The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимости в ядре Linux, затрагивающие nftables и модуль tcindex

08.07.2023 22:09

В ядре Linux выявлены три уязвимости:

  • CVE-2023-31248 - уязвимость в подсистеме Netfilter, позволяющая локальному пользователю выполнить свой код на уровне ядра. Проблема вызвана обращением к памяти после её освобождения (use-after-free) в модуле nf_tables, обеспечивающем работу пакетного фильтра nftables, из-за отсутствия должной проверки состояния цепочки во время обработки операции поиска в цепочке функцией nft_chain_lookup_byid, что не исключает возвращение ссылки на уже удалённую цепочку nf_tables.

    Для проведения атаки требуется наличие доступа к nftables, который можно получить при наличии прав CAP_NET_ADMIN в любом пространстве имён идентификаторов пользователей (user namespace) или сетевом пространстве имён (network namespace), которые могут предоставляться, например, в изолированных контейнерах. Уязвимость проявляется начиная с ядра 5.9 (вызвавший уязвимость код не был бэкпортирован в более ранние LTS-ветки ядер). Исправление проблемы пока доступно только в виде патча.

  • CVE-2023-35001 - уязвимость в модуле nf_tables, позволяющая локальному пользователю выполнить свой код на уровне ядра. Уявзимость вызвана некорректными манипуляциями с указателем при обработке выражений nft_byteorder , которые могут привести к обращению к области памяти за пределами конца массива. Для эксплуатации требуется наличие прав CAP_NET_ADMIN. Проблема проявляется начиная с ядра 3.13 и пока устранена только в форме патча.
  • CVE-2023-1829 - уязвимость в классификаторе трафика tcindex, входящем в состав подсистемы QoS (Quality of service) ядра Linux. Уязвимость позволяет локальному пользователю выполнить код с правами ядра Linux. Возможность эксплуатации уязвимости продемонстрирована в Ubuntu. Проблема вызвана отсутствием проверки существования объекта до выполнения операции по очистке связанной с ним памяти, что приводит к двойному вызову функции free(). Проблема решена через удаление модуля tcindex из ядра, начиная с ветки 6.3. В пакете с ядром для Ubuntu и Debian уязвимость устранена в апреле. В качестве обходного пути защиты можно запретить автоматическую загрузку модуля cls_tcindex, добавив файл /etc/modprobe.d/blacklist-tcindex.conf со строкой "blacklist cls_tcindex".


  1. Главная ссылка к новости (https://www.zerodayinitiative....)
  2. OpenNews: Уязвимости в Netfilter и io_uring, позволяющие повысить свои привилегии в системе
  3. OpenNews: Уязвимости в QoS-подсистеме ядра Linux, позволяющие поднять свои привилегии в системе
  4. OpenNews: Уязвимость в nftables, позволяющая повысить свои привилегии
  5. OpenNews: Локальная уязвимость в nftables, позволяющая повысить свои привилегии
  6. OpenNews: Уязвимость в подсистеме ядра Linux Netfilter
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/59409-nftables
Ключевые слова: nftables, kernel
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (91) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Анонимусс (?), 22:36, 08/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    > use-after-free
    > обращению к области памяти за пределами конца массива
    > приводит к двойному вызову функции free()

    Это же full house!

     
     
  • 2.4, ИмяХ (?), 22:56, 08/07/2023 [^] [^^] [^^^] [ответить]  
  • –8 +/
    Опять не настоящие подставные сишники устроились на работу, а потом роняют контору, написал вредноносный код. А потом "ой, мы ошиблись"
     
     
  • 3.7, пох. (?), 23:45, 08/07/2023 [^] [^^] [^^^] [ответить]  
  • +8 +/
    опять любители безопасТных язычков ничего написать не смогли кроме драйвера мигания светодиодиком, да и тот panic вызывает и использует кучу сишных деталек.

    Ну что ж ты будешь делать, опять придется пользоваться опастными и решать проблемы по мере поступления.

     
     
  • 4.8, Анонимусс (?), 23:56, 08/07/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Так они уже написали целый видеодравер.

    Печально другое. Любители дыряшки так и не научились считать размеры массивов!
    А оставшиеся тыщща глаз не смогли это заметить за последние 9 лет.
    Вот и приходится переписывать это все г. А написали его огого сколько...

     
     
  • 5.18, Аноним2 (?), 08:20, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Целый драйвер который никто не использует. Вон карго как только начали использовать, сразу дыры повылазили. А тут стоит на 90% линуксов (андройд не линукс) и только щас нашли.
     
  • 5.29, FF (?), 10:05, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Когда из карго прилетает 100500 пакетов, то ревьювить ещё легче, правда? Как node modules с желто-синими пост-скриптами
     
     
  • 6.37, Анонимусс (?), 10:56, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А это кстати вопрос. Что легче ревьювить:
    - 20 атомарных маленьких пакетов, по 1000 строк, каждому из которым можно бампнуть версию
    - или одну либу на 20000 строк, которая, при той же скорости добавления изменений, будет обновляться существенно чаще
    Что-то подсказывает что второй вариант существенно хуже.
     
     
  • 7.48, Sw00p aka Jerom (?), 12:56, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Что легче ревьювить

    зачем это пользователю?

    >или одну либу

    в чем проблема, когда есть разделение труда? 20 пакетов - 20 пар глаз на 1000 строк кода. В чем проблема, собирать параллельно их опыт, и автоматизировать процесс.

     
     
  • 8.50, Анонимусс (?), 13:03, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А при чем тут пользователи Большинство даже не знает что такое либа, пакет или ... текст свёрнут, показать
     
     
  • 9.91, Sw00p aka Jerom (?), 06:17, 10/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А кто либой пользуется Я напишу код, а тестировшики проверят, хрен вам Культур... текст свёрнут, показать
     
     
  • 10.97, Анонимусс (?), 10:48, 10/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Что-то мне кажется что мы о разных вещах говорим У меня либой пользуются разраб... большой текст свёрнут, показать
     
  • 6.53, Аноним (53), 15:14, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Никто тебе не мешает отобрать нужные тебе крейты (с иерархией :) ), скачать их локально, отревьюить их и использовать только проверенное (ты можешь указывать, откуда сборщику брать крейты). Совсем так же, как ты делаешь с используемыми тобой в своем проекте чужими сишными исходниками. И так же, как с чужими сишными исходниками, следить за обновлениями 100500 библиотек и перепроверять их будешь сам. Или ты никогда ничего чужого сишного в свои проекты не суешь, все велосипеды пишешь с нуля?
     
     
  • 7.58, FF (?), 16:18, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я использую си только в мелких проектах. В остальном Go или C++ (редко)
     
  • 7.59, FF (?), 16:20, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Хорошо, что так можно. На Го меня бесит перебивать через replace, банально когда надо доработать что-то, не пиная в свой репозиторий
     
  • 5.64, Аноним (64), 17:07, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот и приходится переписывать это все г. А написали его огого сколько...

    Поэтому переписывать на пару столетий хватит.


     
  • 4.24, Аноним (24), 09:59, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Пох как обычно в своём стиле - из программ на Rust тебе следует обратить внимание на Libreddit & Veloren.
     
     
  • 5.39, пох. (?), 11:06, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    о да, о да - это ненужное ненужно безусловно по сложности эквиваленты nftables. А не корявому скрипту на баше первое и я уж не знаю даже что из времен zx второе.

     
     
  • 6.41, Аноним_5 (?), 11:48, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Потому что nftables такое же ненужное ненужно. Были нормальные iptables, но нет, нужно было понаписывать...
     
     
  • 7.65, Аноним (64), 17:08, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Потому что nftables такое же ненужное ненужно. Были нормальные iptables, но нет,
    > нужно было понаписывать...

    Да как бы у iptables своих траблов хватало.

     
     
  • 8.94, ivan_erohin (?), 09:08, 10/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    например вангую экзотическую нагрузку и пограничные случаи, гже не ступала ног... текст свёрнут, показать
     
  • 3.17, Аноним (17), 08:08, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ведь настоящие, не подставные сишники таких ошибок никогда не сделают!
     
     
  • 4.23, Аноним (23), 09:58, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А настоящие безопастноязычковые всё перепишут.
     
     
  • 5.40, пох. (?), 11:07, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > А настоящие безопастноязычковые всё перепишут.

    Начнут переписывать! (и сразу же все станет безопастно. нет кода - нет опастностей)

     
  • 5.54, Аноним (53), 15:20, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > всё перепишут

    Только нужное и интересное им. Ибо за многие десятилетия миллионы си-г.внописателей написало столько кода разной степени полезности, что тому небольшому кол-ву растописателей пришлось бы его переписывать 10 000 лет. Так что нет, твоё творение никто переписывать не собирается, не надейся, жонглируй указателями самостоятельно и продолжай жрать кактус.

     
     
  • 6.98, Аноним (98), 11:18, 10/07/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не любой софт одинаково полезен. И к тому же, в опенсорсе очень много дубликатов (офисные пакеты и оконные менеджеры как пример).
     
  • 5.60, FF (?), 16:24, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не знаю какие сишники так говорят, но если бензопилой можно оттяпать ногу, то значит можно. Без ошибок бывает только в воображении самозванных гениев, и тем более в таком гигантском проекте, если не самом крупном
     
  • 4.32, YetAnotherOnanym (ok), 10:06, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Уж ты-то таких ошибок не сделаешь, ты-то не лезешь писать на Си, потому что понимаешь, что у тебя не хватит мозгов написать и тысячной доли того, что написал любой из этих подставных сишников.
     
     
  • 5.56, Анонин (?), 16:14, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ахаха, писать на си можно научить даже обезьяну, что мы собственно и наблюдаем.
    У него мало ключевых слов, примитивнейшая система типов и всего пару правил вроде "один раз выделяй память и один раз очищай ее, не больше и не меньше" или "не пиши за пределы выделенного буфера". Но даже это непосильно некоторым индивидам.
     
     
  • 6.61, FF (?), 16:30, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А ничего не написать и обзывать всех обезьянами может только сын обезьяны
     
  • 6.67, YetAnotherOnanym (ok), 18:22, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    То есть, Аноним с опеннена даже не пытается браться за дело, которому можно научить обезьяну. Трезвая и адекватная самооценка, респект.
     

  • 1.2, ИмяХ (?), 22:53, 08/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >>вызвавший уязвимость код не был бэкпортирован в более ранние LTS-ветки ядер

    пора бы всем уяснить, что лтс - это не "гвно мамонта" это и есть стабильные версии, за которые можно отвечать. Юзая фичи из "новых ядер" вы просто работаете бесплатными бета-тестерами. Вас тупо используют.

     
     
  • 2.6, Анонин (?), 23:37, 08/07/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Но 5.10 и 5.15 - тоже lts, а там эта бажина уже есть, причем 5.10 вообще SLTS.
    Просто они всю связанную фичу поленились бекпортить на "гвно мамонта".
    А с другая бажина вообще с ядра 3.13 - это на минуточку 2014 год.
    Поэтому апелляция к LTS - просто теорема Эскобара ¯\_(ツ)_/¯
     
  • 2.9, Аноним (9), 00:09, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Пора бы тебе уяснить, что лтс существует для корпоративных аутистов и по факту не даёт ничего, никто не даст тебе никаких гарантий и лично я несколько раз видел как минорное обновление лтс ядра приносило кучу фатальных багов. Работоспособность актуальной версии намного выше чем рандомной копролитной версии.
     

  • 1.11, Аноньимъ (ok), 03:45, 09/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >Проблема решена через удаление модуля tcindex из ядра, начиная с ветки 6.3.

    Чё?
    А что делать тем кто не на самом последнем ведре сидит или вообще модуль этот использует?

    >Исправление проблемы пока доступно только в виде патча.

    Эм что?
    Можно вначале исправления залить, а потом уязвимость публиковать?

     
  • 1.13, Аноним (13), 04:07, 09/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    nftables
    Деды пользовались iptables, прадеды ipchains - всё было стабильно, пришла молодёжь, придумала новый фаирволл - результат, как говорится, на лицо
     
     
  • 2.14, Парень твоего папы (?), 05:23, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Сколько уязвимостей в пропёрженных дедами iptables история умалчивает
     
  • 2.20, Geek (?), 09:13, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Потому что nft
     
  • 2.44, Аноним (44), 12:07, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не хочу тебя шокировать, но nftables и iptables это netfilter и они разрабатываются одними людьми
    Вот просто одними людьми
    Кстати, кажется часть из них разрабатывали и ipchains, но это надо проверить
     
     
  • 3.72, Аноним (72), 19:33, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это не одни и те же люди! Тех, оригинальных, выкрали смузихлёбы на гироскутерах и заменили трансразработчитакми-жаваскриптерами, которым сделали операции по перемене пола, лица и языка программирования. Запомни: сишные диды святые, а виноваты во всём хипстеры!
     
     
  • 4.77, Аноним (44), 20:22, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да, я вечно забываю, что у местного населения вокруг сплошные хипстеры(правда они не знают кто это), а от одного слова "смузи" они дохнут пачками
    А то, что разрабы одни, просто в отличии от местных клоунов они не держатся за каменные топоры, они не знают и не хотят знать, хотя достаточно просто посмотреть на имена разработчиков, что бы понять, что мудрые диды и ненавистные хипстеры-смузихлебы это одни люди
     
     
  • 5.88, Аноним (88), 04:14, 10/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > а от одного слова "смузи"

    ах, если бы

     
  • 5.95, 1 (??), 09:22, 10/07/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну имена именами ... но что-то я сомневаюсь, что, во первых, им не лень пилить 20 лет одно и то же, и, во вторых они сами пишут код, а не руководят.

    X11 и вяленый хороший пример. Вроде и люди делали те же, а одно "работает везде", а второе внедряется (в основном в умы) уже 15 лет.

     
  • 2.83, Аноньимъ (ok), 23:12, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Враньё.
    И деды и пределы и отцы пользовались pf и ipfw.

    iptables это хипстеры устроили.
    А nftables порриджи.

     
     
  • 3.93, User (??), 09:05, 10/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Эмм... а ipf тогда кто?
     
     
  • 4.96, 1 (??), 10:24, 10/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    прадеды
     
     
  • 5.99, User (??), 12:49, 10/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > прадеды

    Не-не! Там выше все ходы записаны - "и деды, и прадеды" - это pf\ipfw, а я еще через ipf ftp пропихивал - видимо, совсем уж былинные времена, до слезания с пальмы...

     

  • 1.15, Kuromi (ok), 05:42, 09/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    "CVE-2023-35001 - уязвимость в модуле nf_tables, позволяющая локальному пользователю выполнить свой код на уровне ядра. Уявзимость вызвана некорректными манипуляциями с указателем при обработке выражений nft_byteorder , которые могут привести к обращению к области памяти за пределами конца массива. Для эксплуатации требуется наличие прав CAP_NET_ADMIN. Проблема проявляется начиная с ядра 3.13 и пока устранена только в форме патча."

    Обожаю когда находятся дыры которые уже могли бы в школу ходить...
    Отрезвляет.

     
     
  • 2.31, лютый арчешкольник... (?), 10:05, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >Обожаю когда находятся дыры которые уже могли бы в школу ходить...

    хз кто нам эти годы NFT мог юзать, в RHEL8 ещё есть iptables.

    у меня на арче-десктопе (6.4.1) до сих пор iptables

     
     
  • 3.68, Аноним (44), 18:24, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не хочу тебя расстраивать, но и в RHEL8, и у тебя в раче это не iptables, а nftables-враппер
    Оно просто делает вид, что оно iptables, но если ты заглянешь в nft list ruleset, то с удивлением узнаешь, что у тебя nftables
     
     
  • 4.79, лютый арчешкольник... (?), 21:11, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Не хочу тебя расстраивать

    С rhel ты не ошибся. А в рачике вполне себе

    iptables -V
    iptables v1.8.9 (legacy)

    lsmod | grep ipta
    iptable_filter         12288  0
    ip_tables              36864  1 iptable_filter
    x_tables               61440  2 iptable_filter,ip_tables


    в rhele, да, неплохо спрятали, в описании пакета ни слова про nft.

     
     
  • 5.82, Аноним (44), 21:48, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну видимо в раче единственный школьник не справился со сборкой, вот и юзают легаси
    В RHEL, кстати, кажется и в 7ом уже это nftables, на самом деле, но я не уверен, как-то традиционно последние 23 года работаю больше с Debian-based и что там лучше знаю
     
     
  • 6.100, лютый арчешкольник... (?), 16:09, 10/07/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >видимо в раче единственный школьник не справился

    понтующийся бабуановец, пытающийся убедить себя в том, что насильно впаренный ему nft не гuано.

    в арче и то и то можно поставить. это конечно школьник-way

    >кажется и в 7ом уже это nftables

    нюню

     

  • 1.21, Аноним (21), 09:18, 09/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Насколько я помню, nftables на порядок быстрее. Заглянул в drop, куда автоматом сваливаются все переборщики fail2ban'ом, за год накопилось ~5000 адресов. Вопрос к iptables гуру - а старые таблицы такое тянули?  
     
     
  • 2.34, лютый арчешкольник... (?), 10:07, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >за год накопилось ~5000 адресов

    занимаешься хэрнёй, перевешай на другой порт sshd, если надписи мешают. А подобрать любой адекватный пароль по ssh невозможно.

     
     
  • 3.43, Аноним (43), 12:01, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пароль?
     
  • 3.45, Аноним (44), 12:10, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И ничего не изменится, потому что сканирование всего диапазона IPv4 занимает считанные минуты, боты находят ssh на любом порту
    А вот запрет паролей и переход на ключи убирает шансы перебора вообще
    А переход на IPv6 убирает долбежку в порты, потому что найти где ты там среди этих триллионов адресов нереально
     
     
  • 4.80, лютый арчешкольник... (?), 21:19, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >боты находят ssh на любом порту

    уверяю тебя, если у тебя брутят sshd где-то в 40000-50000, это не боты, а как минимум кульхацкеры.

    "переход на IPv6" как средство от брутов звучит ещё большим бредом, чем fail2ban

     
     
  • 5.81, Аноним (44), 21:47, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > уверяю тебя, если у тебя брутят sshd где-то в 40000-50000, это не боты, а как минимум кульхацкеры.

    Такие же боты
    Слушай, ну я работаю с 97 года и когда-то тоже слушал советы про засовывание головы в песок
    Потом понял, что смысла нет, один фиг находят достаточно быстро

    Переход на ключи позволяет полностью избежать угрозы брутфорса

    А использование IPv6 это в принципе нормально давно уже
    Все нормальные хостеры дают тебе /64 или /56 на сервер, домашний провайдер у меня один дает /64, второй /56
    Вешаешь где-нибудь на v6 свой ssh и забываешь про следы ботов в логах
    Кстати, покойный Яндекс и живые Гугл, Амазон и прочие ФБ для своих серверов внутри ДЦ используют IPv6-only уже давно, то что его мало юзают на моей бывшей родинке-бородавке и потому ты его не юзаешь ничего не значит

     
     
  • 6.101, лютый арчешкольник... (?), 16:14, 10/07/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >смысла нет, один фиг находят достаточно быстро

    а у меня не находят, десятки серверов торчат в инет годами. никто ничего не перебирает на портах в духе 43854

    >Переход на ключи позволяет полностью избежать угрозы брутфорса

    "угрозы брутфорса" нет в любом случае с несловарными паролями. есть дискомфорт от сообщений о "ххх неверных попыток"

     
  • 2.46, Аноним (44), 12:10, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ipset прекрасно тянул все что угодно с fail2ban
    Вот в этом точно проблем нет и не было
     
  • 2.49, Sw00p aka Jerom (?), 12:59, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >а старые таблицы такое тянули?

    да и больше, можете проверить. -А

     
  • 2.52, пох. (?), 14:06, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тянули, причем я использую именно таблицы а не нечитаемый и неконтролирыемый ipset (которому можно и 500000 скормить, но совершенно незачем, учитесь в агрегирование).

    Но у меня для тебя фиговая новость - из этих 5000 хорошо если только 30 относятся к тем же сетям из которых иногда работаешь ты и твой хомячок. И у тебя есть хороший такой шанс из-за кривых рук и плохо варящей бестолковки в один непрекрасный день обнаружить что ты отрезал яй...доступ сам себе.

     
     
  • 3.74, Аноним (72), 19:37, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > неконтролирыемый ipset

    Полотёр из подвального ДЦ не осилил хэш-мап. Спешите видеть!

     
     
  • 4.78, Аноним (44), 20:23, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Он еще и ipset -L|grep или там  ipset -L|awk не осилил, говорит, что прочитать ничего не может
     
  • 2.73, Аноним (72), 19:36, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    У iptables начинаются заметные проблемы в производительности в районе 10к правил на цепочку. IBM не даст соврать.
     
     
  • 3.85, пох. (?), 03:14, 10/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    скорее так - в районе 10k правил на цепочку _можно_ ухитриться вляпаться в проблемы.
    Но надо стараться.

    Большинство локалхостов местных васянов никак эту проблему не заметят - как тормозил их написанный в 2002м году perl скрипт счетчика, так и будет. Задержки от iptables на этом фоне никто даже не увидит.

     
     
  • 4.102, Аноним (72), 20:51, 10/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > скорее так - в районе 10k правил на цепочку _можно_ ухитриться вляпаться в проблемы.

    С 10k правил на цепочку получаешь практически гарантированные проблемы и с тем, что пакеты матчатся уже заметно долго, особенно для правил в хвосте цепочки, и с тем, что загрузка фаерволла в память занимает заметное на глаз время. IBM про это рассказывал ещё в 2019, в контексте массивных деплоев кубернетеса у их клиентов с тысячами и десятками тысяч сервисов на кластер.

     
     
  • 5.104, пох. (?), 21:59, 10/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну я не знаю чем там ебеме страдал - у меня оно было в 2012м и это ни разу не были поделки подобного типа. Возможно в этом и причина.

    Причем на железе казавшемся ретро уже в том 12м. (какой красочки украли...)

    Сколько оно там загружалось (в one true iptables, разумеется, а не в новой модной поделке) - не могу сказать, но ни разу не было поводов присматриваться.
    Проблемы со скоростью прохода по цепочке при желании можно было бы увидеть, но это надо было бы загрузить хост совершенно ему несвойственной деятельностью, а на том чем он был занят оно не отражалось, там своих совершенно других проблем хватало.

    (софтсвитчи у нас с такими правилами были, если что, т.е. это не результат деятельности fail2ban или еще чего безмозглого)

     
     
  • 6.106, Аноним (72), 21:38, 11/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > поделки

    При чём тут это? «Поделка» вызывает ровно тот же iptables и загружает в него совершенно обычные правила, ровно так же, как ты это на баше делал в 2012.

    > Сколько оно там загружалось (в one true iptables, разумеется, а не в новой модной поделке) - не могу сказать

    На этом, в общем-то, можно и закончить. Что там было ты не знаешь, как работало не присматривался. А там того гляди выяснится, что правил у тебя было на два порядка меньше, и трафик измерялся в килобитах. Вся суть экспертизы поха: что-то как-то где-то было, но как именно, где и что за давностью лет уже не помнит, но по ощущениям — точно было лучше, чем сейчас, потому что тогда вообще всё было лучше.

     
     
  • 7.107, пох. (?), 22:16, 11/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > При чём тут это? «Поделка» вызывает ровно тот же iptables и загружает в него совершенно обычные
    > правила

    нет. На этом, действительно, можно было бы и закончить. То есть ты темой не владеешь абсолютно.

    > Что там было ты не знаешь, как работало не присматривался.

    я знаю что там было, но меня не интересовали замеры с секундомером. Вот число правил я знаю, потому что да, с некоторой опаской периодически пересчитывал - многовато будет. И присматривался я к работе системы, по ее основному профилю. Она работала, остальное - совершенно неинтересно.

    Траффик в килобитах - это вот _твой_ уровень экспертизы, потому что я назвал область применения.

    Да, тогда в целом было лучше почти все - наследие тех времен когда код писали (да и все остальное делали) еще свободные люди для себя или для самовыражения, а не галерные индусы. Сейчас оно практически полностью прое...но.


     

  • 1.22, Аноним (22), 09:32, 09/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В очередной раз удивляюсь, почему все так любят Си. Да, в языке более мощные средства мета-программирования и клевая оптимизация. Но его меньшая дружелюбность до сих пор аукается кучей проблем. Да, не все могут нормально на нем писать. Я в школе писал на ассемблере без отладчика. Я могу. У меня отладчик в голове. А индусы пусть дальше пишут на прощающих все возможные ошибки скриптах.
     
     
  • 2.26, Аноним (23), 10:03, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Меньшая дружелюбность чем у кого? Меньшая чем у ассемблера? Старость даёт о себе знать.
     
  • 2.36, Аноним_5 (?), 10:51, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это ты #define обозвал "средствами мета-программирования"?
    В древнючей сишке нет никакого метапрограммирования. Она же тупая как лапоть.
    А оптимизации к самой сишке никакого отношения не имеют. Современные компиляторы оптимизируют промежуточное представление и не привязаны к языку (за исключением древностей, которые к нему приколочены гвоздями).
     
  • 2.51, Аноним (17), 13:46, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Сишечку любят за то, что у неё предельно низкий порог вхождения. Язык же прост, как пробка, если не сказать, что примитивен. В нём же практически ничего нет. А вот о том, что он требует от программиста предельного самоконтроля, предпочитают забывать.
     
     
  • 3.63, Аноним (23), 16:34, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Можно подумать твои буферы это то что кому то важно в софте. Может от софта надо чтобы он был и работал? А уж как он буферы проверяет рано или поздно поправят.
     
     
  • 4.70, Анонимусс (?), 19:18, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А исправить получение рута через 13 лет после создания бага - это еще рано или уже поздно?
     
     
  • 5.71, Аноним (44), 19:23, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Чувак, если у тебя кто-то левый на сервере сначала получил простого юзера с CAP_NET_ADMIN, то у тебя УЖЕ проблемы, даже без этой "уязвимости"
     
     
  • 6.76, Аноним (76), 20:08, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Скажи это хостингам раздающим контейнеры. Не обязательно иметь CAP_NET_ADMIN в системе, достаточно обойтись net или user namespace, которые в некоторых дистрибутивах обычный юзер создать может.
     
  • 2.84, Аноньимъ (ok), 23:18, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Да, в языке более мощные средства мета-программировани

    В Си средства метапрограммирования?
    Таблетки ненужно забывать пить.
    И закусывать.

     
     
  • 3.90, Аноним (88), 04:17, 10/07/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    так макросы же
     
  • 3.92, Sw00p aka Jerom (?), 06:22, 10/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Он имел ввиду макросы
     
  • 2.105, InuYasha (??), 20:31, 11/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Жир аж стекает с экрана.
    В очередной раз удивляюсь, почему все так любят троллить в комментах. Да, в них более мощные средства мета-коментирования и клевая оптимизация. Но его меньшая дружелюбность до сих пор аукается кучей проблем. Да, не все могут нормально в них писать. Я в школе писал на доске без спеллчекера. Я могу. У меня словарь в голове. А индусы пусть дальше пишут в прощающих все возможные ошибки социалках.
     

  • 1.25, Аноним (24), 10:01, 09/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ой, а что же случилось? Валгринд, Cppcheck и Clang-analyze не помогли?
     
     
  • 2.27, Аноним (27), 10:03, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ой, а чего это ты на Redox не перешел до сих пор?
     
     
  • 3.55, Аноним (53), 15:26, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем? "Скоро во всех линукс-ядрах!" Посмотрим, куда ты побежишь. На Hurd, небось?
     
     
  • 4.57, Аноним_5 (?), 16:15, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем ему куда-то бежать? Как сидел на винде, так и будет сидеть.
     
     
  • 5.62, Аноним (23), 16:33, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Почему винду не переписывают на безопастный языг?
     
     
  • 6.66, Аноним (44), 18:19, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.theregister.com/2023/04/27/microsoft_windows_rust/
    Ой
     
     
  • 7.69, Аноним (76), 18:32, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > https://www.theregister.com/2023/04/27/microsoft_windows_rust/
    > Ой

    https://www.opennet.me/59044

     
  • 7.86, пох. (?), 03:19, 10/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    а если дочитать дальше заголовка?

    "but the Rust port is currently disabled"

    То есть хайпожору удалось все же не быть (пока) уволенным за год потраченный на переписывание-переписывание уже работающего кода на ненужно, и оно даже прошло какие-то тесты но... почему-то так и не попало в работающий софт.

    Все что надо знать о хрустиках и их амбициях.

     

  • 1.103, Аноним (103), 21:48, 10/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Одно из достоинств Гарвардской архитектуры заключается в том, что повреждение памяти данных не приводит к повреждению данных команд.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру