OpenForum RSS: Root-уязвимость в инструментарии управления пакетами Snap https://www.opennet.ru/openforum/vsluhforumID3/129142.html Компания Qualys выявила третью в этому году опасную уязвимость (CVE-2022-3328) в утилите snap-confine, поставляемой с флагом SUID root и вызываемой процессом snapd для формирования исполняемого окружения для приложений, распространяемых в самодостаточных пакетах в формате snap. Уязвимость позволяет локальному непривилегированному пользователю добиться выполнения кода с правами root в конфигурации Ubuntu по умолчанию. Проблема устранена в выпуске snapd 2.57.6. Обновления пакетов выпущены для всех поддерживаемых веток Ubuntu...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=58242<br> Root-уязвимость в инструментарии управления пакетами Snap (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/129142.html#90 Tue, 06 Dec 2022 06:56:50 GMT Сборка нативных пакетов из всякого овна типа игогошечки - это тот ещё номер, потому что оно заточено под хипстабардак и постоянное переразвёртывание.<br> Root-уязвимость в инструментарии управления пакетами Snap (Тот_Самый_Анонимус_) https://www.opennet.ru/openforum/vsluhforumID3/129142.html#89 Sun, 04 Dec 2022 02:31:22 GMT Сморти шире. Линь &#8212; троян, ведь каждую уязвимость внедряли умышленно.<br> Root-уязвимость в инструментарии управления пакетами Snap (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/129142.html#87 Sat, 03 Dec 2022 16:59:14 GMT &gt; С андроидом вышло плохо - не используется, кроме чтения газет и звонков.<br><br>Очередной отрицатель реальности. Откуда вы лезете?<br> Root-уязвимость в инструментарии управления пакетами Snap (А) https://www.opennet.ru/openforum/vsluhforumID3/129142.html#86 Sat, 03 Dec 2022 12:44:17 GMT Нормальные дистрибутивы - площадка для творчества и развития - взаимосогласованный набор сырцов под присмотром известной команды.<br><br>Снэпы - попытка всё это выбросить и стать на рельсы Андроида с магазином. С андроидом вышло плохо - не используется, кроме чтения газет и звонков. Увы, можно было гораздо больше.<br><br>А уж что за кабак внутри Снэпов в зависимостях от третьей, четвёртой+ сторон в бинарных блобах без сырцов.<br><br>Снэпы - плохо.<br> Root-уязвимость в инструментарии управления пакетами Snap (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/129142.html#85 Sat, 03 Dec 2022 12:06:08 GMT Потому что самонадеянные пакеты это будущее линукс, хочешь ты этого или нет.<br> Root-уязвимость в инструментарии управления пакетами Snap (BrainFucker) https://www.opennet.ru/openforum/vsluhforumID3/129142.html#84 Sat, 03 Dec 2022 03:00:10 GMT &gt; tar.bz2 это не exe. &#129331; <br><br>Ну и что. Почти всё что надо бинарь может сделать при первом запуске. А самораспаковывающийся архив легко сделать даже на баше, если очень надо.<br><br>И кстати, никаких рут уязвимостей в этом случае, приложение можно поставить без прав рута. Чем не могут похвастаться даже традиционные пакетные менеджеры типа apt, с их встроенными pre-install и post-install скриптами может прозойти что угодно. <br>Правда, я предпочитаю распаковывать с рутовыми правами в директорию /opt, зато приложение доступно на запись только руту, чтобы никто не мог его модифицировать, но это частности. Но и в этом случае при распаковке ничего из архива с рутовыми правами не выполняется.<br><br> Root-уязвимость в инструментарии управления пакетами Snap (Искренне недоумеваю) https://www.opennet.ru/openforum/vsluhforumID3/129142.html#81 Sat, 03 Dec 2022 00:19:36 GMT &gt;[оверквотинг удален]<br>&gt; больше технологий по типа mojosetup (который, честно говоря, был брошен на <br>&gt; пол пути своего развития). Люди ржут по типа "хаха-лол setup.exe", какая-нибудь <br>&gt; mozilla вообще была рада распространять установщик firefox для линукса под setup.exe <br>&gt; более того если эта платформа будет поддерживает фоновые процессы на автостарте <br>&gt; системы для фонового автообновления браузера Mozilla Maintenance Service в венде.<br>&gt; Люди совсем не понимают, что кроме "централизованного репозитория/а теперь еще и магазинов" <br>&gt; что флатпак что снап пытаются решить проблему "base os" банально предоставляя <br>&gt; либы базовых lts систем. Мы в систему установим рядом такую же <br>&gt; систему, но более старенькую в надежде что там нет багов, крашей <br>&gt; и заведомо потенциальных уязвимостей bleeding-edge версий Си библиотек.<br><br>Что не так со стабильностью api/abi в рамках цикла 10 лет жизни какого-нибудь RHEL?<br>Кто помешал корпорациям их считать единственным эталонным дистром?<br><br>Подскажу сразу - никто. Более тог Root-уязвимость в инструментарии управления пакетами Snap (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/129142.html#80 Fri, 02 Dec 2022 23:41:47 GMT &gt; Qualys выявила третью в этому году опасную уязвимость<br><br>Что значит "нашла уязвимость"?! Не палите контору!<br>Майёр недоволен. Вставляйте новую - людям работать надо!<br> Root-уязвимость в инструментарии управления пакетами Snap (Пахом) https://www.opennet.ru/openforum/vsluhforumID3/129142.html#77 Fri, 02 Dec 2022 21:40:21 GMT Снапы не нужны. Они противоречат самой идеи линпукса &#8211; шарить пакеты.<br>