|
|
|
|
5.139, Аноним (-), 14:46, 23/02/2017 [^] [^^] [^^^] [ответить]
| –2 +/– |
патчи к ядру 2 дня назад если не 3 вышли в убунте. насчет лайпатча не знаю...я настроил его, но накатил простой апдэйт ядра ;)
| |
|
|
|
2.293, Аноним (-), 16:41, 25/02/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Опять админы будут ядра обновлять вместо раскладок =(
плохие админы - будут.
Хорошие сделают rm 'locate dccp.ko' вместо предложенной диверсии с модулем (учтите, удалит не только dccp.ko ;-) но это полезно)
У отличных неиспользуемые в продакшн протоколы вообще не имеют шанса быть "автоматически загруженными".
То есть правильный заголовок этой статьи - "в очередном ненужно обнаружена очередная дыра".
| |
2.317, anonymous (??), 14:10, 27/02/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Опять админы будут ядра обновлять вместо раскладок =(
Заблеклистят dccp и дальше спать пойдут, в новости даже указано как. Обновлять пойдут только те 3,5 человека, кто его использует.
| |
|
|
2.4, A.Stahl (ok), 21:33, 22/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
Во-первых "в Расте" ничего нет и ничего не будет (ну кроме пары утилит уровня ping и сотни-другой плееров).
Во-вторых ошибка чисто логическая и от языка не зависит: игнорировался флаг.
| |
|
3.14, Аноним (-), 22:11, 22/02/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
На расте уже напилено не так уж и мало, в частности куски ФФ отдельные
Что до второго вашего утверждения ... Вы уверены, что понимаете о контекст?
| |
|
4.21, A.Stahl (ok), 22:22, 22/02/2017 [^] [^^] [^^^] [ответить]
| –3 +/– |
>напилено не так уж и мало, в частности куски
Да, куски. Это, конечно же, немало...
| |
|
|
6.39, xndr (?), 23:08, 22/02/2017 [^] [^^] [^^^] [ответить]
| –3 +/– |
Какая разница? Всё равно в конце будет кривой мультипроцессорный франкенштейн без поддержки нормальных аддонов.
| |
|
7.45, Аноним (-), 23:24, 22/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
Какие ваши альтернативы?
Именно рад того, чтобы перейти с франкенштейна на что-то нормальное все и затеяли.
А аддоны будут.
| |
|
|
|
4.234, Аноним (-), 19:55, 24/02/2017 [^] [^^] [^^^] [ответить]
| –2 +/– |
> На расте уже напилено не так уж и мало, в частности куски
ФФ сам - кусок.
| |
|
3.83, Аноним (-), 08:10, 23/02/2017 [^] [^^] [^^^] [ответить]
| +5 +/– |
вы вроде позиционируете себя как компетентного специалиста, а написали полную лажу. Rust создан для устранения "логических ошибок" именно такого рода.
Память освобождается не посредством вызова специальной функции, а при выходе из блока, владеющего переменной. Попытка определить для переменной больше чем одного владельца приведет к ошибке компиляции, таким образом никакого "двойного освобождения" там не может быть в принципе.
| |
|
4.236, Аноним (-), 19:59, 24/02/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
rust позиционируется как инструмент для того чтобы хайпстеры могли перписывать и когда перепишут все с питона на го. к счастью эти люди не пишут ядро линукса.
| |
|
5.264, Led (ok), 22:59, 24/02/2017 [^] [^^] [^^^] [ответить]
| +3 +/– |
> rust позиционируется как инструмент для того чтобы хайпстеры могли перписывать и когда
> перепишут все с питона на го. к счастью эти люди не
> пишут ядро линукса.
К счастью, те, кто "пишут ядро линукса", - не твои одноклассники.
| |
|
|
|
2.41, мегааноним_ (?), 23:09, 22/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
>А в расте не должно быть такого же?
В расте конкретно эта уязвимость очень маловероятно,
потому что если отдали владение, то drop естественно не вызовется.
| |
|
3.59, Вареник (?), 00:50, 23/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
>>А в расте не должно быть такого же?
> В расте конкретно эта уязвимость очень маловероятно,
> потому что если отдали владение, то drop естественно не вызовется.
В свое время апологеты Java уверяли что контроль языка над памятью спасут от уязвимостей с памятью и иньекций кода. Пока десятки remote уязвимостей не всплыли. Заделать нектороые которые до них пор все не получается. т.к. нарушится обратная API совместимость.
| |
|
4.196, Лютый жабист__ (?), 10:29, 24/02/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
в Инете полно вебсерверов под 'дырявой жабой', например налоговая егрюл раздаёт tomcat-ом. Вытащи эти данные, пиши где скачать, с меня 100 кусков.
| |
|
5.261, Led (ok), 22:53, 24/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
> в Инете полно вебсерверов под 'дырявой жабой'
Да, специально для дырявых жабистов.
| |
|
|
|
2.58, Вареник (?), 00:46, 23/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
Школота думает что трехкратное повторение магического слова "безопасность" спасает от логических ошибок и их поиска.
| |
2.163, Z (??), 19:56, 23/02/2017 [^] [^^] [^^^] [ответить] | +2 +/– | Rust бывает двух видов безопасный и небезопасный Небезопасный дает какие-то гар... большой текст свёрнут, показать | |
|
3.183, Аноним (-), 21:14, 23/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
Благодарю, отличное резюме, но вот с
> Ну и до кучи Rust - это язык выходного дня, на котором пишут хобби проекты
уже немного не согласен.
Это начинает выходить за пределы хобби.
Сингапур для своих сервисов принимает Rust и Ruby в качестве языков разработки. Они там мини биржу устроили для своих задач..
| |
|
4.185, Z (??), 22:05, 23/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Это начинает выходить за пределы хобби.
Мне самому интересно, как Rust себя покажет на коммерческих задачах. Сейчас я вижу лишь флеймы на форумах, где фанаты Rust утверждают, что он гарантирует какую-то безопасность, хотя на самом деле он лишь гарантирует, что небезопасный код будет специальным образом помечен и Мозилловский проект, который они на Rust пишут много лет, хотя уже есть работающий вариант, гораздо быстрее написанный на C++.
> Сингапур для своих сервисов принимает Rust и Ruby в качестве языков разработки. Они там мини биржу устроили для своих задач..
На Хаскеле и Ди тоже есть вакансии и кучи фанатов, но они по сути так и остались языками выходного дня для хобби проектов. Так что посмотрим, станет ли Rust языком для коммерческой разработки.
| |
|
|
|
1.6, IB (?), 21:47, 22/02/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –7 +/– |
Нуу, это уязвимость из серии rowhammer.
Если звёзды сойдутся после того как рак свиснет
| |
|
2.7, sabakka (?), 21:55, 22/02/2017 [^] [^^] [^^^] [ответить]
| +8 +/– |
"Обнаруживший уязвимость исследователь сообщил о создании рабочего эксплоита"
| |
|
3.56, Читающий внимательно (?), 00:34, 23/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
Уязвимость проявляется только в ядрах, собранных с опцией CONFIG_IP_DCCP, которая почти во всех дистрибутивах включена по умолчанию.
| |
|
|
|
|
Часть нити удалена модератором |
|
|
|
|
|
|
1.9, Аноним (-), 22:03, 22/02/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
>Проблема вызвана двойным освобождением блока памяти в функции dccp_rcv_state_process (net/dccp/input.c)
Вот интересно, а почему же статические анализаторы Coverity Scan и PVS-Studio не выявили это?
| |
|
2.23, Аноним (-), 22:25, 22/02/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
Потому что полностью статически проанализировать си практически невозможно.
| |
2.31, кельвин (?), 22:51, 22/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
когда они начнут такое выявлять, то они и написать ядро с нуля смогут..
| |
2.60, Вареник (?), 00:54, 23/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
>>Проблема вызвана двойным освобождением блока памяти в функции dccp_rcv_state_process (net/dccp/input.c)
> Вот интересно, а почему же статические анализаторы Coverity Scan и PVS-Studio не
> выявили это?
Это не "типичная ошибка", на которые есть правила. Как они статически проверят всю логику, разбросанную в разных местах (там не тот флаг поставили, в другом месте его не проверили и т.д.)?
| |
|
3.65, qsdg (ok), 01:41, 23/02/2017 [^] [^^] [^^^] [ответить]
| –3 +/– |
>>>Проблема вызвана двойным освобождением блока памяти в функции dccp_rcv_state_process (net/dccp/input.c)
>> Вот интересно, а почему же статические анализаторы Coverity Scan и PVS-Studio не
>> выявили это?
> Это не "типичная ошибка", на которые есть правила. Как они статически проверят
> всю логику, разбросанную в разных местах (там не тот флаг поставили,
> в другом месте его не проверили и т.д.)?
Отоого что ядро -- монолит.
| |
|
4.97, Анонимм (??), 09:50, 23/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
Не совсем от того, то да, микроядерная структура реально бы позволила избегать опасности выдачи рута кому ни попадя из-за подобных ошибок (которые всегда есть).
| |
|
|
|
1.10, Анонимм (??), 22:07, 22/02/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
ubunta 16.04:
$ grep DCCP /boot/config-4.4.0-64-lowlatency
CONFIG_NF_CT_PROTO_DCCP=m
CONFIG_NF_NAT_PROTO_DCCP=m
CONFIG_NETFILTER_XT_MATCH_DCCP=m
CONFIG_IP_DCCP=m
CONFIG_INET_DCCP_DIAG=m
# DCCP CCIDs Configuration
# CONFIG_IP_DCCP_CCID2_DEBUG is not set
# CONFIG_IP_DCCP_CCID3 is not set
# DCCP Kernel Hacking
# CONFIG_IP_DCCP_DEBUG is not set
CONFIG_NET_DCCPPROBE=m
Ничё не включено по умолчанию.
| |
|
2.11, Анонимм (??), 22:08, 22/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
4.4.0-64 - это уже поправленное,
но и в 4.4.0-63 с уязвимостью - то же самое, только модулями.
| |
|
3.34, Аноним (-), 22:59, 22/02/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
> но и в 4.4.0-63 с уязвимостью - то же самое, только модулями.
Этого достаточно, модуль DCCP автоматически загружается.
| |
|
4.50, Анонимм (??), 23:51, 22/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
>> но и в 4.4.0-63 с уязвимостью - то же самое, только модулями.
> Этого достаточно, модуль DCCP автоматически загружается.
Так и подозревал, искал даже пример с этими сокетами попробовать - не нашёл
но и успокоился (уже обновился).
| |
|
|
2.18, Нанобот (ok), 22:17, 22/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
при создании dccp-сокета модуль сам загружается (специально проверил)
| |
2.25, backbone (ok), 22:31, 22/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
> ubunta 16.04:
> Ничё не включено по умолчанию.
Gentoo, аналогично :)
sudo zgrep DCCP /proc/config.gz
# CONFIG_NF_CT_PROTO_DCCP is not set
# CONFIG_NETFILTER_XT_MATCH_DCCP is not set
# CONFIG_IP_DCCP is not set
| |
|
3.28, Я. Р. Ош (?), 22:38, 22/02/2017 [^] [^^] [^^^] [ответить]
| –9 +/– |
> sudo zgrep DCCP /proc/config.gz
засирать память конфигом ядра, который и так доступен (/usr/src/linux/.config)?
фу, фу таким быть
| |
|
4.30, backbone (ok), 22:45, 22/02/2017 [^] [^^] [^^^] [ответить]
| +3 +/– |
>> sudo zgrep DCCP /proc/config.gz
> засирать память конфигом ядра, который и так доступен (/usr/src/linux/.config)?
> фу, фу таким быть
/usr/src/linux/.config может не соответствовать конфигу загруженного ядра в результате экспериментов с make menuconfig, удаления, работы указанного эксплойта, etc, хотя шутка хорошая для объёмов памяти в 2017 :)
| |
4.49, Анонимм (??), 23:48, 22/02/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> sudo zgrep DCCP /proc/config.gz
> засирать память конфигом ядра, который и так доступен (/usr/src/linux/.config)?
> фу, фу таким быть
Это генту, смирись.
Там чтоб конфиг кастомного своего ядра не потерять, нужно лио гит репу,
либо вот так, в памяти держать. Много лет с ней проо... возился
| |
|
5.67, Аноним (-), 03:07, 23/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
Наркоман что ли. Отключаемая опция ведра. И расскажи зачем ее держать именно там что бы не потерять.
| |
|
6.100, Анонимм (??), 10:00, 23/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Наркоман что ли. Отключаемая опция ведра. И расскажи зачем ее держать именно
> там что бы не потерять.
Да уже ж рассказал - чтоб не потерять.
Читать не умеешь?
А что значит потерять конфиг ядра на генте - ну это нужно прочувствовать самому,
а не в наркоманы других записывать. Да, там единственный способ поставить ядро - это собрать его самому, а для этого нужен конфиг, который лежит в дире исходников, которые всё время перетусовываются при обновлениях. Вобщем, если интересно - ставь генту и поживи с этим. Поймёшь кто наркоман.
| |
|
7.107, Perlovka (ok), 10:59, 23/02/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
Потерять в генте конфиг ядра - это надо таки сильно упорoться. Так что увы, тут понятно, кто наркоман =)
| |
7.119, Аноним (-), 12:42, 23/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
Сильно тебе /proc/config.gz от "перетусовывания" поможет если ты разные ведра в одной директории собираешь зачем-то или там от make mrproper. Оно не для этого.
make install кстати конфиг собраного ведра в boot кладет.
| |
|
|
5.73, Аноним (-), 07:14, 23/02/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
Я у себя держу в укромном месте конфинг на всякий случай, и не гентушник, ага. В чём моя проблема?
| |
|
6.99, Анонимм (??), 09:54, 23/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Я у себя держу в укромном месте конфинг на всякий случай, и
> не гентушник, ага. В чём моя проблема?
Я тоже уже давно не гентушник.
Перечитай мой пост ещё раз.
В месте про гит репу для конфига, чтоб ненароком его не потерять.
| |
|
|
4.132, XoRe (ok), 14:09, 23/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
>> sudo zgrep DCCP /proc/config.gz
> засирать память конфигом ядра, который и так доступен (/usr/src/linux/.config)?
> фу, фу таким быть
Экономите 60кб памяти? Серьёзно? Посмотрите, сколько у вас gui занимает.
| |
4.186, Z (??), 22:13, 23/02/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
А ты уверен, что конфиг, который включен в ядро, реально находится в памяти, а не включен в образ ядра, но не загружен в память?
| |
|
|
2.140, Аноним (-), 14:50, 23/02/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
>[оверквотинг удален]
> CONFIG_NETFILTER_XT_MATCH_DCCP=m
> CONFIG_IP_DCCP=m
> CONFIG_INET_DCCP_DIAG=m
> # DCCP CCIDs Configuration
> # CONFIG_IP_DCCP_CCID2_DEBUG is not set
> # CONFIG_IP_DCCP_CCID3 is not set
> # DCCP Kernel Hacking
> # CONFIG_IP_DCCP_DEBUG is not set
> CONFIG_NET_DCCPPROBE=m
> Ничё не включено по умолчанию.
речь идет о стандартных generic ядрах
| |
|
1.12, anomymous (?), 22:09, 22/02/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +8 +/– |
Задрал этот DCCP, точнее, его реализация. Выкиньте его из ядра наконец уже в отдельный проект. Кому очень надо - соберут ядро сами.
| |
|
|
3.38, anomymous (?), 23:06, 22/02/2017 [^] [^^] [^^^] [ответить]
| +3 +/– |
> Стоит паниковать, потому что весь мир идёт семимильными шагами к ipv6
Может хоть в задницу идти семимильными шагами, интересен ответ на конкретный вопрос...
| |
3.74, Аноним (-), 07:16, 23/02/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Стоит паниковать, потому что весь мир идёт семимильными шагами к ipv6
Смешная шутка. Даже мой провайдер, один из крупнейших, до сих пор не осилил ipv6 до конца.
| |
|
|
5.85, anomymous (?), 08:43, 23/02/2017 [^] [^^] [^^^] [ответить]
| +3 +/– |
Ну вот я в ISP. Не в российском. IPv6 у нас номинально есть, для тех, кому очень надо. Тех, кому очень надо, среди компаний - менее 0.1%, среди физлиц - менее 0.001%. Причём примерно треть из таковых не в силах грамотно настроить под него свои системы.
Вот как-то так мир и идёт к IPv6. Точнее, IPv6 идёт к стадии "окончательно не взлетело".
| |
|
6.104, Анонимм (??), 10:15, 23/02/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Вот как-то так мир и идёт к IPv6. Точнее, IPv6 идёт к
> стадии "окончательно не взлетело".
Лет 10 назад и того не было.
А почему Вы решили, что скорость внедрения должна быть в стиле распространению новости вконтактике?
И если нет другой альтернативы (а её нет) - то IPv6 всё так же набирает обороты.
Софт готов давно, найти провайдера, который предоставит IPv6 сетку - вполне возможно.
Ещё раз: 10 лет назад это было невозможно.
| |
|
7.123, amonymous (?), 13:11, 23/02/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
Софт готов давно. Найти провайдера тоже возможно, с большим трудом, но возможно.
Проблема в одном: не нужно.
Протоколу почти 30 лет, а он всё так же академичен, как и на старте.
| |
|
|
5.89, Аноним (-), 09:00, 23/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Все должны на тебя равняться?
Ты перепутал ветку. Разговор о том, что ipv6 есть у < 1% провайдеров.
| |
|
|
|
2.43, Ilya Indigo (ok), 23:20, 22/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
Мне вот тоже интересно, актуальна ли уязвимость если ядру при загрузке передаётся "ipv6.disable=1"?
И уязвимость позволяет "получить" root, или "повысить" до root?
| |
|
|
2.29, Я. Р. Ош (?), 22:42, 22/02/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
> То-то у нас так оперативно 4.9.11 и 4.4.50 собрали... (и да, CONFIG_IP_DCCP=m)
Зачем 4.4, если 4.9 - LTS?
Логично тогда и 4.1, который не упомянут, тоже поддерживать (Fourteenth LTS release, maintained from July 2015 to September 2017)
| |
|
3.33, кельвин (?), 22:55, 22/02/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> То-то у нас так оперативно 4.9.11 и 4.4.50 собрали... (и да, CONFIG_IP_DCCP=m)
> Зачем 4.4, если 4.9 - LTS?
> Логично тогда и 4.1, который не упомянут, тоже поддерживать (Fourteenth LTS release,
> maintained from July 2015 to September 2017)
так и для 4.1 поправили, но почему про него нужно обязательно говорить если тебе интересны только 4.4 и 4.9?
| |
3.137, Michael Shigorin (ok), 14:28, 23/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
>> То-то у нас так оперативно 4.9.11 и 4.4.50 собрали...
> Зачем 4.4, если 4.9 - LTS?
На 4.9 не спеша собираемся переезжать в качестве основного, а пока оно как следует обкатано в качестве "более нового".
| |
|
|
3.218, Vovka (??), 16:44, 24/02/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
"без малого десять лет тому по умолчанию dccp в альте запрещён"-грустно сказал разработчик дистра без релизов...
| |
|
4.228, Michael Shigorin (ok), 19:09, 24/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
> "без малого десять лет тому по умолчанию dccp в альте запрещён"-грустно сказал
> разработчик дистра без релизов...
Ага, за три недели до очередного квартального релиза, который мне и делать.
Возможно, Вы смотрите на altlinux.ru, где новостей почти год как не было -- гляньте на altlinux.org, точнее, на altlinux.org/releases :-)
А так у нас https://www.basealt.ru/about/news/archive/view/bazalt-spo-pervaja-rossiiskaja- и открыты вакансии разработчиков, если что.
| |
|
|
|
1.26, Я. Р. Ош (?), 22:34, 22/02/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
>CONFIG_IP_DCCP, которая почти во всех дистрибутивах включена по умолчанию
# grep CONFIG_IP_DCCP .config
# CONFIG_IP_DCCP is not set
| |
|
2.66, Аноним (-), 01:51, 23/02/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
CONFIG_IP_DCCP=m
lsmod | grep -i dccp
<пусто>
Сам себя он не включит, можно спать спокойно?
| |
|
3.75, Аноним (-), 07:17, 23/02/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Сам себя он не включит, можно спать спокойно?
Покуда не найдётся другая уязвимость, которая позволит включать модули ядра, которые потом получают рут.
| |
3.98, Анонимм (??), 09:52, 23/02/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
> CONFIG_IP_DCCP=m
> lsmod | grep -i dccp
> <пусто>
> Сам себя он не включит, можно спать спокойно?
Включит.
Когда нужен какой символ ведру, и он есть в модуле - то модуль загрузится.
/sbin/insmod ядро очень даже запускает самостоятельно (как и /sbin/init)
| |
|
4.146, Аноним (-), 16:15, 23/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
>> CONFIG_IP_DCCP=m
>> lsmod | grep -i dccp
>> <пусто>
>> Сам себя он не включит, можно спать спокойно?
> Включит.
> Когда нужен какой символ ведру, и он есть в модуле - то
> модуль загрузится.
> /sbin/insmod ядро очень даже запускает самостоятельно (как и /sbin/init)
Пруф?
| |
|
5.149, Анонимм (??), 16:19, 23/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
Не дам. Некогда искать.
Может, это моё заблуждение, но мне пока и так нормально.
Сомневающимся - можно просто удалить dccp.ko
| |
|
|
7.174, Анонимм (??), 20:41, 23/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Пустозвонить некрасиво :)
Где пустозвонство? Пруфы, что модуль не может быть загружен автоматом?
| |
|
|
|
|
|
|
|
2.76, Аноним (-), 07:18, 23/02/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Для Ubuntu Server 17.04 не актуально, у нас 4.10
А давай я ещё похвастаюсь, что в моём Debian Stretch в ядре 4.9 он не включён по умолчанию, поэтому тоже не актуально. Что дальше?
| |
|
1.35, Онаним (?), 23:04, 22/02/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Цитата из Вики:
"Протокол DCCP доступен в ядре Linux с версии 2.6.14 и УЛУЧШАЕТСЯ с каждым выпуском."
| |
|
2.37, anomymous (?), 23:05, 22/02/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
> "Протокол DCCP доступен в ядре Linux с версии 2.6.14 и УЛУЧШАЕТСЯ с
> каждым выпуском."
Кто знает хотя бы одно приложение, всерьёз его использующее?
| |
|
1.55, Анонимм (??), 00:28, 23/02/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
К слову о микроядре (и Таненбауме).
В нём бы подобное не было возможно в принципе. Все сетевые протоколы живут в отдельных процессах и их проблемы мало волнуют само микроядро.
Ни о каких рутовых привилегиях из-за кривизны в них - не может быть и речи.
| |
|
|
3.101, Анонимм (??), 10:06, 23/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Профессор, залогиньтесь.
И что будет? Вы аргументированно сможете ответить на мой посыл?
Так это можно и сейчас сделать. Попробуйте.
PS Минуснувшего тоже касается. Где аргументы?
| |
|
|
3.103, Анонимм (??), 10:08, 23/02/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
> миникс поставил ужо?
Кроме него уже давно много микроядер.
Но речь не об этом, а о том, что Линуху пора менять архитектуру.
Цена ошибки в каких-то левых модулях - неприемлемо высока.
| |
|
4.147, Аноним (-), 16:16, 23/02/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Но речь не об этом, а о том, что Линуху пора менять
> архитектуру.
Сразу видно, что дилетант. А теперь представь ситуацию, когда надо будет переписать ВСЁ ядро. Для справки скачай исходники и посмотри на размер.
| |
|
5.150, Анонимм (??), 16:25, 23/02/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> Но речь не об этом, а о том, что Линуху пора менять
>> архитектуру.
> Сразу видно, что дилетант.
https://www.opennet.me/openforum/vsluhforumID3/110507.html#311
> А теперь представь ситуацию, когда надо будет переписать ВСЁ ядро.
1. Не всё, хоть и весьма немало.
2. Оно же было написано? Было. Человечество смогло это сделать. Значит и сменить архитектуру сможет, когда поймёт, что это нужно.
| |
|
6.155, vi (ok), 17:21, 23/02/2017 [^] [^^] [^^^] [ответить] | +1 +/– | Недостаток 8212 плата за принудительное 171 переключение 187 процессов в ... большой текст свёрнут, показать | |
|
7.171, Анонимм (??), 20:25, 23/02/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
Принимается.
Но текущие процессы тоже приходится довольно часто переключать.
И, собсно, вопрос лишь баланса гемора: ремонта дыр в монолите на прод. серваках
или же один раз перенаписать в микроядро.
Впрочем, можем вернуться к собсно проблеме:
ошибки в левой пятке какого-то ненужного модуля ведут к локал руту.
Как иначе (если не через микроядерный путь) решить эту проблему в принципе?
| |
|
8.191, vi (ok), 00:07, 24/02/2017 [^] [^^] [^^^] [ответить] | –1 +/– | Я не великий специалист в строительстве ядер и драйверов Но жду как пользовате... текст свёрнут, показать | |
|
|
10.257, vi (ok), 22:03, 24/02/2017 [^] [^^] [^^^] [ответить] | –1 +/– | Мне необходимо, что бы все это было реализовано в железе Как например в свиче к... текст свёрнут, показать | |
|
|
12.259, vi (ok), 22:21, 24/02/2017 [^] [^^] [^^^] [ответить] | +1 +/– | Во первых Вы не обращайте на меня большого внимания, так как это мои любительск... большой текст свёрнут, показать | |
|
|
14.315, vi (ok), 13:40, 26/02/2017 [^] [^^] [^^^] [ответить] | +/– | Да, когда хочется просто плыть сплавляться по течению Но, Кто-то же должен,... большой текст свёрнут, показать | |
|
|
|
|
|
|
|
|
|
|
4.151, Michael Shigorin (ok), 16:45, 23/02/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> миникс поставил ужо?
> Кроме него уже давно много микроядер.
С каким из них Вы лично работали хотя бы как пользователь, лучше -- разработчик-прикладник? Что не ядерщик -- и так вижу даже я.
> Но речь не об этом, а о том, что Линуху пора менять архитектуру.
Форкните и меняйте потихоньку. Закончите в первом приближении -- выкладывайте и пишите анонс. А то все эти "пора менять" отдают юношеским максимализмом без малейшего понимания того, _как_ менять и куда, уж простите.
| |
|
5.166, Анонимм (??), 20:09, 23/02/2017 [^] [^^] [^^^] [ответить] | –1 +/– | А ещё я по утрам чищу зубы уже много лет и на ночь, к слову, тоже Обратите в... большой текст свёрнут, показать | |
5.168, Анонимм (??), 20:16, 23/02/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
> А то все эти "пора менять" отдают...
Ну так может у Вас есть какие прделожения по поводу того, что ошибки в левой пятке какого-то ненужного модуля ведут к локал руту?
Как иначе (если не через микроядерный путь) решить эту проблему в принципе?
| |
|
|
|
2.118, Аноним (-), 12:29, 23/02/2017 [^] [^^] [^^^] [ответить]
| +3 +/– |
> Ни о каких рутовых привилегиях из-за кривизны в них - не может быть и речи.
O сколь либо приличной производительности тоже.
Но кукаретикам это конечно же не интересно.
| |
|
3.127, Анонимм (??), 13:21, 23/02/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
> O сколь либо приличной производительности тоже.
Не факт, но это уже разговор. Что позитивно.
> Но кукаретикам это конечно же не интересно.
Не съежзайте с темы.
Есть вот, к примеру, QNX ОСь с микроядром (https://en.wikipedia.org/wiki/QNX)
И там даже иксы живут.
Возможно ли говорить о том, что есть ниша, где безопасность и надёжность стоит в большем приоритете, и покрывается достаточной мощностью железа?
| |
|
2.136, Michael Shigorin (ok), 14:26, 23/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
> В нём бы подобное не было возможно в принципе. Все сетевые протоколы
> живут в отдельных процессах и их проблемы мало волнуют само микроядро.
> Ни о каких рутовых привилегиях из-за кривизны в них - не может быть и речи.
Гладко было на бумаге, а на местности всё та же быстро растущая сложность взаимодействия серверов, как только выходим за пределы детсада. Сперва рассказываете вот такие байки, затем, может, наконец сами немножко хоть пощупаете это всё -- и станет стыдно, что невольно вводили людей в заблуждение...
PS: s/рассказываете/пересказываете/
| |
|
3.144, Анонимм (??), 15:55, 23/02/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
Эмоции и пустые обвинения.
Факты? Что не так?
Есть QNX и вполне себе востребована.
Иксы на них есть.
| |
3.223, Анонимм (??), 18:08, 24/02/2017 [^] [^^] [^^^] [ответить] | –1 +/– | Посчупал чуток миникс3 в виртуалке Ну что, живёт Прибиваешь драйвер чего-то п... большой текст свёрнут, показать | |
|
|
5.269, Анонимм (??), 01:08, 25/02/2017 [^] [^^] [^^^] [ответить] | –1 +/– | Это поправимо Хуже, когда ошибки в дизайне архитектуры впрочем, они тоже поп... большой текст свёрнут, показать | |
|
|
|
2.141, Аноним (-), 15:07, 23/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
А микроядра уже готовы к десктопу? А то просто так ядро бз поддержки железа не интересно.
| |
|
3.145, Анонимм (??), 15:56, 23/02/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
Если бы микроядро не было готово к десктопу - то Xorg приходилось бы запускать
insmod'ом
| |
3.148, Аноним (-), 16:19, 23/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
> А микроядра уже готовы к десктопу? А то просто так ядро бз
> поддержки железа не интересно.
Железо то они может и поддерживают, другое дело, где реальная система для x86 основанная на микроядре и делающая тоже самое, что делает сейчас Linux? Вот был Hurd, но что-то его никто не пилит. Почему бы это?
| |
|
|
1.61, KM (?), 00:57, 23/02/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
"Проблема остаётся неисправленной в ... openSUSE, SUSE."
"openSUSE-SU-2017:0541-1: An update that solves four vulnerabilities and has 16 fixes is now available.
Category: security (important)
Bug References: 1012382,1018100,1019168,1020048,1021082,1022181,1022304,1023762,1023884,1023888,1024081,1024234,1024508,1024938,1025235,1026024,969479,982783,989056,998106
CVE References: CVE-2017-5897,CVE-2017-5970,CVE-2017-5986,CVE-2017-6074
Sources used:
openSUSE Leap 42.2 (src): kernel-debug-4.4.49-16.1, kernel-default-4.4.49-16.1, kernel-docs-4.4.49-16.2, kernel-obs-build-4.4.49-16.1, kernel-obs-qa-4.4.49-16.1, kernel-source-4.4.49-16.1, kernel-syms-4.4.49-16.1, kernel-vanilla-4.4.49-16.1"
k_mikhail@linux-mk500:~> uname -r
4.4.49-16-default
не понял, что именно не исправлено? Или при написании "новости" ориентировались на статус IN_PROGRESS репорта в багзилле?
| |
1.69, Аноним (-), 06:25, 23/02/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
LinuxMint 17.3
$ grep CONFIG_IP_DCCP .config
CONFIG_IP_DCCP=m
# CONFIG_IP_DCCP_CCID2_DEBUG is not set
# CONFIG_IP_DCCP_CCID3 is not set
# CONFIG_IP_DCCP_DEBUG is not set
| |
1.70, Аноним (-), 07:02, 23/02/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Похоже они знали :)
https://benchmarks.cisecurity.org/tools2/linux/cis_red_hat_enterprise_linux_7_
=======================================================
Description:
The Datagram Congestion Control Protocol (DCCP) is a transport layer protocol that supports streaming media and telephony. DCCP provides a way to gain access to congestion control, without having to do it at the application layer, but does not provide in-sequence delivery.
Rationale:
If the protocol is not required, it is recommended that the drivers not be installed to reduce the potential attack surface.
Remediation:
# echo "install dccp /bin/true" >> /etc/modprobe.d/CIS.conf
=========================================
| |
|
2.106, Анонимм (??), 10:59, 23/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
Всё познаётся в сравнении. На фоне мягкого стула - конечно безопасно.
А по поводу анб - а что, есть доказательства, что ошибки девелоперов - это их рк дело?
(ну прям как проигрыш хилой на выборах в пиндостане - дело рук "русских хакеров")
| |
|
|
Часть нити удалена модератором |
|
|
|
1.82, openuser714 (?), 08:00, 23/02/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Временное решение для Red Hat/CentOS/...
----------------------
Mitigation
Recent versions of Selinux policy can mitigate this exploit. The steps below will work with SElinux enabled or disabled.
As the DCCP module will be auto loaded when required, its use can be disabled
by preventing the module from loading with the following instructions.
# echo "install dccp /bin/true" >> /etc/modprobe.d/disable-dccp.conf
The system will need to be restarted if the dccp modules are loaded. In most circumstances the dccp kernel modules will be unable to be unloaded while any network interfaces are active and the protocol is in use.
----------------------
https://access.redhat.com/security/cve/CVE-2017-6074
| |
1.133, andrcmdr (?), 14:15, 23/02/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=5ed
Как вы можете заметить по коду патча, использование оператора goto всё ещё в моде в исходниках на Си при реализации драйверов, модулей ядра и сетевых протоколов, не смотря на критику goto и создание структурной парадигмы Эдсгером Дейкстрой, Никлаусом Виртом и Чарльзом Хоаром ещё в конце 60-х годов прошлого века!
Этот случай показывает насколько тривиальны ошибки потока управления и смены привелегий, насколько просто их допустить при программировании с ручным управлением памятью, и какова их цена и масштаб в mission critical системах.
| |
|
2.135, Анонимм (??), 14:23, 23/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
(на всякий: я не сторонник goto и не помню даже когда его пользовал)
> не смотря на критику .... ещё в конце 60-х годов прошлого века!
Удивили. Люди творят до сих пор всякую ерунду, вредность которой другие люди уже давно и чётко расписали.
Стереотипы.
> Этот случай показывает насколько тривиальны ошибки потока управления и смены привелегий,
> насколько просто их допустить при программировании с ручным управлением памятью, и
> какова их цена и масштаб в mission critical системах.
Хорошо.
Тогда, с Вашего позволения, задам и Вам вопрос по микроядерной структуре. Спопобна ли она улучшить ситуацию с безопасностью ядра из-за вот таких ошибках в совершенно левых модулях?
| |
|
3.156, andrcmdr (?), 18:17, 23/02/2017 [^] [^^] [^^^] [ответить] | –1 +/– | Микроядро породит неизбежные проблемы IPC взаимодействия между процессами, что б... большой текст свёрнут, показать | |
|
4.177, Аноним (-), 20:58, 23/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
> настоящему системный, с прямым и безопасным! доступом к памяти, благодаря умным
> runtime указателям и деструкторам, которые подчищают неиспользуемую программно память,
> используя подсчёт ссылок и представлены как типы данных в языке, т.е.
> указатели типизированные! и всего их два вида,
Палишься. Используются владения, заимствования и время жизни. А подсчетом ссылок даже питонщиков не удивишь.
Но вброс был неплох.
| |
4.188, Анонимм (??), 22:51, 23/02/2017 [^] [^^] [^^^] [ответить] | –2 +/– | О, первый внятный ответ Счас что просто переключить окно в иксах - столько всег... большой текст свёрнут, показать | |
|
5.193, Аноним (-), 05:08, 24/02/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
Аргументация на уровне ПТУ. То, что на опеннете пачка фанбоев линукс годами вопила "линукс - это круто, стильно, модно" это тоже туфта была, да? Нужно же было реально оценивать все + и - всех подходов, да, родной?
| |
|
6.208, Michael Shigorin (ok), 13:22, 24/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Аргументация на уровне ПТУ. То, что на опеннете пачка фанбоев линукс годами
> вопила "линукс - это круто, стильно, модно" это тоже туфта была, да?
Да. И им, как и фанбоям фри (или отдельно взятых слаки, генты, арчика, убунточки -- особенно после выхода очередной книжки или очередной тогда ещё бесплатной рассылки дисков) это некоторые из нас терпеливо или не очень объясняли.
> Нужно же было реально оценивать все + и - всех подходов, да, родной?
Это свойственно специалистам или хотя бы просто людям честным, но никак не тем, кто ведётся на "круто".
| |
|
|
|
|
2.143, anonymous (??), 15:52, 23/02/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
Documentation/process/coding-style.rst:
The rationale for using gotos is:
- unconditional statements are easier to understand and follow
- nesting is reduced
- errors by not updating individual exit points when making
modifications are prevented
- saves the compiler work to optimize redundant code away ;)
| |
2.180, Ordu (ok), 21:08, 23/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
> использование оператора goto всё ещё в моде в исходниках на Си при реализации драйверов, модулей ядра и сетевых протоколов, не смотря на критику goto и создание структурной парадигмы Эдсгером Дейкстрой, Никлаусом Виртом и Чарльзом Хоаром ещё в конце 60-х годов прошлого века!
Ты читал ту критику, или только слышал о ней? Вот сходи, почитай, и обоснуй что случаи использования goto в linux'е подпадают по аргументацию, приведённую Дейкстрой, Виртом и Хоаром. Будет очень интересно послушать.
| |
|
3.194, Аноним (-), 05:13, 24/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
Зря ты это написал, теперь тебе будут тыкать "сходи, почитай, и обоснуй". В этих ваших Интернетах нельзя отсылать оппонента к источнику с требованием доработать позицию, потому что он пошлёт тебя туда же. Стыдно об этом не знать.
| |
|
|
|
2.202, Адекват (ok), 12:39, 24/02/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
Круто, а рабочих эксплоитов сколько под винду есть и под линукс ?
Теоретически много чего можно, но что-то вот рабочих эксплоитов под винду я тут не припомню - только под линукс были.
| |
|
3.205, Michael Shigorin (ok), 13:07, 24/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Круто, а рабочих эксплоитов сколько под винду есть и под линукс ?
Вам на рынок.
> Теоретически много чего можно, но что-то вот рабочих эксплоитов под винду я
> тут не припомню - только под линукс были.
Вам, повторюсь, на целевые ресурсы. Крайне глупо судить о проблемах винды по сайту о свободных программах.
| |
|
4.207, Michael Shigorin (ok), 13:18, 24/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
>> Круто, а рабочих эксплоитов сколько под винду есть и под линукс ?
> Да, ещё верну удалённый толковый ответ слетевшему с катушек "гостю" -- вот из почты:
> ---
> Новое сообщение от 'Аноним84701' в форуме 'Разговоры, обсуждение новостей'
> Посмотреть: https://www.opennet.me/openforum/vsluhforumID3/110521.html#182
> Тема: Уязвимость в ядре Linux, позволяющая получить права root
А, уже вернули как #189 -- удалю дубль сейчас.
| |
|
5.214, Анонимм (??), 14:48, 24/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
> А, уже вернули как #189 -- удалю дубль сейчас.
Я не полный дубль выставил - в RSS не всё приезжает.
| |
|
6.219, Michael Shigorin (ok), 17:09, 24/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
>> А, уже вернули как #189 -- удалю дубль сейчас.
> Я не полный дубль выставил - в RSS не всё приезжает.
Достаточно полный, не влезло только предложение "Пусть количество примерное, но плюс-минус лапоть тут погоды не делают... Ой, да?"
| |
|
|
|
Часть нити удалена модератором |
7.256, Анонимм (??), 21:37, 24/02/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Пруфлинк есть? Или как всегда - слова и только?
В добавок к цитатам Аноним84701.
ht tps //privacy .microsoft .com/ru -r u/ privacystatement
"Платежные данные. Мы собираем данные, необходимые для обработки ваших платежей, когда вы делаете покупки, как, например, номер вашего платежного средства (кредитной карты) и защитный код, связанный с вашим платежным средством."
...
"Контакты и отношения. Мы собираем данные о том, с кем вы контактируете, и с кем поддерживаете отношения, если вы пользуетесь продуктами Майкрософт для управления контактной информацией, а также для связи и взаимодействия с другими людьми и организациями."
и там такого ещё мнооого....
Полюбопытсвуй, Гость, _ЧТО_ ты пиаришь (вдруг не вкурсе)
| |
|
|
5.266, Michael Shigorin (ok), 23:31, 24/02/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
>> Вам на рынок.
> Мишель! А аргументы есть или один ответ из методички на все случаи жизни?
Повторюсь, на своё хамство Вы будете получать всё меньше слов и всё больше строгости, по крайней мере от меня. И так -- пока не увижу вменяемости, а не попыток перекладывать со своей больной головы на мою относительно здоровую (и тем более других участников форума).
Ну и разговор не с Вами был. С Вами о проблемах винды говорить бесполезно, если пишете в интернете с winxp -- пусть жизнь учит.
| |
|
6.275, Гость (??), 14:44, 25/02/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
Холуев перестали таковыми считать в 1861 году. Если вы не уважаете собеседника и свою глупость отрицаете, то как можно уважать вас, а уже тем более - продуктивно что-то обсуждать?
| |
|
|
|
|
|
5.222, Анонимм (??), 17:37, 24/02/2017 [^] [^^] [^^^] [ответить]
| –2 +/– |
Ну вот кто б ещё так излил бы водицы на мельницу необходимости смены модели для Линуха на микроядро.
Спасибо, Адекват :)
| |
|
6.263, Michael Shigorin (ok), 22:59, 24/02/2017 [^] [^^] [^^^] [ответить]
| +/– |
> водицы на мельницу необходимости смены модели для Линуха на микроядро
...и хоть бы один технический аргумент...
| |
|
7.268, Анонимм (??), 00:53, 25/02/2017 [^] [^^] [^^^] [ответить]
| –3 +/– |
> ...и хоть бы один технический аргумент...
Да вон ниже некто Гость привёл достаточную подборку технических аргументов
под номерами CVE...
| |
|
|
9.272, Анонимм (??), 14:07, 25/02/2017 [^] [^^] [^^^] [ответить] | –1 +/– | Да, собсно, это очевидно, как по мне Далеко не будем ходить сабжевый CVE-2017-6... большой текст свёрнут, показать | |
|
|
|
|
|
|
5.230, Аноним (-), 19:27, 24/02/2017 [^] [^^] [^^^] [ответить] | +4 +/– | Что пожалуйста Это новости об уязвимостях, а не рабочие сплойты По количеств... большой текст свёрнут, показать | |
|
|
7.233, Аноним (-), 19:53, 24/02/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Для тебя комментарий 4.221
И что? Получается, что рабочие сплоиты есть и там и там.
А вот по количеству уязвимостей форточки лидируют с хорошим отрывом. Правда, далеко не все нравятся такие "лидеры рынка" =)
| |
|
|
7.279, Аноним (-), 15:16, 25/02/2017 [^] [^^] [^^^] [ответить] | +1 +/– | Вы не в курсе, что такое ядро Да и на сами уязвимости похоже не смотрели Под д... большой текст свёрнут, показать | |
|
|
|
|
|
|
|