В инструментариях для управления самодостаточными пакетами snapd (https://usn.ubuntu.com/3917-1/) и flatpak (https://github.com/flatpak/flatpak/issues/2782) выявлены похожие уязвимости (CVE-2019-7303 (https://security-tracker.debian.org/tracker/CVE-2019-7303), CVE-2019-10063 (https://security-tracker.debian.org/tracker/CVE-2019-10063)), позволяющие на 64-разрядных системах обойти средства изоляции приложений и получить доступ к основной системе. При удачной атаке (эксплоит (https://www.exploit-db.com/exploits/46594)) злоумышленник может симулировать набор команд в активном терминале и выполнить произвольные команды вне изолированного окружения. Уязвимости устранены в выпусках snapd 2.37.4 (https://launchpad.net/ubuntu/+source/snapd/2.37.4+18.10.1), flatpak 1.2.4 и flatpak 1.0.8 (https://github.com/flatpak/flatpak/releases).
Проблема вызвана некорректным устранением в 2017 году уязвимости CVE-2017-5226, для блокирования которой при помощи механизма seccomp было применено ограничение доступа изолированных приложений к системному вызову ioctl с флагом TIOCSTI. Оказалось, что для блокировки на 64-разрядных системах применялась (https://github.com/refi64/flatpak-1/commit/6263a43397123c501...) 64-разрядная маска, в то время как в сравнении необходимо было учитывать только младшие 32 бита, так как аргумент TIOCSTI определён в ядре как 32-разрядный. Неправильная маска позволяла обойти ограничение на 64-разрядных системах и воспользоваться ioctl-интерфейсом TIOCSTI для помещения произвольных символов в буфер ввода терминала. Для обхода ограничения seccomp достаточно было при обращении к ioctl дополнительно выставить любой бит в старших 32 разрядах параметра TIOCSTI.URL: https://github.com/flatpak/flatpak/releases
Новость: https://www.opennet.dev/opennews/art.shtml?num=50402
Кто бы сомневался. Не зря я это говно из убунты выпиливаю первым делом
Понимаешь ли ты, что теперь ты ВСЕ свои проги запускаешь вне изолированного окружения? Это как если бы ты полностью демонтировал дверь в свою квартиру на том основании, что у нее есть уязвимость в виде глазка, через который из подъезда можно по теням определить, есть ли кто в квартире.
> Понимаешь ли ты, что теперь ты ВСЕ свои проги запускаешь вне изолированного
> окружения? Это как если бы ты полностью демонтировал дверь в свою квартиру на том основании, что у нее есть уязвимость в виде глазка, через который из подъезда можно по теням определить, есть ли кто в квартире.Эх, а я и не знал что снап и флэтпак сделали единственными средствами "изоляции". Остальные просто выкинули или все же запретили под страхом пожизненного лишения доступа к интернету?
Ну и да, я так понимаю, что благородные доны уже полностью перешли на Вейланд? Ведь иначе:
https://mjg59.dreamwidth.org/42320.html
> Apr. 21st, 2016 06:31 pm
> Matthew Garrett
> Any Snap package you install is completely capable of copying all your private data to wherever it wants with very little difficulty..
> Ну и да, я так понимаю, что благородные доны уже полностью перешли на Вейланд? Ведь иначе:
> snapcraft.yaml: plugs: [unity7]А что иначе? Я могу сделать приложение в snap, которое будет запрашивать разрешения по максимуму, которые можно.
И оно сделает много нехорошего.Это бага или фича?
Это реальность.
Система сырая во многих вопросах еще. Есть ли там информирование пользователя о правах и действиях софта как в андроиде хотябы не знаю.
Он не знает, что есть проприетарные проги, которые меньше глючат установленными из флатпак.Я наоборот у себя в арче поставил флатпак потому, что в WPS Office в нём нормально работают диалоги открытия файлов, и иконка скайпа в плазме отображается правильно.
Теперь весь глючащий проприетарный софт мне автоматически исправляет флатпак.
>>> весь глючащий проприетарный софтЭти системы назначены для другого. Быть свободным.
Внести в них софт, с которым ты несвободен - тоже свобода. Но уже извращённая.
>Внести в них софт, с которым ты несвободенЧто такое свобода для пользователя - решает не Столлман со своей сектантской подменой понятий, а пользователь. Если пользователь _не нуждается_ в той или иной свободе, т.е. в той или иной _возможности_ - это не то же самое, что он "несвободен". Я не нуждаюсь в личном самолёте, мне не требуется набор инструментов для ремонта автомобиля, и т.д. - из этого никак не следует, что я ограничен в своих свободах. Если мне понадобится самолёт - я куплю билет у авиакомпании, если мне понадобится ремонт моей машины - я обращусь в автосервис. Ограничение возникает только тогда, когда возникает _необходимость_ воспользоваться чем-то, но это невозможно.
Так что использование закрытого и/или платного софта на открытой и бесплатной ОС, если этот софт наилучшим образом удовлетворяет потребность пользователя - это совершенно неизвращенное свободное решение этого пользователя.
А если приложение еще удовлетворяет потребность проприетарных разработчиков пошпионить за пользователем, подсунуть ему рекламу, помйнить биткоинов малёхо - то это просто проявление свободы разработчиков.
А фигли там? Пользователь ведь получил что хотел. А в довесок к этому можно и пару лопат говнеца подкинуть - схавает...
>А если приложение еще удовлетворяет потребность проприетарных разработчиковА для этого существуют сообщества, делающие обзоры, пишущие рецензии и прочее. Разраб накосячил - облейте говнецом, в чём проблема? Не надо делать чертежи авто открытыми и "свободными", чтобы на автосайтах новую мойшину, самопроизвольно завозящую ездуна по дороге домой в банк под предлогом выдачи ему кредита, признали отстоем.
И, предваряя возможные возражения в духе "Линукс не для пользователей" - кто угодно может выступать сразу в двух ипостасях: пользователя и разработчика. Как разработчику мне ВЫГОДНО использовать открытые решения, допустим, в областях БД и параллельных процессов, мне, вероятно, может быть так или иначе ВЫГОДНО также распространять и какие-то из моих решений в этих областях как открытые. А когда я хочу тупо отредактировать хоумвидео с моим котом - при прочих равных я выберу тот софт, который максимально безглючен, потому что я не специалист в области редактирования видео и не желаю разбираться в коде какого-то очередного совершенно столлманоугодного глюкодрома для внесения туда правок - я выступаю в роли пользователя, и мне совершенно всё равно, "свободна" подобранная для моих целей софтина или нет, мне ВЫГОДНО использовать ту, которая будет иметь оптимальное соотношение цены и качества. Качественно и бесплатно? Зашибись! Исходники закрыты? Так они мне в этом случае и не нужны. Короче, ещё раз - если пользователю НИКОГДА не понадобится та или иная ВОЗМОЖНОСТЬ, никто не может считать его несвободным. (Термин же "свобода" - примерно понятно, почему используется штатными демагогами и пропагандистами столлмановщины: он гипнотизирует не слишком склонного к размышлениям человека, ему внушается, что он "несвободен", ему надо "освободиться" и т.д. очень даже в духе всяких сектогуру.)
> Это как если бы ты полностью демонтировал дверь в свою квартиру на том основании, что у нее ...... нет стены.
>ты ВСЕ свои проги запускаешь вне изолированного окружения? Это как если бы ты полностью демонтировал дверь в свою квартиру (...)Ужос! Как же мы до снэпов с флэтпаками-то жили, а?!
не ты один)
Убунтят хлебом не корми, дай что-нибудь выпилить из дистрибутива. До арча походу ещё не доросли.
Я, конечно, понимаю плюсы установщиков со всеми зависимостями внутри, которые можно "одним кликом" установить на почти любом линуксе (скоро и на других системах), но зачем-же их пихать туда, где есть хороший доступ к интернету (сервера, десктопы) и большинство устанавливаемых пакетов free and open-source.
Только буквально несколько раз встречался с неудачной попыткой инсталляции ПО из репозиториев (допустим, пакет calibre на новейшей KDE Neon или какой-то очень древний софт), но его, по моему скромному мнению, уж лучше установить из исходников, чем скачивать пол-системы. Нет, ну какой-нибудь проприетарный софт для производителя этого ПО, конечно, лучше сделать snap-ом, однако зачем мне (или нам), например, VLC из snap, весом в полгига и со своими либами, которые кроме него никто в системе и использовать-то не будет?
Линукс сам себя загнал в угол своим stable api is a nonsence. Поэтому и плодятся сущности - Docker, snap, flatpak, пытающиеся максимально изолировать приложения от этого самого nonsence.
Как всё зззапущено.
На вашем месте я бы не стал так горячиться. Еще можно привести линукс в чувство, время, пока что, есть.
времени для чего?
ну, линукс - он такой бесчувственный. другое дело винда с её голубой цветовой гаммой или objective-c, необыкновенно высокий порог вхождения в который обусловлен необходимостью быть геем для написания более менее приличных программ.
Это утверждение относится ко внутриядерному API. Из GLibc функции не выпиливают.
Зря стараешься, теперь он начнёт верещать, что у ЯДРА нет стабильного API.Заявление Линуса про стабильность API — типичный пример маркетингового фейла. Вообще-то в исторической переписке шла речь про API для _драйверов_, которое не является стабильным ни в Винде, ни на маке, ни вообще в какой-либо из распространённых ОС. И на то есть серьёзные причины.
Докер то чем вам насолил?
Докер - изначально одна большая кривая раскривушка. Каждое обновление - регрессии, которые что-то, да ломают. AUFS - один сплошной глюкодром, который, к счастью, закопали. Но есть же overlay, правильно? Только он был ничуть не лучше, его бросили и начали писать overlay2. Портировать на более старые версии? Да плевать, хомячки пусть сами разбираются.По сути, докер - такая себе вещь в себе: работает, пока работает, но в любой момент от любого чиха всё может поломаться, и всем будет абсолютно плевать, что у тебя крутится важный инстанс. Докер - про стильно-модно-молодежно, но никак не про надежность.
В смысле ? Докер вообще то не по стандарту и его нормальные люди не используют. В нормальных дистрах докер выкинули и заменили уже ...
>Докер то чем вам насолил?Читать сейчас так не модно, надо же успеть установить свежий snap, нельзя терять время.
И не понятно про что речь. Вон в glibc и kernel чуть ли не каждую недель критические уязвимости находят и что ? Все правильно, чем больше народу используют чем больше дыр находят и тем быстрее это правят, это нормальный процесс.Вот когда не находят дыр и багов, вот это уже подозрительно.
Про докер.
В Glibc каждую неделю критические уязвимости находят? Покажите! Вы с Glib'ом не путаете?
Линус говорил про API ядра, API пользовательского уровня изолированное libc вполне себе stable
Ядерное API, торчащее в юзерспей, тоже стабильное.
Как связаны stable API и snap'ы?
Затем что криворуким "разработчикам" так проще.
Это да. Честно пытался установить Asterisk бинарно - ни в какую. Зато есть неизвестно кем собранный докер и ISO, да.С FreeSWITCH еще хуже, там тупо предлагают скачать .run и его запустить, а он, типа, сам всё как надо установит. В итоге скрипт отработал, но ничего не заработало. И есть вариант - накатить с ISO.
Как они так умудряются писать код, что его невозможно опакетить и для работы необходимо поставить ОС с нуля, причем, сами разработчики настаивают на этом пути - загадка.
Сроду юзал астерисков с EPEL и проблем никогда не было, даже dahdi, правда для последнего рпм сам собираю под очередное ядро, но да ладно.
У мну на дебиане такое не получилось. И тот факт, что софтина требует какого-то выделенного дистра - высший показатель качества софта.
Нужно понимать какой дистр для работы а какой побаловаться. Помню лет 15 назад один знакомый и фанат генты всегда писал: гента это круто и т.д. но для работы я всегда использую centos.
Debian - побаловаться? Rly?
Debian это комьюнити дистрибутив, за деньги его не разрабатывают, а старые разработчики Debian уже на пенсии. Новые же смогли только systemd запихнуть, а больше ничего не умеют.
Не "комьюнити-дистрибутив", а "разрабы приколотили софт к любимой ОС, и эта ОС - не дебиан".
> так умудряются писать код, что его невозможно опакетитьКод нормальный, у меня и астериск, и камайлио стали без проблем, когда мне надо было их поковырять. Это либо опакечивальщика надо розгами высечь за криворукость, либо разрабов дистра за то же самое.
> зачем мне (или нам), например, VLC из snap, весом в полгига и со своими либами, которые кроме него никто в системе и использовать-то не будет?Ну вот лично мне -- как одному из авторов VLC и snap для него -- для легкого метода предоставления собранного как мы хотим VLC на многия платформы.
Да вы просто сделайте по человечески хотя бы для ОДНОЙ платформы, на остальные найдутся кому допилить.
Вот есть дебиан/убунту для десктопных плюшек, есть редхат для "энтерпрайзового" софта - делайте под один LTS дистр. Все.
В Flatpak есть и другой путь, из man-страницы bwrap:
--new-session
Create a new terminal session for the sandbox (calls setsid()). This disconnects the sandbox from the
controlling terminal which means the sandbox can't for instance inject input into the terminal.
Note: In a general sandbox, if you don't use --new-session, it is recommended to use seccomp to disallow
the TIOCSTI ioctl, otherwise the application can feed keyboard input to the terminal.
Совпадение? Не думаю. Скорее похоже на универсальный бекдор.
Диверсия против форточки.
Кстати глянул тут на всякий случай:
https://centos.pkgs.org/7/epel-x86_64/snapd-2.37.4-2.el7.x86...
...
2019-02-27 - Michael Vogt <mvo@ubuntu.com>
- New upstream release 2.37.4
...Вы что издеваетесь что ли ? Пакеты с этим делом уже целый месяц в репах лежат :(
Куда только модераторы смотрят :(
ааа это оказывается только flatpak касается :(
Вот поэтому нужно юзать Appimage.
> Проблема вызвана некорректным устранением в 2017 году уязвимости CVE-2017-5226,одну дыру закрыли другой? :)
Заплатка оказалась неплотная.
Вот тут говорят, мол есть изоляция, все дела. Но серьезно, насколько велика проблема выхода из песочницы, если для всех тех нескольких десятков flatpak и нескольких snap, что я видел, из коробки есть r/w доступ в $HOME?
Как мы вообще дожили до того, чтобы в порядке вещей считать установленные на компьютер программы угрозой для пользователя и защищаться от них? Зачем вообще устанавливать такие программы? Почему стало нормой допускать выполнение на своем компьютере кучи сомнительного кода полученного из недоверенных источников (даже если в изолированной среде)? Почему мы миримся с использованием программ, которые работают в интересах поставщиков, но не в интересах пользователей, безнадежно пытаемся ограничивать их вместо того, чтобы заменить их?Движемся к тому, чтобы превратить дистрибутивы ГНУ/Линукс в помойку подобную Андроиду и современному Вебу, где программы являются врагами пользователей, с которыми приходится как-то мириться, чтобы делать дела и общаться с людьми, но доверять нельзя.
> превратить дистрибутивы ГНУ/Линукс в помойку подобную Андроиду и современному Вебу,Это неизбежность. Все к тому идет. И уже давно. Всему виной желание сделать линукс массовым. А для этого необходимо обеспечить простоту его использования, как в windows.
Чтобы сделать Linux массовым не обязательно превращать его в помойку. В Арче есть AUR — та ещё помойка, - но софт там всё равно проходит элементарный контроль качества, а не берётся от вендора на честном слове: мол он же не криминальный элемент какой-нибудь, - плохого не сделает!Проблема в том, что многие хотят и рыбку съесть и торт себе оставить, и при этом ещё и денег за это получить. Прям как "тупые" мозилловские менеджеры, которые набивая карманы гугловскими деньгами, радостно побежали выкидывать из магазина аддонов модерацию. А потом недоумевают - почему доля рынка мозилки упала до рекордно низких размеров?? Оказывается, чтобы у тебя был качественный софт, нужно чтобы его все-таки кто-то контролировал. А эти жлобы хотят чтобы всё из коробки работало качественно, чтобы всю ответственность с них переложили на Васю-хакера, распространяющего свои поделия в snap-пакетами с 0-day эксплоитами, а модерацией занимались за спасибо бесправные волонтёры, которых при этом нужно унижать и постоянно угрожать им CoC-ом чтоб не зазнались.
> Чтобы сделать Linux массовым не обязательно превращать его в помойку. В Арче
> есть AUR — та ещё помойка, - но софт там всё равно проходит элементарный контроль качества, а не берётся от вендора на честном слове: мол он же не криминальный элемент какой-нибудь, - плохого не сделает!Кхе-кхе:
https://sensorstechforum.com/arch-linux-aur-repository-found.../
> | July 10, 2018
>The project’s user-maintained AUR packages (which stands for “Arch User Repository”) have been found to host malware code in several instances. Fortunately a code analysis was able to discover the modifications in due time.
>
> В Арче есть AUR — та ещё помойка, - но софт там всё равно проходит элементарный контроль качества, а не берётся от вендора на честном словеКакие же вы арчеюзеры наивные.
> Как мы вообще дожили до того, чтобы в порядке вещей считать установленные на компьютер программы угрозой для пользователя и защищаться от них?Ну вот был/есть DOS с одним пользователем админом.
А остальное как-то с правами, ограничениями всякими. Откроешь линукс а он тебе кучу прав, пользователей, sudo...
> Откроешь линукс а он тебе кучу прав, пользователей, sudo...Линукс (и юниксы вообще) - система многопользовательская.
Пользователи изначально были задуманы для, внезапно, разграничения доступа пользователей, а не для отделения программ от пользователей. Все сервисы пускали под рутом и жили счастливо, пока не осознали что в программах могут быть ошибки, используя которые можно поиметь всю систему целиком...
Прикольный баг. В том смысле, что заставляет задуматься о том, как надо писать код, чтобы таких багов не допускать. Отказ от автоматических преобразований между целочисленными типами? Чтобы тыкать программиста носом в каждое преобразование и провоцировать его сознательно уделить внимание факту, и подумать как это правильнее сделать? Понятно, что это скажется положительно, но будет ли это решением?
Парит, что по df теперь все эти снап-образы выводятся как нормальные фс
Уважаемые участники форума, а можете без умняков просто рассказать можно ли обойти систему Snappt, если можно, то как? Применительно, есть pdf файл, в нём в редакторе pdf меняешь пару цифр и этот snappt говорит, что документ изменён.С уважением ко всем,
usual user