что поймаешь то и завтрак". Потому что самсунг с галеры негодного гребца прямо в море выбросит и глазом не моргнет. Так что до поимки завтрака еще и плыть сперва придется.

Почему от такой конторы вкалывает по сути 1 тушка галерщика - кто их там знает. Ну вот наверное как-то умудряются через хитрую систему рычагов сделать чтобы 1 чувак сразу на 2 галеры греб. А то что плывет медленно и кривовато... ну плывет же как-то, да?! А чтоб вовремя в порт прибыло, будет по 16 часов грести. Или даже 20.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80

93. Сообщение от Аноним (-), 25-Май-23, 02:09   –2 +/
> Дебиан как обычно торт. Самый надежный и безопасный :)

Если в ядре нет фичи, то и вулнов в ней тоже нет. С этой точки зрения линукс версии 0.1 еще лучше. В общем если ваш торт окаменел, ему никакие вредители не страшны.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

94. Сообщение от EULA (?), 25-Май-23, 05:16   +5 +/
Трудно представить, кому она вообще нужна в контексте ядра.
Даже мелкомягкие до такой дичи не дошли - держат отдельным сервисом, который можно безопасно для ОС выключить. Они и клиента от ядра держат подальше.
Не знаю, чё курил Торвальдс, когда принимал этот модуль в ядро, но дурь была стрёмная.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88

95. Сообщение от penetrator (?), 25-Май-23, 06:14   +/
самсунг делает дерьмовый софт, и многое аутсорсит, а корпоративные стандарты качества ниже плинтуса, и по железу тоже, у них передовой получается только кремний, все остальное мимо - уровня дешманского китая
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

97. Сообщение от Аноним (97), 25-Май-23, 08:12   +/
Никогда не обновлять ядро и apt purge samba*
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #101

100. Сообщение от xrensgory (ok), 25-Май-23, 11:20   +/
Да, действуй
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

101. Сообщение от ivan_erohin (?), 25-Май-23, 18:10   +1 +/
mplayer почему-то зависит от libsmbclinet.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97

102. Сообщение от Аноним (-), 25-Май-23, 20:26   +/
> Да уж, лучше бы набрали профессианалов на Расте.

В самсунг то? Хрустики не очень привычны шпарить в режиме галеры, часов по 12 в день, это не хвастовство разводить а давай-давай-давай, и если с перфомансом что не так или еще вчера не работает - со всеми более 9000 фич, между прочим - тогда никакой раст тебе не поможет, уволят с треском. А в южной корее мест для работы не так уж много а вот желающих на теплое место с хорошей зарплатой и не особо тупых - есть.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

103. Сообщение от dannyD (?), 26-Май-23, 07:04   +1 +/
>>Дебиан как обычно торт.

я бы сказал пряник.

пряник - съедобный камень, перед употреблением размачиваемый в молоке.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

104. Сообщение от Аноним (97), 26-Май-23, 13:01   –1 +/
Чел, по большому счёту большинство зависимостей искусственны, ну вот например в openbox притянули зависимость urw-fonts, а obmenu вообще удалили.
Ответить | Правка | Наверх | Cообщить модератору

106. Сообщение от Neon (??), 28-Май-23, 06:03   +/
С какого перепугу "Нелицеприятный" означает "беспристрастный" ?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #107

107. Сообщение от n00by (ok), 28-Май-23, 07:42   +/
Научитесь уже пользоваться поисковиком, перед тем как что-то писать на _техническом_ портале.

Отвечает Есения Павлоцки, лингвист-морфолог, эксперт института филологии, массовой информации и психологии Новосибирского государственного педагогического университета.

Очень редко можно встретить именно правильное употребление этого слова в соответствии с его настоящим значением.

Слово «нелицеприятный» является устаревшим. На плаву его держит только то, что его значение было переосмыслено носителями языка и «освежилось». На самом деле оно происходит от слова «лицеприятие».

Лицеприятие — это пристрастное отношение к кому или чему-либо в угоду какому-либо заинтересованному в деле лицу. А нелицеприятный — значит беспристрастный; открытый; не имеющий целью угодить какому‑либо лицу.

Такое значительное расхождение в старом и новом, переосмысленном значении слова объясняется очень просто. Слово «лицеприятие» давно устарело. Оно больше не употребляется, и его значение быстро стерлось из памяти людей. А приставка не в производном слове «нелицеприятный» срослась с корнем слова – так мы получили такое же прилагательное, как неуклюжий и нелепый – слов «уклюжий» и «лепый» в современном русском языке не существует.

После этого стерлось и устарело его прежнее значение – беспристрастный, открытый. Но само слово не устарело, поскольку значение было переосмыслено на основе значений современных слов, прослеживающихся в его составе. Новое лексическое значение было сконструировано так: нелицеприятный – ‘неприятный лицом’ или ‘неприятный для лица’.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру