Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в AppArmor, позволяющие получить root-доступ в системе"	+/–
Сообщение от opennews (ok), 13-Мрт-26, 13:37
Компания Qualys выявила 9 уязвимостей в системе мандатного управления доступом AppArmor, наиболее опасные из которых позволяют локальному непривилегированному пользователю получить права root в системе, выйти из изолированных контейнеров и обойти ограничения, заданные через AppArmor. Уязвимости получили кодовое имя CrackArmor. CVE-идентификаторы пока не назначены. Успешные примеры повышения привилегий продемонстрированы в Ubuntu 24.04 и Debian 13... Подробнее: https://www.opennet.me/opennews/art.shtml?num=64984
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

4. Сообщение от Аноним (4), 13-Мрт-26, 13:53	–1 +/–
Фикс для бубунты: $ onano /etc/default/grub > GRUB_CMDLINE_LINUX_DEFAULT="quiet splash loglevel=0 apparmor=0 mitigations=off" $ update-grub
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #25, #67, #102

5. Сообщение от openssh_user (ok), 13-Мрт-26, 14:13	+21 +/–
Нет apparmor - нет проблем?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #11, #62

7. Сообщение от Аноним (7), 13-Мрт-26, 14:15	+/–
> Проблемы присутствуют в LSM-модуле AppArmor начиная с ядра Linux 4.11 Не зря люди на 3.* ядре сидят.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #24, #65, #86

9. Сообщение от Аноним (9), 13-Мрт-26, 14:17    Скрыто ботом-модератором	–1 +/–
А в нем дыреней нет? Ты точно проверил? Может там СИшка другая? Или диды в те времена не овнокодили?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

11. Сообщение от АнонимЯ (?), 13-Мрт-26, 14:19	+9 +/–
Ага, метод от девляпсов, судя по всему.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

14. Сообщение от Аноним (14), 13-Мрт-26, 14:22	+/–
> Исправление также включено в сегодняшние обновления пакетов с ядром для Ubuntu. > В Debian обновление в процессе подготовки Никогда такого не было и вот опять. Дебианцам же торопиться некуда. Сегодня уже пятница, потом выходные, кто же на выходных патчи будет принимать.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16, #99

16. Сообщение от Аноним (16), 13-Мрт-26, 14:30	+/–
Так на дебиане же по-умолчанию apparmor отключён )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #19

17. Сообщение от Аноним (17), 13-Мрт-26, 14:33	+8 +/–
> Суть метода в том, что при возникновении проблем утилита sudo отправляет администратору письмо, запуская /usr/sbin/sendmail. Блокировав сброс привилегий можно добиться запуска данного процесса с правами root, а выставив перед запуском sudo переменную окружения MAIL_CONFIG можно передать утилите sendmail другие настройки, в том числе указать свой обработчик postdrop, запускаемый при отправке почты. Господи, здесь прекрасно абсолютно все: и sudo, шлющий эмейлы, и sendmail, запускающий черт знает что по указанию внешних переменных окружения. Очередное бинго из гениального диловского дизайна. В этот раз еще приправленное приблудой AppArmor (естественно, написанной на топовых технологиях 70х с double free), которая вместо защиты наоборот дает рут. 😂 Сколько не говорят, что поверхность атаки нужно УМЕНЬШАТЬ, а не наоборот - все бестолку. Продолжаем наворачиват новые слои дырявых аппарморов и прочих файрджейлов - и потом делать удивленные глаза. 😧
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20, #23, #26, #31, #68, #127

19. Сообщение от Аноним (19), 13-Мрт-26, 14:34	+1 +/–
> Так на дебиане же по-умолчанию apparmor отключён ) Вы уверены? Может вы совсем недавно из криокамеры вышли? AppArmor is available in Debian since Debian 7 "Wheezy". If you are using Debian 10 "Buster" or newer, AppArmor is enabled by default wiki.debian.org/AppArmor/HowToUse
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #36, #115

20. Сообщение от онанист (?), 13-Мрт-26, 14:35	–1 +/–
Сколько не говорят, что поверхность атаки нужно УМЕНЬШАТЬ, а не наоборот - все бестолку кто говорит? наоброт обязательно антивирус и тп
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

22. Сообщение от Аноним (16), 13-Мрт-26, 14:40	+/–
Если sudo на дебиане нет - получается уязвимость не сработает ?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27, #30, #129

23. Сообщение от Аноним (-), 13-Мрт-26, 14:42	–4 +/–
Ты просто ничего не понимаешь! Это же (xy)UNIХ-way! Диды писали, диды старались, ты такой неблагодарный на них бочку гонишь... А ну быстра извынысь!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

24. Сообщение от онанист (?), 13-Мрт-26, 14:42	+5 +/–
зря 2.6 рулит
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #100, #131

25. Сообщение от Аноним (25), 13-Мрт-26, 14:44	+4 +/–
> mitigations=off Зачем отключать ещё и защиту от Meltdown и Spectre (спекулятивных CPU уязвимостей)?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #34, #49

26. Сообщение от Аноним (25), 13-Мрт-26, 14:45	–1 +/–
Советую почитать классику UNIX HATERS HANDBOOK. Там и про sendmail есть!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #37

27. Сообщение от Аноним (25), 13-Мрт-26, 14:46	+1 +/–
Попутно в Ubuntu выпущены обновления пакетов sudo, sudo-ldap и **util-linux (в состав входит утилита su)**
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

30. Сообщение от Аноним (30), 13-Мрт-26, 14:52	+/–
> Если sudo на дебиане нет - получается уязвимость не сработает ? А новость вы не пробовали читать? "Успешные примеры повышения привилегий продемонстрированы в Ubuntu 24.04 и Debian 13" Значит и без sudo работает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #83

31. Сообщение от нах. (?), 13-Мрт-26, 14:55    Скрыто ботом-модератором	+2 +/–
не хотел бы тебя огорчать, но этот сендмэйл - кого нада сендмэйл. Безопастный (!) drop-in replacement придуманный кекспертом по безопастносте чтоб вот привиллегии не сбрасывать. А настоящий - никаких MAIL_CONFIG не умеет. > В этот раз еще приправленное приблудой AppArmor (естественно, написанной на топовых > технологиях 70х с double free), ну ты-то щас напишешь получше? На технологиях 2030х? А, не, не напишешь. Ты ж не умеешь кодить. (и да, проблема apparmor - что он дерьмо. И by design, и, как видим, by implementation. И это не проблема технологий, а проблема индусов нанятых убунтой за три копейки, вместо того чтобы выпороть как следует американцев, не сумевших переписать работающие профили selinux)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

34. Сообщение от нах. (?), 13-Мрт-26, 14:59	+9 +/–
затем что она примерно так же на#р не нужна как и апармор.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

36. Сообщение от Аноним (25), 13-Мрт-26, 15:00	+/–
Я тоже из криокамеры, к синтаксису nftables так и не привыкла.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #38

37. Сообщение от нах. (?), 13-Мрт-26, 15:00	+3 +/–
советую поставить наконец любимую винду и отвалить от юнисов. Это не ваше. И не читайте всякое враньше неосиляторов. Кстати, в ТОМ sendmail - этой уязвимости нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #47, #76, #114

38. Сообщение от Аноним (25), 13-Мрт-26, 15:01	+/–
И к ip вместо ifconfig
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #82

42. Сообщение от Сладкая булочка (?), 13-Мрт-26, 15:18	+/–
AppArmor используется в snap. Вот и думайте.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #44, #45, #134

43. Сообщение от Аноним (-), 13-Мрт-26, 15:19	+1 +/–
> Показано как получить права root при помощи уязвимостей, вызванных двойным выполнением функции free() и обращением к уже освобождённой области памяти (use‑after‑free) "если использовать язык программирования, с которым не надо тщательно обдумывать каждую строку, то можно знатно нафакапить" (c) Они использовали. И нафаkапили.
Ответить | Правка | Наверх | Cообщить модератору

44. Сообщение от Аноним (25), 13-Мрт-26, 15:22	+/–
Думаю и использую flatpak.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

45. Сообщение от Аноним (45), 13-Мрт-26, 15:25	+/–
Но используется и отдельно. Какой вывод может быть сделан? 1. аппармор оказался овнокодом 2. дырени типичные 3. создателю snapʼа нужно тщательнее выбирать, что использовать в проекте
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #128

47. Сообщение от Аноним (47), 13-Мрт-26, 15:31	+/–
А можно вы со своими юниксами уже отвалите от линукса. Ведь он ГНУ, что расшифровывается как ГНУ НОТ! Юникс. У вас есть ваши либимые юниксы в виде макоси и бсд. Вот там и городите свои костыли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #50, #53

49. Сообщение от Аноним (49), 13-Мрт-26, 15:36	+2 +/–
Он про домашние десктопы. Там оно не нужно. На серверах - дело твое уже (я бы не отключал).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #56, #78

50. Сообщение от Аноним (25), 13-Мрт-26, 15:36	+/–
Not Unix, but Unix-like.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

53. Сообщение от Аноним (53), 13-Мрт-26, 15:42	+1 +/–
> А можно вы со своими юниксами уже отвалите от линукса. Ведь он ГНУ, что расшифровывается как ГНУ НОТ! Юникс. А когда это линукс стал ГНУ? Торвальдс сам говорил, что ни к ГНУ, ни к ФСФ, ни к бороде его проект отношения не имеет. > У вас есть ваши либимые юниксы в виде макоси и бсд. Вот там и городите свои костыли. Погоди. Если в линуксе не нужно, то зачем пuнгвинятники тащат чужие изобретения к себе? Часом не по причине скудоyмия и кpивых pук?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #55

55. Сообщение от Аноним (25), 13-Мрт-26, 15:43	–1 +/–
Когда под линуксом стали понимать не только ядро, но и ОС с gnu coreutils.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #59

56. Сообщение от Аноним (25), 13-Мрт-26, 15:45	+/–
И из вкладки с мемами javascript пробивает защиту ОС насквозь. Хорошо, что для браузеров нету mitigations=off.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #94

58. Сообщение от Аноним (58), 13-Мрт-26, 15:49	–1 +/–
Разве профили app_armor в ядро не от рута загружаются?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #75, #137

59. Сообщение от Аноним (59), 13-Мрт-26, 15:52	+1 +/–
> Когда под линуксом стали понимать не только ядро, но и ОС с gnu coreutils. Кто стал))? Что busybox уже пропал? Linux это не GNU. lkml.org/lkml/2006/9/25/161 "the fact that rms and the FSF has tried to paint Linux as a GNU project (going as far as trying to rename it "GNU/Linux" at every opportunity they get) is their confusion, not ours."
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #61, #101

60. Сообщение от Аноним (58), 13-Мрт-26, 15:57	+1 +/–
apparmor давно превратился в сгнившее дерьмо. В смысле что дока на него неполная. К тому же дока не поспевает за изменениями в самом apparmor, а её репозиторий (вики на гитлабе) представляет из себя какое-то месиво, которое читать невозможно. Этот apparmor давно пора выкинуть и на landlock заменить. У Салауна хотя-бы ума хватило допереть, что профили аппармора не могут сандбоксить приложения, ибо к чему доступ разрешать - это зависит от обрабатываемых приложением данных. Напр если приложению передан аргумент командной строки, указывающий на файл, то к этому файлу нужно доступ разрешить, что совсем не значит, что к другим файлам с тем же расширением надо разрешать доступ хотя-бы на чтение, потому что кто его знает, может в том файле эксплоит, который инфу из других файлов стырит, в себя запишет, а юзер его перешлёт коллеге, от которого получил, вместе с контейнером, в котором по другим контрагентам инфа.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #138

61. Сообщение от Аноним (25), 13-Мрт-26, 16:00	+/–
Да тот же Debian GNU/Linux.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #63, #87

62. Сообщение от kravich (ok), 13-Мрт-26, 16:05	+3 +/–
И чертов SELinux туда же заберите
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #73

63. Сообщение от Аноним (63), 13-Мрт-26, 16:06	+/–
> Да тот же Debian GNU/Linux. Торвальдс пишет "Linux не GNU". А наpkоманы из деба - пишут что GNU. Кому же верить?! Покажите еще какие-то дистры, которые GNU/Linux.   Я знаю только совсем отбитые, вроде Dragora, Hyperbola, Parabola.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #64, #72

64. Сообщение от Аноним (25), 13-Мрт-26, 16:12	+/–
Обоим - квантовая суперпозиция! Guix ещё.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

65. Сообщение от Аноним (65), 13-Мрт-26, 16:33	+/–
>Может там СИшка другая? >Или диды в те времена не овнокодили? 2017 Год - это не диды, это ты!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

67. Сообщение от Аноним (73), 13-Мрт-26, 17:00	+/–
А mitigations=off как от этого защитит (открыв другие ворота)?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #81, #95

68. Сообщение от Сладкая булочка (?), 13-Мрт-26, 17:04	–1 +/–
> прочих файрджейлов Он использует механизмы ядра и тут причем?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #74, #85, #111

69. Сообщение от Сладкая булочка (?), 13-Мрт-26, 17:05	+1 +/–
> Проблемы вызваны наличием в AppArmor фундаментальной уязвимости класса "обманутый посредник" ("confused-deputy"), позволяющей непривилегированным пользователям загружать, заменять и удалять произвольные профили AppArmor. Запретить непривилегированным пользователям это делать и все? В чем проблема?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #71, #105, #140

71. Сообщение от Аноним (71), 13-Мрт-26, 17:13	–2 +/–
Поздно пить Боржоми. Тыщеглаз снова не оправдал ожидания.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69 Ответы: #77

72. Сообщение от Аноним (73), 13-Мрт-26, 17:14	+/–
Вот когда сделаешь свой дистр со всеми эnими uutils, заменишь GLibc на RsLibc. Вот тогда твой дистр будет не GNU. А Musl не полная замена, попробуй проприетарные блобы под не позапускать, некоторые скажут, что у тебя несовместимая версия glibc.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

73. Сообщение от Аноним (73), 13-Мрт-26, 17:18	+1 +/–
Во, в нём архитектурно заложенных дверей куда больше будет, учитывая его родителя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #123

74. Сообщение от Аноним (25), 13-Мрт-26, 17:22	–1 +/–
Тут не причём, но использует SUID и является возможной целью уязвимости повышения привилегий в будущем (или уже).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #93

75. Сообщение от Аноним (75), 13-Мрт-26, 17:51	+/–
Видимо, чтобы бедные мигранты из винды хоть зачем-то пытались хавать кактус бубунты, специально для них оставили кучу кнопок "сделать от рута". Безопасная система - это та, где нет бинарников с suid-битом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #103

76. Сообщение от Аноним (76), 13-Мрт-26, 17:56	+/–
> Кстати, в ТОМ sendmail - этой уязвимости нет. Этой нет, факт. Зато других -- вагон, каждая вычурнее предыдущей. Проблема не в том, что кто-то не осилил. Проблема в том, что UNIX и его потомки как были системой для локалхостов с одним пользователем, так и остались по сей день. И сколько ни лечи его неймспейсами и контейнеризацией, он таким всё равно останется на фундаментальном уровне. А Plan9 вы закопали даже не пытаясь понять. Ну вот и суйте каждую программу в отдельную VM, эту изоляцию вроде так-сяк скотчем примотали, авось не развалится.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

77. Сообщение от Аноним (65), 13-Мрт-26, 17:57	–1 +/–
>Поздно пить Боржоми. Тыщеглаз снова не оправдал ожидания. Ты уж не ленись добавлять, что не оправдали ТВОИ ожидания. Вот я даже не знаю, как нам теперь с этим жить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #79, #84

78. Сообщение от Аноним (78), 13-Мрт-26, 18:01	+/–
Можете аргументированно объяснить почему дома это не нужно?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #80

79. Сообщение от Аноним (71), 13-Мрт-26, 18:21	+/–
Кому вам,любителям уязвимостей?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77 Ответы: #88

80. Сообщение от Аноним (80), 13-Мрт-26, 18:22	+/–
он считает, что на них входящие порты закрыты фаером
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

81. Сообщение от Аноним (80), 13-Мрт-26, 18:23	+3 +/–
горит сарай, гори и хата!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

82. Сообщение от Аноним (80), 13-Мрт-26, 18:25	+/–
да уж.. сложновато привыкать )))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

83. Сообщение от Аноним (80), 13-Мрт-26, 18:30	+/–
когда это из деба 13 выкинули судо?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #106

84. Сообщение от Аноним (80), 13-Мрт-26, 18:33	+/–
ознакомься со структурой kicksecure
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77

85. Сообщение от Аноним (85), 13-Мрт-26, 18:37	+2 +/–
>> прочих файрджейлов > Он использует механизмы ядра и тут причем? А ты не догадываешься? Ну, давай вместе посмотрим: "Уязвимость в firejail, позволяющая получить root-доступ в системе": https://www.opennet.me/opennews/art.shtml?num=57337 "В Firejail выявлена уязвимость, позволяющая повысить свои привилегии до пользователя root": https://www.opennet.me/opennews/art.shtml?num=54564 "В Firejail выявлено девять уязвимостей, большинство из которых позволяют повысить свои привилегии в основной системе до пользователя root": https://www.opennet.me/opennews/art.shtml?num=45824
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #90

86. Сообщение от Аноним (-), 13-Мрт-26, 18:38	+/–
Получается, что 4+ ядра — это для рептилоидов?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

87. Сообщение от Аноним (-), 13-Мрт-26, 18:41	+/–
Ну, Debian использует GNU coreutils, glibc и т.п. по умолчанию ведь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

88. Сообщение от Аноним (65), 13-Мрт-26, 18:53	+1 +/–
>Кому вам,любителям уязвимостей? Какие то трудности с удержанием контекста? СДВГ? - Ты же сам писал про 1000 глаз!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

89. Сообщение от Аноним (89), 13-Мрт-26, 18:54	–1 +/–
Как обычно пишут кто уязвимость обнаружил, но не пишут, кто ее внес. А ведь у этих людей есть имена.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #92, #96, #133

90. Сообщение от Сладкая булочка (?), 13-Мрт-26, 18:57	–2 +/–
>>> прочих файрджейлов >> Он использует механизмы ядра и тут причем? > А ты не догадываешься? Ну, давай вместе посмотрим: Ну уявзимости и уязвимости. Как это относится к теме с apparmor?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85 Ответы: #117

91. Сообщение от Аноним (92), 13-Мрт-26, 18:58	+2 +/–
В новинку, что защитники "тоже люди"? В добавок, в построение и правилах AppArmor черт ногу сломит.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #112

92. Сообщение от Аноним (92), 13-Мрт-26, 19:00	+1 +/–
Я предлагаю Доску Позора для горе-контрибьюторов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89

93. Сообщение от Сладкая булочка (?), 13-Мрт-26, 19:06	+/–
> Тут не причём, но использует SUID и является возможной целью уязвимости повышения > привилегий в будущем (или уже). https://github.com/netblue30/firejail/discussions/4601
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

94. Сообщение от Аноним (4), 13-Мрт-26, 19:08	+2 +/–
Хорошо, что есть noscript.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

95. Сообщение от Аноним (4), 13-Мрт-26, 19:11	–1 +/–
Вы наверно из тех, кто из соображений безопасности заколачивает в доме окна и заливает замочную скважину герметиком т.к. "ворота" открыты!!11
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #97

96. Сообщение от Аноним (4), 13-Мрт-26, 19:14	+2 +/–
Кто внёс, тот и обнаружил.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89

97. Сообщение от q (ok), 13-Мрт-26, 19:57	–2 +/–
Неверная аналогия. Вот правильная: по умолчанию, дверной глазок закрыт шторкой. Это дефолт. Ты же эту шторку открыл, да еще скотчем прилепил, чтоб не закрывалась, преследуя хз какие цели. Отключение mitigations уже давно никак не ускоряет современные процы, челик. Либо ускоряет на ноль целых ноль ноль ноль ноль... процентов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95

99. Сообщение от Rootlexx (?), 13-Мрт-26, 22:07	+/–
Вообще-то, обновление в Debian уже прилетело.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #116

100. Сообщение от Аноним (100), 14-Мрт-26, 00:08	+1 +/–
Хватит этих полумер, вносите счёты!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #110

101. Сообщение от Аноним (101), 14-Мрт-26, 04:03	+/–
Все стали. Линукс сейчас большенство называет ОС, а не ядро.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

102. Сообщение от Имя (?), 14-Мрт-26, 04:36	+/–
Как давно пользователи Ubuntu без sudo и не под рутом наловчились выполнять подобные команды?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

103. Сообщение от Аноним (103), 14-Мрт-26, 07:08	+1 +/–
>Безопасная система - это та, где нет бинарников с suid-битом. Ошибаешься, безопасная система - это выключенная из розетки, после чего окувалденная.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

104. Сообщение от Аноним (78), 14-Мрт-26, 07:52	+1 +/–
Без сарказма, но как бэкдор мог оставаться незамеченным столько лет? Будут ли наказаны те, кто допустил включение небезопасного кода в ядро?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #108, #126

105. Сообщение от Аноним (78), 14-Мрт-26, 07:53	+/–
Кто должен это сделать? Те же люди, которые включили бэкдор в состав ядра?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69

106. Сообщение от Аноним (78), 14-Мрт-26, 07:58	–1 +/–
https://wiki.debian.org/sudo/ Пункт Installing sudo (спойлер - в debian вообще не нужен sudo, все команды от рута можно спокойно выполнить)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83 Ответы: #113

107. Сообщение от мяф (?), 14-Мрт-26, 08:56	+1 +/–
а я ж об этом писала когда-то .. вот кто-то удивится, когда вспомнит, что "ограниченный" процесс в состоянии себе политики менять(или коньноникол это тоже пофиксит ?) молчу про рутовые, aa-disable и спать
Ответить | Правка | Наверх | Cообщить модератору

108. Сообщение от мяф (?), 14-Мрт-26, 08:57	+1 +/–
это не бекдор, это "такнадо"©
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104

109. Сообщение от Аноним (109), 14-Мрт-26, 09:03	+2 +/–
> /sys/kernel/security/apparmor/.load, .replace и .remove > . очевидный бэкдор, специально с точкой файлы назвали, чтобы их не так заметно было среди всего остального хлама в /sys/kernel/security/apparmor/
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #132

110. Сообщение от Аноним (-), 14-Мрт-26, 09:14    Скрыто ботом-модератором	+/–
Хватит этих полумер, выносите глину!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100

111. Сообщение от Аноним (-), 14-Мрт-26, 09:23	+/–
> Firejail is another common sandboxing technology; however, it is also insufficient. Firejail worsens security by acting as a privilege escalation hole — Firejail requires being setuid, meaning that it executes with the privileges of the executable's owner, which in this case, is the root user. This means that a vulnerability in Firejail can allow escalating to root privileges. > As such, great caution should be taken with setuid programs, but Firejail instead focuses more on usability and unessential features, which adds significant attack surface and complexity to the code, resulting in numerous privilege escalation and sandbox escape vulnerabilities, many of which aren't particularly complicated. > For comparison, another Linux sandboxing tool — bubblewrap — has significantly less attack surface and is less prone to exploitation because it aims to be very minimal and provide only the absolutely necessary functionality. This is very important and makes the potential for vulnerabilities extremely low. > As an example of this, bubblewrap doesn't even generate seccomp filters itself. One must create their own, often via seccomp_export_bpf, and supply it to bubblewrap. Another example is bubblewrap's simplistic command line arguments: there is no parsing of configuration files or complex / redundant parameters. The user specifies exactly what they want in the sandbox and that's it, whereas Firejail supports hundreds of convoluted command line arguments and profile rules, many of which boil down to overcomplicated blacklist rules. > Unfortunately, bubblewrap isn't very widespread and can be difficult to learn. Bubblewrap is essentially a bare bones wrappers around namespaces and seccomp. A user would need decent knowledge on how the filesystem, syscalls and so on work to properly use it Есть Bubblejail, GUI для настольного использования bubblewrap.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #121

112. Сообщение от User (??), 14-Мрт-26, 10:01	+1 +/–
Ну, всё равно на два порядка проще, чем голый selinux ковырять
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91 Ответы: #141

113. Сообщение от Аноним (113), 14-Мрт-26, 11:27	+/–
Смотря как вы устанавливали Дебиан. Если во время установки не задать рут-пароль то судо устанавливается автоматически. И кажется некоторые ДЕ устанавливают судо в любом случае.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106 Ответы: #118

114. Сообщение от Аноним (114), 14-Мрт-26, 12:17	+/–
Линуксятина это не UNIX
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

115. Сообщение от Аноним (78), 14-Мрт-26, 12:33	+/–
> Debian 7 "Wheezy" Который выпущен в 2013 Где же "тысячи глаз"? 🤦
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

116. Сообщение от Аноним (78), 14-Мрт-26, 12:33	–1 +/–
Другими словами вас не смущает бэкдор 13-летней давности, верно?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99 Ответы: #130

117. Сообщение от Аноним (78), 14-Мрт-26, 12:36    Скрыто ботом-модератором	+/–
Уязвимости в винде - "корпорации хотят нас контролировать", то же самое в линуксе - "Ну уявзимости и уязвимости"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90 Ответы: #120

118. Сообщение от Аноним (78), 14-Мрт-26, 12:39	–1 +/–
Воспользуйтесь хотя бы переводчиком, что ль. Написано, что "даже если вы не устанавливали sudo, то команды для его запуска будут рутовыми". Другими словами - хоть ставьте пароль, хоть нет - запустить и выполнить рут команду получится в любом случае.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113 Ответы: #122

120. Сообщение от Сладкая булочка (?), 14-Мрт-26, 16:05	+/–
> Уязвимости в винде - "корпорации хотят нас контролировать", то же самое в > линуксе - "Ну уявзимости и уязвимости" Мда, с логикой совсем плохо... Код открыт, уязвимости исправлены, ссылка на обсуждение дана. Но нет, привяжем сбоку винду... лавров.жпег
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117

121. Сообщение от Сладкая булочка (?), 14-Мрт-26, 16:07	+/–
> Есть Bubblejail, GUI для настольного использования bubblewrap. Только bubblewrap не умеет многое, что умеет firejail, а чтобы он умел ему нужен sudo. Так мы приходим с того, с чего начали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111

122. Сообщение от RM (ok), 14-Мрт-26, 16:58	+/–
похоже переводчик какой-то плохой. там так в оригинале не написано, написано как комментатор выше ответил
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #118

123. Сообщение от Димая (?), 14-Мрт-26, 18:11	+/–
Приведи хоть одну.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

126. Сообщение от Аноним (7), 14-Мрт-26, 20:48	+/–
> как бэкдор мог оставаться незамеченным столько лет? Потому что его не хуавей делала, "этодpyгoe".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104

127. Сообщение от Аноним (127), 14-Мрт-26, 21:12	+/–
> Очередное бинго из гениального диловского дизайна. Который таки решал проблемы. Пока опеннет-эксперты фантазировали о не[дп]остижимых идеалах. > Сколько не говорят А лучше б код писали. Хоть бы на четверть от сказанного. > поверхность атаки нужно УМЕНЬШАТЬ Только расстрелы атакующих спасут мировое софтостроение.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

128. Сообщение от Аноним (128), 15-Мрт-26, 02:42	+/–
> Какой вывод может быть сделан? убунта и дебиан, это самое, на г. в них обоих через ж..у буквально все, дефолты разработчиков заменяются на какието костыли, показательно что суся переползла на se. кстате, ставил както дебиан на расбери, и он работает, дня два, после чего рандомно виснет с повоеждением фс и невозможность загрузится. а убунта на том же расбери работает месяцами. нафиг нужны дистры с такими приколами?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

129. Сообщение от Аноним (130), 15-Мрт-26, 04:26	+/–
да конечно, что место-то забивать - так и сидим под рутом. пришлось вот, правда, пользователя сделать - а то даже композер работать не хочет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

130. Сообщение от Аноним (130), 15-Мрт-26, 04:57	+/–
ну значит что-то новое сделали, а успокоить/отвлечь - вывалили. нам-то чего смущаться, не мы же этим занимаемся
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #116

131. Сообщение от анон (?), 15-Мрт-26, 09:25	+1 +/–
Я ещё с 2.4 не перешёл.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

132. Сообщение от нах. (?), 15-Мрт-26, 15:58	+/–
хоть обычно я и не сторонник ношения шапочки из фольги и местным душевнобольным, во всем видящих происки врагов, рекомендую пить таблетки - выглядит действительно как очень неуклюжая попытка маскировки. Ну может не бэкдора, а собственной тяпляпости - т.е. знал что так делать нельзя, но спринт-не-ждет, таск должен быть закрыт, поэтому быстро попрятал крошки под ковер. И смотрите - на 13 лет хватило ведь! А говорили - тысячегласс... карих походу только.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #109 Ответы: #136

133. Сообщение от нах. (?), 15-Мрт-26, 16:04	+/–
Линусом звать, еще педалями деревянными на базаре торгует - не, не слышал что-ли? (комит уровня аппармор - ни одна его мелкая собачонка сама бы принять не смогла) Просто как-то уот получилось что в код никто не смотрел. Потому что от платинового спонсора кот-то! (да, тогда шатлврот был еще богатым и мог себе позволить. А вот разработчики были - по гендернорасовым квотам набраны.)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89

134. Сообщение от нах. (?), 15-Мрт-26, 16:37	+/–
в протухте убунты используется выбранная убунтой система ограничения доступов. Удивительно?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #135

135. Сообщение от Сладкая булочка (?), 15-Мрт-26, 17:43	+/–
> в протухте убунты используется выбранная убунтой система ограничения доступов. Удивительно? У них в snapstore большая часть приложений с classic confinement вообще https://snapcraft.io/docs/explanation/security/classic-confi.../
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #134

136. Сообщение от Аноним (136), 15-Мрт-26, 19:08	–2 +/–
> Ну может не бэкдора, а собственной тяпляпости - т.е. знал что так делать нельзя, но спринт-не-ждет, таск должен быть закрыт, поэтому быстро попрятал крошки под ковер. И смотрите - на 13 лет хватило ведь! Так это классическое программирование не СИшке. Вон когда диды переписывали юникс на СИ, они точно так же овнчили. "Ну сделал я буфер фикс длинны. Ну введет пользователь пароль больше 200 символов. Мне пох, я проверки добавлять не буду. И тааак сойдет"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #132 Ответы: #139

137. Сообщение от нах. (?), 16-Мрт-26, 08:21	+/–
внезапно оказалось что нет!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

138. Сообщение от нах. (?), 16-Мрт-26, 08:22	+/–
always has been.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

139. Сообщение от нах. (?), 16-Мрт-26, 08:25	+/–
вот тебе - пора пить  таблеточки. Безусловно, сишка виновата, на недоязычке-то нельзя ни файлик в /sys/ создать с правами 666, ни не проверить результат вызова, ни запустить что-то первое пришедшее в го... из окружения в недоверенной среде. Ну конечно ж нельзя, ты ж ни на каком кодить не умеешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #136

140. Сообщение от нах. (?), 16-Мрт-26, 08:27	+/–
в том что оказалось что 13 лет они это делать вполне могли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69

141. Сообщение от нах. (?), 16-Мрт-26, 08:31	+/–
ну так не ковыряй голым, трусы натяни сперва хотя бы. Тебе когда-то (уже в дальнем прошлом видимо) величайшая из контрразведок написала прекрасную targeted policy. В которой во-первых почти все что нужно большинству обычных систем уже есть готовое и почти всегда - работает, во-вторых есть какая-никакая документация и инструментарий чтоб если что не работает быстро и легко починить, ну и в целом это хорошая точка для старта если прям чешется сделать что-то свое. А у вас апармор успешен только в том что ломает запуск mysqld в контейнерах, путь ему видите ли не тот. За всю жизнь я _ни_разу_ не видел пользы от его бездарного существования. (selinux таки мне однажды уже прорвавшегося в ситему червяка остановил)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #112

142. Сообщение от Аноним (142), 16-Мрт-26, 09:30	+/–
> наиболее опасные из которых позволяют локальному непривилегированному пользователю > получить права root в системе, выйти из изолированных контейнеров и обойти ограничения, Ничего нового, пример ЧАЭС с "улучшением безопасности" так некоторых ничему и не научил.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #143

143. Сообщение от онанист (?), 16-Мрт-26, 11:06	+/–
да Вы чо? там, наверное, астра была, c мандатым доступом?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #142

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема