The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Уязвимость в snapd и flatpak, позволяющая обойти режим изоляции"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в snapd и flatpak, позволяющая обойти режим изоляции"  +/
Сообщение от opennews (??), 27-Мрт-19, 20:28 
В  инструментариях для управления самодостаточными пакетами snapd (https://usn.ubuntu.com/3917-1/) и flatpak (https://github.com/flatpak/flatpak/issues/2782) выявлены похожие уязвимости (CVE-2019-7303 (https://security-tracker.debian.org/tracker/CVE-2019-7303), CVE-2019-10063 (https://security-tracker.debian.org/tracker/CVE-2019-10063)), позволяющие на 64-разрядных системах обойти средства изоляции приложений и получить доступ к основной системе. При удачной атаке (эксплоит (https://www.exploit-db.com/exploits/46594)) злоумышленник может симулировать набор команд в активном терминале и выполнить произвольные команды вне изолированного окружения. Уязвимости устранены в выпусках snapd 2.37.4 (https://launchpad.net/ubuntu/+source/snapd/2.37.4+18.10.1),   flatpak 1.2.4 и flatpak 1.0.8 (https://github.com/flatpak/flatpak/releases).


Проблема вызвана некорректным устранением в 2017 году уязвимости CVE-2017-5226, для блокирования которой при помощи механизма seccomp было применено ограничение доступа изолированных приложений к  системному вызову ioctl с флагом TIOCSTI. Оказалось, что для блокировки на 64-разрядных системах применялась (https://github.com/refi64/flatpak-1/commit/6263a43397123c501...) 64-разрядная маска, в то время как в сравнении необходимо было учитывать только младшие 32 бита, так как аргумент TIOCSTI определён в ядре как 32-разрядный. Неправильная маска позволяла обойти ограничение на 64-разрядных системах  и  воспользоваться ioctl-интерфейсом TIOCSTI для помещения произвольных символов в буфер ввода терминала. Для обхода ограничения seccomp достаточно было при обращении к ioctl дополнительно выставить любой бит в старших 32 разрядах параметра TIOCSTI.

URL: https://github.com/flatpak/flatpak/releases
Новость: https://www.opennet.dev/opennews/art.shtml?num=50402

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +1 +/
Сообщение от mikevmk (??), 27-Мрт-19, 20:28 
Кто бы сомневался. Не зря я это говно из убунты выпиливаю первым делом
Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +7 +/
Сообщение от Аноним (2), 27-Мрт-19, 20:33 
Понимаешь ли ты, что теперь ты ВСЕ свои проги запускаешь вне изолированного окружения? Это как если бы ты полностью демонтировал дверь в свою квартиру на том основании, что у нее есть уязвимость в виде глазка, через который из подъезда можно по теням определить, есть ли кто в квартире.
Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +7 +/
Сообщение от Аноним84701 (ok), 27-Мрт-19, 21:31 
> Понимаешь ли ты, что теперь ты ВСЕ свои проги запускаешь вне изолированного
> окружения? Это как если бы ты полностью демонтировал дверь в свою квартиру на том основании, что у нее есть уязвимость в виде глазка, через который из подъезда можно по теням определить, есть ли кто в квартире.

Эх, а я и не знал что снап и флэтпак  сделали единственными средствами "изоляции". Остальные просто выкинули или все же запретили под страхом пожизненного лишения доступа к интернету?

Ну и да, я так понимаю, что благородные доны уже полностью перешли на Вейланд? Ведь иначе:
https://mjg59.dreamwidth.org/42320.html
> Apr. 21st, 2016 06:31 pm
> Matthew Garrett
> Any Snap package you install is completely capable of copying all your private data to wherever it wants with very little difficulty.

.

Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +/
Сообщение от soarin (ok), 28-Мрт-19, 04:14 
> Ну и да, я так понимаю, что благородные доны уже полностью перешли на Вейланд? Ведь иначе:
> snapcraft.yaml: plugs: [unity7]

А что иначе? Я могу сделать приложение в snap, которое будет запрашивать разрешения по максимуму, которые можно.
И оно сделает много нехорошего.

Это бага или фича?

Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +/
Сообщение от sd (??), 28-Мрт-19, 08:41 
Это реальность.
Система сырая во многих вопросах еще. Есть ли там информирование пользователя о правах и действиях софта как в андроиде хотябы не знаю.
Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  –2 +/
Сообщение от Джон Ленин (?), 27-Мрт-19, 22:04 
Он не знает, что есть проприетарные проги, которые меньше глючат установленными из флатпак.

Я наоборот у себя в арче поставил флатпак потому, что в WPS Office в нём нормально работают диалоги открытия файлов, и иконка скайпа в плазме отображается правильно.

Теперь весь глючащий проприетарный софт мне автоматически исправляет флатпак.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

65. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +/
Сообщение от Аноним (65), 28-Мрт-19, 22:37 
>>> весь глючащий проприетарный софт

Эти системы назначены для другого. Быть свободным.

Внести в них софт, с которым ты несвободен - тоже свобода. Но уже извращённая.

Ответить | Правка | Наверх | Cообщить модератору

67. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  –2 +/
Сообщение от IRASoldier (?), 29-Мрт-19, 02:14 
>Внести в них софт, с которым ты несвободен

Что такое свобода для пользователя - решает не Столлман со своей сектантской подменой понятий, а пользователь. Если пользователь _не нуждается_ в той или иной свободе, т.е. в той или иной _возможности_ - это не то же самое, что он "несвободен". Я не нуждаюсь в личном самолёте, мне не требуется набор инструментов для ремонта автомобиля, и т.д. - из этого никак не следует, что я ограничен в своих свободах. Если мне понадобится самолёт - я куплю билет у авиакомпании, если мне понадобится ремонт моей машины - я обращусь в автосервис. Ограничение возникает только тогда, когда возникает _необходимость_ воспользоваться чем-то, но это невозможно.

Так что использование закрытого и/или платного софта на открытой и бесплатной ОС, если этот софт наилучшим образом удовлетворяет потребность пользователя - это совершенно неизвращенное свободное решение этого пользователя.

Ответить | Правка | Наверх | Cообщить модератору

70. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +/
Сообщение от gogo (?), 30-Мрт-19, 00:25 
А если приложение еще удовлетворяет потребность проприетарных разработчиков пошпионить за пользователем, подсунуть ему рекламу, помйнить биткоинов малёхо - то это просто проявление свободы разработчиков.
А фигли там? Пользователь ведь получил что хотел. А в довесок к этому можно и пару лопат говнеца подкинуть - схавает...
Ответить | Правка | Наверх | Cообщить модератору

72. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +/
Сообщение от IRASoldier (?), 30-Мрт-19, 02:44 
>А если приложение еще удовлетворяет потребность проприетарных разработчиков

А для этого существуют сообщества, делающие обзоры, пишущие рецензии и прочее. Разраб накосячил - облейте говнецом, в чём проблема? Не надо делать чертежи авто открытыми и "свободными", чтобы на автосайтах новую мойшину, самопроизвольно завозящую ездуна по дороге домой в банк под предлогом выдачи ему кредита, признали отстоем.

Ответить | Правка | Наверх | Cообщить модератору

68. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  –2 +/
Сообщение от IRASoldier (?), 29-Мрт-19, 02:31 
И, предваряя возможные возражения в духе "Линукс не для пользователей" - кто угодно может выступать сразу в двух ипостасях: пользователя и разработчика. Как разработчику мне ВЫГОДНО использовать открытые решения, допустим, в областях БД и параллельных процессов, мне, вероятно, может быть так или иначе ВЫГОДНО также распространять и какие-то из моих решений в этих областях как открытые. А когда я хочу тупо отредактировать хоумвидео с моим котом - при прочих равных я выберу тот софт, который максимально безглючен, потому что я не специалист в области редактирования видео и не желаю разбираться в коде какого-то очередного совершенно столлманоугодного глюкодрома для внесения туда правок - я выступаю в роли пользователя, и мне совершенно всё равно, "свободна" подобранная для моих целей софтина или нет, мне ВЫГОДНО использовать ту, которая будет иметь оптимальное соотношение цены и качества. Качественно и бесплатно? Зашибись! Исходники закрыты? Так они мне в этом случае и не нужны. Короче, ещё раз - если пользователю НИКОГДА не понадобится та или иная ВОЗМОЖНОСТЬ, никто не может считать его несвободным. (Термин же "свобода" - примерно понятно, почему используется штатными демагогами и пропагандистами столлмановщины: он гипнотизирует не слишком склонного к размышлениям человека, ему внушается, что он "несвободен", ему надо "освободиться" и т.д. очень даже в духе всяких сектогуру.)
Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

62. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +1 +/
Сообщение от КО (?), 28-Мрт-19, 17:38 
> Это как если бы ты полностью демонтировал дверь в свою квартиру на том основании, что у нее ...

... нет стены.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

66. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +1 +/
Сообщение от IRASoldier (?), 29-Мрт-19, 02:06 
>ты ВСЕ свои проги запускаешь вне изолированного окружения? Это как если бы ты полностью демонтировал дверь в свою квартиру (...)

Ужос! Как же мы до снэпов с флэтпаками-то жили, а?!

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

13. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  –2 +/
Сообщение от Аноним (13), 27-Мрт-19, 21:15 
не ты один)
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

55. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +/
Сообщение от Аноним (55), 28-Мрт-19, 08:30 
Убунтят хлебом не корми, дай что-нибудь выпилить из дистрибутива. До арча походу ещё не доросли.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

6. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +5 +/
Сообщение от Suverenman (ok), 27-Мрт-19, 20:43 
Я, конечно, понимаю плюсы установщиков со всеми зависимостями внутри, которые можно "одним кликом" установить на почти любом линуксе (скоро и на других системах), но зачем-же их пихать туда, где есть хороший доступ к интернету (сервера, десктопы) и большинство устанавливаемых пакетов free and open-source.
Только буквально несколько раз встречался с неудачной попыткой инсталляции ПО из репозиториев (допустим, пакет calibre на новейшей KDE Neon или какой-то очень древний софт), но его, по моему скромному мнению, уж лучше установить из исходников, чем скачивать пол-системы. Нет, ну какой-нибудь проприетарный софт для производителя этого ПО, конечно, лучше сделать snap-ом, однако зачем мне (или нам), например, VLC из snap, весом в полгига и со своими либами, которые кроме него никто в системе и использовать-то не будет?    
Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  –11 +/
Сообщение от zzz (??), 27-Мрт-19, 20:56 
Линукс сам себя загнал в угол своим stable api is a nonsence. Поэтому и плодятся сущности - Docker, snap, flatpak, пытающиеся максимально изолировать приложения от этого самого nonsence.
Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +1 +/
Сообщение от Аноним (10), 27-Мрт-19, 21:04 
Как всё зззапущено.
Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  –5 +/
Сообщение от zzz (??), 27-Мрт-19, 21:11 
На вашем месте я бы не стал так горячиться. Еще можно привести линукс в чувство, время, пока что, есть.
Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +/
Сообщение от Anonymoussemail (?), 27-Мрт-19, 22:13 
времени для чего?
Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +1 +/
Сообщение от анон (?), 28-Мрт-19, 03:29 
ну, линукс - он такой бесчувственный. другое дело винда с её голубой цветовой гаммой или objective-c, необыкновенно высокий порог вхождения в который обусловлен необходимостью быть геем для написания более менее приличных программ.
Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +3 +/
Сообщение от Аноним (12), 27-Мрт-19, 21:12 
Это утверждение относится ко внутриядерному API. Из GLibc функции не выпиливают.
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

51. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +/
Сообщение от Аноним (51), 28-Мрт-19, 05:54 
Зря стараешься, теперь он начнёт верещать, что у ЯДРА нет стабильного API.

Заявление Линуса про стабильность API — типичный пример маркетингового фейла. Вообще-то в исторической переписке шла речь про API для _драйверов_, которое не является стабильным ни в Винде, ни на маке, ни вообще в какой-либо из распространённых ОС. И на то есть серьёзные причины.

Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  –1 +/
Сообщение от Аноним (15), 27-Мрт-19, 21:21 
Докер то чем вам насолил?
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

19. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +1 +/
Сообщение от zzz (??), 27-Мрт-19, 21:36 
Докер - изначально одна большая кривая раскривушка. Каждое обновление - регрессии, которые что-то, да ломают. AUFS - один сплошной глюкодром, который, к счастью, закопали. Но есть же overlay, правильно? Только он был ничуть не лучше, его бросили и начали писать overlay2. Портировать на более старые версии? Да плевать, хомячки пусть сами разбираются.

По сути, докер - такая себе вещь в себе: работает, пока работает, но в любой момент от любого чиха всё может поломаться, и всем будет абсолютно плевать, что у тебя крутится важный инстанс. Докер - про стильно-модно-молодежно, но никак не про надежность.

Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +/
Сообщение от anonymous (??), 27-Мрт-19, 21:49 
В смысле ? Докер вообще то не по стандарту и его нормальные люди не используют. В нормальных дистрах докер выкинули и заменили уже ...
Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  –2 +/
Сообщение от zzz (??), 27-Мрт-19, 21:55 
>Докер то чем вам насолил?

Читать сейчас так не модно, надо же успеть установить свежий snap, нельзя терять время.

Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  –1 +/
Сообщение от anonymous (??), 27-Мрт-19, 22:07 
И не понятно про что речь. Вон в glibc и kernel чуть ли не каждую недель критические уязвимости находят и что ? Все правильно, чем больше народу используют чем больше дыр находят и тем быстрее это правят, это нормальный процесс.

Вот когда не находят дыр и багов, вот это уже подозрительно.

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  –1 +/
Сообщение от zzz (??), 27-Мрт-19, 22:10 
Про докер.
Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +1 +/
Сообщение от Аноним (46), 28-Мрт-19, 00:37 
В Glibc каждую неделю критические уязвимости находят? Покажите! Вы с Glib'ом не путаете?
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

35. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +/
Сообщение от Аноним (35), 27-Мрт-19, 22:54 
Линус говорил про API ядра, API пользовательского уровня изолированное libc вполне себе stable
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

64. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +/
Сообщение от Аноним (64), 28-Мрт-19, 20:45 
Ядерное API, торчащее в юзерспей, тоже стабильное.
Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +/
Сообщение от Аноним (46), 28-Мрт-19, 00:38 
Как связаны stable API и snap'ы?
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

8. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +/
Сообщение от Аноним (8), 27-Мрт-19, 20:57 
Затем что криворуким "разработчикам" так проще.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

17. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  –1 +/
Сообщение от zzz (??), 27-Мрт-19, 21:26 
Это да. Честно пытался установить Asterisk бинарно - ни в какую. Зато есть неизвестно кем собранный докер и ISO, да.

С FreeSWITCH еще хуже, там тупо предлагают скачать .run и его запустить, а он, типа, сам всё как надо установит. В итоге скрипт отработал, но ничего не заработало. И есть вариант - накатить с ISO.

Как они так умудряются писать код, что его невозможно опакетить и для работы необходимо поставить ОС с нуля, причем, сами разработчики настаивают на этом пути - загадка.

Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +/
Сообщение от anonymous (??), 27-Мрт-19, 21:50 
Сроду юзал астерисков с EPEL и проблем никогда не было, даже dahdi, правда для последнего рпм сам собираю под очередное ядро, но да ладно.
Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +/
Сообщение от zzz (??), 27-Мрт-19, 21:57 
У мну на дебиане такое не получилось. И тот факт, что софтина требует какого-то выделенного дистра - высший показатель качества софта.
Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +/
Сообщение от anonymous (??), 27-Мрт-19, 22:00 
Нужно понимать какой дистр для работы а какой побаловаться. Помню лет 15 назад один знакомый и фанат генты всегда писал: гента это круто и т.д. но для работы я всегда использую centos.
Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  –1 +/
Сообщение от zzz (??), 27-Мрт-19, 22:07 
Debian - побаловаться? Rly?
Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +1 +/
Сообщение от Аноним (35), 27-Мрт-19, 23:01 
Debian это комьюнити дистрибутив, за деньги его не разрабатывают, а старые разработчики Debian уже на пенсии. Новые же смогли только systemd запихнуть, а больше ничего не умеют.
Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  –1 +/
Сообщение от zzz (??), 28-Мрт-19, 00:12 
Не "комьюнити-дистрибутив", а "разрабы приколотили софт к любимой ОС, и эта ОС - не дебиан".
Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +/
Сообщение от Аноним (57), 28-Мрт-19, 12:15 
> так умудряются писать код, что его невозможно опакетить

Код нормальный, у меня и астериск, и камайлио стали без проблем, когда мне надо было их поковырять. Это либо опакечивальщика надо розгами высечь за криворукость, либо разрабов дистра за то же самое.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

61. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  –1 +/
Сообщение от thresh (??), 28-Мрт-19, 16:27 
> зачем мне (или нам), например, VLC из snap, весом в полгига и со своими либами, которые кроме него никто в системе и использовать-то не будет?    

Ну вот лично мне -- как одному из авторов VLC и snap для него -- для легкого метода предоставления собранного как мы хотим VLC на многия платформы.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

71. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +/
Сообщение от gogo (?), 30-Мрт-19, 00:31 
Да вы просто сделайте по человечески хотя бы для ОДНОЙ платформы, на остальные найдутся кому допилить.
Вот есть дебиан/убунту для десктопных плюшек, есть редхат для "энтерпрайзового" софта - делайте под один LTS дистр. Все.
Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +/
Сообщение от Аноним (30), 27-Мрт-19, 22:26 
В Flatpak есть и другой путь, из man-страницы bwrap:
--new-session
    Create a new terminal session for the sandbox (calls setsid()). This disconnects the sandbox from the
    controlling terminal which means the sandbox can't for instance inject input into the terminal.
    Note: In a general sandbox, if you don't use --new-session, it is recommended to use seccomp to disallow
    the TIOCSTI ioctl, otherwise the application can feed keyboard input to the terminal.
Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +1 +/
Сообщение от Аноним (31), 27-Мрт-19, 22:28 
Совпадение? Не думаю. Скорее похоже на универсальный бекдор.
Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  –1 +/
Сообщение от VINRARUS (ok), 27-Мрт-19, 22:32 
Диверсия против форточки.
Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  –1 +/
Сообщение от anonymous (??), 27-Мрт-19, 22:36 
Кстати глянул тут на всякий случай:
https://centos.pkgs.org/7/epel-x86_64/snapd-2.37.4-2.el7.x86...
...
2019-02-27 - Michael Vogt <mvo@ubuntu.com>
- New upstream release 2.37.4
...

Вы что издеваетесь что ли ? Пакеты с этим делом уже целый месяц в репах лежат :(
Куда только модераторы смотрят :(

Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +/
Сообщение от anonymous (??), 27-Мрт-19, 22:40 
ааа это оказывается только flatpak касается :(
Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  –1 +/
Сообщение от Аноним (38), 27-Мрт-19, 23:10 
Вот поэтому нужно юзать Appimage.
Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +/
Сообщение от Анонимemail (39), 27-Мрт-19, 23:36 
> Проблема вызвана некорректным устранением в 2017 году уязвимости CVE-2017-5226,

одну дыру закрыли другой? :)

Ответить | Правка | Наверх | Cообщить модератору

60. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +/
Сообщение от Аноним (60), 28-Мрт-19, 15:52 
Заплатка оказалась неплотная.
Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +/
Сообщение от ОШИБКА Отсутствуют данные в поле Name (?), 27-Мрт-19, 23:53 
Вот тут говорят, мол есть изоляция, все дела. Но серьезно, насколько велика проблема выхода из песочницы, если для всех тех нескольких десятков flatpak и нескольких snap, что я видел, из коробки есть r/w доступ в $HOME?
Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +3 +/
Сообщение от Аноним (41), 27-Мрт-19, 23:59 
Как мы вообще дожили до того, чтобы в порядке вещей считать установленные на компьютер программы угрозой для пользователя и защищаться от них?  Зачем вообще устанавливать такие программы?  Почему стало нормой допускать выполнение на своем компьютере кучи сомнительного кода полученного из недоверенных источников (даже если в изолированной среде)?  Почему мы миримся с использованием программ, которые работают в интересах поставщиков, но не в интересах пользователей, безнадежно пытаемся ограничивать их вместо того, чтобы заменить их?

Движемся к тому, чтобы превратить дистрибутивы ГНУ/Линукс в помойку подобную Андроиду и современному Вебу, где программы являются врагами пользователей, с которыми приходится как-то мириться, чтобы делать дела и общаться с людьми, но доверять нельзя.

Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +1 +/
Сообщение от Анонимemail (43), 28-Мрт-19, 00:21 
> превратить дистрибутивы ГНУ/Линукс в помойку подобную Андроиду и современному Вебу,

Это неизбежность. Все к тому идет. И уже давно. Всему виной желание сделать линукс массовым. А для этого необходимо обеспечить простоту его использования, как в windows.

Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +2 +/
Сообщение от Аноним (51), 28-Мрт-19, 07:28 
Чтобы сделать Linux массовым не обязательно превращать его в помойку. В Арче есть AUR — та ещё помойка, - но софт там всё равно проходит элементарный контроль качества, а не берётся от вендора на честном слове: мол он же не криминальный элемент какой-нибудь, - плохого не сделает!

Проблема в том, что многие хотят и рыбку съесть и торт  себе оставить, и при этом ещё и денег за это получить. Прям как "тупые" мозилловские менеджеры, которые набивая карманы гугловскими деньгами, радостно побежали выкидывать из магазина аддонов модерацию. А потом недоумевают - почему доля рынка мозилки упала до рекордно низких размеров?? Оказывается, чтобы у тебя был качественный софт, нужно чтобы его все-таки кто-то контролировал. А эти жлобы хотят чтобы всё из коробки работало качественно, чтобы всю ответственность с них переложили на Васю-хакера, распространяющего свои поделия в snap-пакетами с 0-day эксплоитами, а модерацией занимались за спасибо бесправные волонтёры, которых при этом нужно унижать и постоянно угрожать им CoC-ом чтоб не зазнались.

Ответить | Правка | Наверх | Cообщить модератору

58. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +1 +/
Сообщение от Аноним84701 (ok), 28-Мрт-19, 12:26 
> Чтобы сделать Linux массовым не обязательно превращать его в помойку. В Арче
> есть AUR — та ещё помойка, - но софт там всё равно проходит элементарный контроль качества, а не берётся от вендора на честном слове: мол он же не криминальный элемент какой-нибудь, - плохого не сделает!

Кхе-кхе:
https://sensorstechforum.com/arch-linux-aur-repository-found.../
> |  July 10, 2018
>The project’s user-maintained AUR packages (which stands for “Arch User Repository”) have been found to host malware code in several instances. Fortunately a code analysis was able to discover the modifications in due time.
>

Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +/
Сообщение от Аноним (59), 28-Мрт-19, 14:59 
> В Арче есть AUR — та ещё помойка, - но софт там всё равно проходит элементарный контроль качества, а не берётся от вендора на честном слове

Какие же вы арчеюзеры наивные.

Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

52. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +1 +/
Сообщение от iPony (?), 28-Мрт-19, 06:00 
> Как мы вообще дожили до того, чтобы в порядке вещей считать установленные на компьютер программы угрозой для пользователя и защищаться от них?

Ну вот был/есть DOS с одним пользователем админом.

А остальное как-то с правами, ограничениями всякими. Откроешь линукс а он тебе кучу прав, пользователей, sudo...

Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

63. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +1 +/
Сообщение от Гентушник (ok), 28-Мрт-19, 19:26 
>  Откроешь линукс а он тебе кучу прав, пользователей, sudo...

Линукс (и юниксы вообще) - система многопользовательская.
Пользователи изначально были задуманы для, внезапно, разграничения доступа пользователей, а не для отделения программ от пользователей. Все сервисы пускали под рутом и жили счастливо, пока не осознали что в программах могут быть ошибки, используя которые можно поиметь всю систему целиком...

Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  –1 +/
Сообщение от Ordu (ok), 28-Мрт-19, 00:34 
Прикольный баг. В том смысле, что заставляет задуматься о том, как надо писать код, чтобы таких багов не допускать. Отказ от автоматических преобразований между целочисленными типами? Чтобы тыкать программиста носом в каждое преобразование и провоцировать его сознательно уделить внимание факту, и подумать как это правильнее сделать? Понятно, что это скажется положительно, но будет ли это решением?
Ответить | Правка | Наверх | Cообщить модератору

69. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +/
Сообщение от via (??), 29-Мрт-19, 09:55 
Парит, что по df теперь все эти снап-образы выводятся как нормальные фс
Ответить | Правка | Наверх | Cообщить модератору

73. "Уязвимость в snapd и flatpak, позволяющая обойти режим изоля..."  +/
Сообщение от usual useremail (?), 08-Фев-24, 14:12 
Уважаемые участники форума, а можете без умняков просто рассказать можно ли обойти систему Snappt, если можно, то как? Применительно, есть pdf файл, в нём в редакторе pdf меняешь пару цифр и этот snappt говорит, что документ изменён.

С уважением ко всем,
usual user

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру