https://opennet.dev/openforum/vsluhforumID3/106844.html Во входящем в состав ядра Linux модуле snd-usbmidi-lib выявлена (https://xairy.github.io/blog/2016/cve-2016-2384) критическая уязвимость (CVE-2016-2384 (https://security-tracker.debian.org/tracker/CVE-2016-2384)), позволяющая организовать выполнение кода с правами ядра при наличии у атакующего физического доступа к системе. <br><br><br>Для атаки необходимо подключить к компьютеру специально настроенное USB-устройство, передающее некорректный блок параметров USB, а также запустить в системе определённый код под непривилегированным пользователем. Без наличия возможности выполнения кода на локальной системе уязвимость позволяет только инициировать отказ в обслуживании (крах ядра).<br><br><br>Уязвимость затрагивает пакеты с ядром, поставляемые в большинстве дистрибутивов Linux, включая Red Hat Enterprise Linux 6/7 (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2016-2384), Ubuntu (http://people.canonical.com/~ubuntu-security/cve/CVE-2016-2384), Debian (https://security-tracker.debian.org/tracker/CVE-2016-2384), Fedora и SUSE https://opennet.dev/openforum/vsluhforumID3/106844.html#76 Thu, 25 Feb 2016 13:02:26 GMT В /etc/fstab да, всегда сработает, но не все варианты...<br><br>В автомаунтере KDE должна быть возможность указания опций с какими монтировать флешки, как, например, в Gnome.<br><br>Мне и в исходниках подойдёт, в каком файле эти опции есть?<br> https://opennet.dev/openforum/vsluhforumID3/106844.html#75 Wed, 24 Feb 2016 16:25:44 GMT Страус с зондом от Амазона и Шаттловрота.<br> https://opennet.dev/openforum/vsluhforumID3/106844.html#74 Wed, 24 Feb 2016 16:20:53 GMT &gt; Где в KDE теперь выставляются опции монтирования по умолчанию? Как в KDE-4, <br>&gt; KDE-5 поставить noexec?<br><br>В /etc/fstab - у всех работает :)<br><br> https://opennet.dev/openforum/vsluhforumID3/106844.html#73 Wed, 24 Feb 2016 16:18:35 GMT &gt; Еще нужно оптическому приводу запретить возможность загрузки, и для USB тоже :) <br><br>Лучше питание не подключать. Против такой защиты бессильны даже хакеры.<br> https://opennet.dev/openforum/vsluhforumID3/106844.html#72 Wed, 24 Feb 2016 16:13:18 GMT &gt; Но теперь выходит, что в этом плане линь не лучше венды.<br><br>Если тебе уже подсунули и запустили свой код и подогнали BadUSB устройство - да, Linux облажается. Но при таких вводных тебя уже поимели, а USB устройство может из флешки внезапно стать клавиатурой. На усмотрение прошивки контроллера "флешки".<br> https://opennet.dev/openforum/vsluhforumID3/106844.html#71 Wed, 24 Feb 2016 12:58:53 GMT https://www.reddit.com/r/talesfromtechsupport/comments/2mkmlm/the_boss_has_malware_again/<br> https://opennet.dev/openforum/vsluhforumID3/106844.html#70 Wed, 24 Feb 2016 06:50:44 GMT &gt; 1. все флешки всегда монтировать с параметрами noexec,nodev,nosuid <br><br>Где в KDE теперь выставляются опции монтирования по умолчанию? Как в KDE-4, KDE-5 поставить noexec?<br> https://opennet.dev/openforum/vsluhforumID3/106844.html#69 Wed, 24 Feb 2016 06:39:02 GMT А почему WONTFIX?<br> https://opennet.dev/openforum/vsluhforumID3/106844.html#68 Wed, 24 Feb 2016 06:37:08 GMT &gt; Для атаки необходимо подключить к компьютеру специально настроенное USB-устройство, передающее .... а также запустить в системе определённый код под непривилегированным пользователем<br><br>1. все флешки всегда монтировать с параметрами noexec,nodev,nosuid<br><br>2. Настройки ядра с grsec: CONFIG_GRKERNSEC_DENYUSB и CONFIG_GRKERNSEC_DENYUSB_FORCE<br><br>3. Разрешаем только свои USB устройтсва в eudev правилах https://wiki.gentoo.org/wiki/Allow_only_known_usb_devices#eudev<br>