https://opennet.dev/openforum/vsluhforumID3/130074.html В ядре Linux в реализации файловой системы OverlayFS выявлена уязвимость (CVE-2023-0386), которую можно использовать для получения root-доступа на системах, в которых установлена подсистема FUSЕ и разрешено монтирование разделов OverlayFS непривилегированным пользователем (начиная с ядра Linux 5.11 с включением непривилегированных user namespace). Проблема устранена в ветке ядра 6.2. Публикацию обновлений пакетов в дистрибутивах можно проследить на страницах: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=58857<br> https://opennet.dev/openforum/vsluhforumID3/130074.html#54 Thu, 30 Mar 2023 12:10:05 GMT Звучит жутковато<br> https://opennet.dev/openforum/vsluhforumID3/130074.html#53 Mon, 27 Mar 2023 09:58:42 GMT &gt; но используется только для одной программы - sudo<br><br>Если ты не в курсе, что chromium устанавливает setuid бинарь. И много кто ещё, тот же firejail к примеру или xorg.<br> https://opennet.dev/openforum/vsluhforumID3/130074.html#52 Sat, 25 Mar 2023 08:33:14 GMT А в правельных дистрибутивах так:<br>[code]<br>ls -l /sbin/unix_chkpwd<br>-rwx--x--x 1 root root 38624 Feb 23 2020 /sbin/unix_chkpwd<br>getcap /sbin/unix_chkpwd<br>/sbin/unix_chkpwd = cap_dac_override+i<br>[/code]<br>/etc/security/capability.conf:<br>[code]<br>cap_dac_override vasya<br>none *<br>[/code]<br> https://opennet.dev/openforum/vsluhforumID3/130074.html#51 Sat, 25 Mar 2023 08:22:23 GMT &gt; в нормальных дистрах монтирование дисков в режиме записи, на рабочей системе, запрещено.<br><br>Как и OverlayFS с FUSE.<br> https://opennet.dev/openforum/vsluhforumID3/130074.html#50 Sat, 25 Mar 2023 05:43:12 GMT &gt; используется только для одной программы<br><br>Это не так. В разных дистрах по разному. Многие уже используют CAP. В многопользовательских системах subit на группу необходим для некоторых каталогов, для ACL нужен.<br><br>SUID оказывается и CAP необходим для понижения привилегий root: https://www.opennet.ru/openforum/vsluhforumID10/5622.html#12<br><br>По теме, в нормальных дистрах монтирование дисков в режиме записи, на рабочей системе, запрещено. <br> https://opennet.dev/openforum/vsluhforumID3/130074.html#49 Sat, 25 Mar 2023 04:56:10 GMT Если скорректировать причинно-следственные связи, то это ядру нужно знать, привилегии каких потоков исполнения допустимо повышать. suid-бит ставится на файл, причём произвольный. Задачу возможно решить аккуратнее, создав список разрешённых файлов и их хешей. К такому, кстати, и идёт RedHat с цифровыми подписями.<br> https://opennet.dev/openforum/vsluhforumID3/130074.html#48 Sat, 25 Mar 2023 03:06:08 GMT Идея в том, чтобы создать образ ФС с такими файлами на другой машине, где есть root, а потом скопировать на другую, примонтировать его через FUSE и дальше по инструкции в новости.<br><br> https://opennet.dev/openforum/vsluhforumID3/130074.html#47 Sat, 25 Mar 2023 00:14:11 GMT &gt;принадлежащий пользователю root исполняемый файл с флагами setuid/setgid, доступным всем пользователям на запись<br><br>Чего вы все привязались к setuid/setgid? Есть ли идиоты, у которых в системе исполняеме файлы "доступные всем пользователям на запись"?<br> https://opennet.dev/openforum/vsluhforumID3/130074.html#46 Fri, 24 Mar 2023 20:52:48 GMT 0 дней без уязвимости в непривилегированных user namespace<br>