Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Критическая уязвимость в PolKit, позволяющая получить root-доступ в большинстве дистрибутивов Linux" | +1 +/– | |
Сообщение от opennews (??), 26-Янв-22, 12:11 | ||
Компания Qualys выявила уявзвимость (CVE-2021-4034) в системном компоненте Polkit (бывший PolicyKit), используемом в дистрибутивах Linux для организации выполнения непривилегированными пользователями действий, требующих повышенных прав доступа. Уязвимость позволяет непривилегированному локальному пользователю повысить свои привилегии до пользователя root и получить полный контроль за системой. Проблема получила кодовое имя PwnKit и примечательная подготовкой рабочего эксплоита, работающего в конфигурации по умолчанию большинства дистрибутивов Linux... | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения | [Сортировка по времени | RSS] |
6. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | –6 +/– | |
Сообщение от Анонн (?), 26-Янв-22, 12:22 | ||
> а следующую за пределами буфера память как далее идущее содержимое массива | ||
Ответить | Правка | Наверх | Cообщить модератору |
10. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +1 +/– | |
Сообщение от Аноним (10), 26-Янв-22, 12:26 | ||
Но ведь дело может быть и не в программисте и не в языке. А в том что кто-то специально оставил лазейку для кого надо (может для себя). И от этого не застрахован никакой язык никакой программист и никакой опенсорсный проект. | ||
Ответить | Правка | Наверх | Cообщить модератору |
18. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +17 +/– | |
Сообщение от анон (?), 26-Янв-22, 12:35 | ||
А как же ревьюверы! А как же ментейнер! | ||
Ответить | Правка | Наверх | Cообщить модератору |
35. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +17 +/– | |
Сообщение от Совершенно другой аноним (?), 26-Янв-22, 12:54 | ||
а какова вероятность обнаружения и исправления аналогичной ошибки в компоненте с закрытым исходным кодом? | ||
Ответить | Правка | Наверх | Cообщить модератору |
49. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +2 +/– | |
Сообщение от A.Stahl (ok), 26-Янв-22, 13:09 | ||
0±ε | ||
Ответить | Правка | Наверх | Cообщить модератору |
88. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (88), 26-Янв-22, 14:46 | ||
Вероятность не может быть отрицательной величиной. В худшем случае случае это "пук в лужу", в лучшем у вас эпсилон равен нулю (что, в принципе, так же "пук в лужу" но не столь заметный) | ||
Ответить | Правка | Наверх | Cообщить модератору |
94. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +1 +/– | |
Сообщение от A.Stahl (ok), 26-Янв-22, 14:54 | ||
С формально-математической точки зрения, может, и не может быть отрицательной. А вот с бытовой -- элементарно: это когда что-то неожиданное или нелепое (и, соотвественно, неучитываемое) активно препятствует наступлению события. | ||
Ответить | Правка | Наверх | Cообщить модератору |
108. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (88), 26-Янв-22, 15:41 | ||
Если каждый прожитый день уменьшает вероятность прожить следующий, будет ли скоро вероятность прожить еще один день вообще отрицательной? Нет, она просто будет стремиться к нулю. Даже если башку прострелят, вероятность не станет отрицательной. Не занудства ради. | ||
Ответить | Правка | Наверх | Cообщить модератору |
134. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | –3 +/– | |
Сообщение от Аноньимъ (ok), 26-Янв-22, 19:24 | ||
Но производная вероятности может. | ||
Ответить | Правка | Наверх | Cообщить модератору |
56. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | –3 +/– | |
Сообщение от анон (?), 26-Янв-22, 13:16 | ||
Которую придется искать в утечках (если они были) или проводить реверс инжиниринг (что весьма трудозатратно - читай дорого). | ||
Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору |
63. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +5 +/– | |
Сообщение от Аноним (63), 26-Янв-22, 13:22 | ||
Security through obscurity ещё никому не помог. Либо помог, но ненадолго. | ||
Ответить | Правка | Наверх | Cообщить модератору |
67. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | –2 +/– | |
Сообщение от анон (?), 26-Янв-22, 13:27 | ||
Громкое заявление, просить пруфы я коненчо не буду, тк сомневаюсь что они есть. | ||
Ответить | Правка | Наверх | Cообщить модератору |
74. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +7 +/– | |
Сообщение от Аноним (10), 26-Янв-22, 13:52 | ||
В каких утечках? Проспись. Эту уязвимость продадут всем кто заплатит от государств до частных организцаий и еще перепродажу уязвимостей организуют. И ты об дыре узнаешь только тогда, когда её из праздного любопытсатва купит какой-нибудь исследователь безоасности за недого и не выложит куда положено только чтобы показать какой он крутой исследователь безопасности. | ||
Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору |
93. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | –2 +/– | |
Сообщение от анон (?), 26-Янв-22, 14:53 | ||
> В каких утечках? | ||
Ответить | Правка | Наверх | Cообщить модератору |
109. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +5 +/– | |
Сообщение от Аноним (109), 26-Янв-22, 16:00 | ||
Всё ясно отбитый. Что искать? Разработчики уже заложили уязвимость её не надо искать надо стричь купусту, а ты её никогда сам не найдешь. | ||
Ответить | Правка | Наверх | Cообщить модератору |
91. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +2 +/– | |
Сообщение от Аноним (88), 26-Янв-22, 14:49 | ||
Для кого исходный код закрыт, а для кого исходный код вполне себе доступен по работе. По ту сторону тоже пишут код, тестят, ищут ошибки и исправляют. Вот лично на опеннете не всегда докладывают, это да | ||
Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору |
188. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (188), 27-Янв-22, 11:28 | ||
> По ту сторону тоже пишут код, тестят, ищут ошибки и исправляют. | ||
Ответить | Правка | Наверх | Cообщить модератору |
233. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Зз (?), 29-Янв-22, 20:42 | ||
> а какова вероятность обнаружения и исправления аналогичной ошибки в компоненте с закрытым исходным кодом? | ||
Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору |
243. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +1 +/– | |
Сообщение от wyry (?), 04-Фев-22, 04:17 | ||
Значительно ниже ДЛЯ ВСЕХ, включая злоумышленников. +Здесь потребовалось >10 лет чтобы решить проблему, думаю не нужно объяснять, насколько это длительный срок для IT. +С открытым кодом злоумышленник всегда может следить над тем, какие производятся изменения в коде. Закрытую систему разработчик может менять как ему вздумается и даже найдя уязвимость, её могут косвенно и/или недостаточно пофиксить при обновлении, однако злоумышленник уже не будет ничего об этом знать. Многое из сказанного также относится к любимой коммуняками лицензии GPL, хотя на практике её использование вне ЗАЩИТЫ проектов (например Blender использует GPL - и это БЛАГО, т.к. все наработки навсегда защищены от корпоратов, при этом это ПО никак не связано с безопасностью). Что до Linux - так его и так используют корпорации (создавая свои коммерческие дистрибутивы, где формально ТОЖЕ открыты исходники, но фактически, чтобы получить к ним доступ - нужно пройти через бюрократический ад, при этом несмотря на то, что GPL (не LGPL!) предписывает открывать ВСЕ исходники, если задействован GPL-код, на практике это обходят с помощью прослоек на MIT-подобных лицухах (это на деле тоже запрещено GPL, НО В РЕАЛЬНОЙ ЖИЗНИ этот клубок лицензий никто распутывать не будет! Разработчики здесь бесплатная рабочая сила, которая запросто не сможет даже СВОИ СОБСТВЕННЫЕ наработки использовать в личных проектах не открывая код. К сожалению здесь никогда не поймут разницы, когда GPL используется во благо, а когда с целью тебя поиметь. GPL и LGPL хороши для сравнительно небольших и заведомо НЕКОММЕРЧЕСКИХ проектов, в противном случае GPL имеет уже не корпоратов, а корпораты имеют всех GPL. Минусуйте! | ||
Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору |
153. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (153), 26-Янв-22, 21:31 | ||
> А как же ревьюверы! А как же ментейнер! | ||
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору |
219. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +1 +/– | |
Сообщение от A.N. Onimous (?), 28-Янв-22, 17:49 | ||
>тысячи глаз | ||
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору |
125. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | –2 +/– | |
Сообщение от Аноним (125), 26-Янв-22, 17:54 | ||
> И от этого не застрахован никакой язык никакой программист и никакой опенсорсный проект. | ||
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору |
15. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +4 +/– | |
Сообщение от Аноним (15), 26-Янв-22, 12:31 | ||
Не "JS движок добавили", а заменили один JS движок, на другой. | ||
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору |
21. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +1 +/– | |
Сообщение от Анонн (?), 26-Янв-22, 12:35 | ||
Ну, если уже цепляться к словам, то не "заменили один на другой", а добавлен еще один. Потому что предыдущий (пока) не выпилили. Но принципиально это ничего не меняет. | ||
Ответить | Правка | Наверх | Cообщить модератору |
24. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +3 +/– | |
Сообщение от Аноним (15), 26-Янв-22, 12:40 | ||
Ну нет, это не цепляться. Всё-таки «не было, а теперь есть» немного отличается от «сорта сортов». | ||
Ответить | Правка | Наверх | Cообщить модератору |
28. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +1 +/– | |
Сообщение от Анонн (?), 26-Янв-22, 12:44 | ||
Ок, принято. | ||
Ответить | Правка | Наверх | Cообщить модератору |
79. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +2 +/– | |
Сообщение от макпыф (ok), 26-Янв-22, 14:00 | ||
> JS движок | ||
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору |
227. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от зачемука (?), 29-Янв-22, 16:14 | ||
> либо ducktape | ||
Ответить | Правка | Наверх | Cообщить модератору |
147. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +3 +/– | |
Сообщение от Michael Shigorin (ok), 26-Янв-22, 20:51 | ||
> Тут вчера была новость что туда JS движок добавили | ||
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору |
189. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +2 +/– | |
Сообщение от Аноним (188), 27-Янв-22, 11:33 | ||
> душевнобольных шляпников | ||
Ответить | Правка | Наверх | Cообщить модератору |
218. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от A.N. Onimous (?), 28-Янв-22, 17:47 | ||
Там, ЕМНИП, какой-то древний mozjs, писанный альтернативно одаренными, считающими, что их поделка слишко много знает об окружении. | ||
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору |
7. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (7), 26-Янв-22, 12:23 | ||
Вчера вечером обновился. Все тихо, спокойно. Void Linux. Люблю роллинг-дистры. | ||
Ответить | Правка | Наверх | Cообщить модератору |
30. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (30), 26-Янв-22, 12:48 | ||
👍🏻 | ||
Ответить | Правка | Наверх | Cообщить модератору |
45. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +2 +/– | |
Сообщение от НяшМяш (ok), 26-Янв-22, 13:05 | ||
Манжаба тоже ничего, прилетел апдейт сегодня | ||
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору |
166. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от penetrator (?), 27-Янв-22, 00:36 | ||
В CentOS 7 тоже сегодня прилетел. | ||
Ответить | Правка | Наверх | Cообщить модератору |
123. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +1 +/– | |
Сообщение от Массоны Рептилоиды (?), 26-Янв-22, 17:28 | ||
А я люблю троллинг-дистры. Arch, ALT, FreeBSD например | ||
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору |
144. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +3 +/– | |
Сообщение от john_erohin (?), 26-Янв-22, 20:39 | ||
на FreeBSD нет systemd, а какой без него троллинг ? | ||
Ответить | Правка | Наверх | Cообщить модератору |
175. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +1 +/– | |
Сообщение от Аноньимъ (ok), 27-Янв-22, 08:22 | ||
FreeBSD делает больно иначе. | ||
Ответить | Правка | Наверх | Cообщить модератору |
185. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | –1 +/– | |
Сообщение от Аноним (185), 27-Янв-22, 10:40 | ||
Когда иксы слетают, то это не боль. Это что-то другого уровня. Что-то типо всего спектра боли, что-то типо радуги. | ||
Ответить | Правка | Наверх | Cообщить модератору |
204. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +3 +/– | |
Сообщение от Аноним (-), 27-Янв-22, 17:20 | ||
> Когда иксы слетают, то это не боль. Это что-то другого уровня. Что-то типо всего спектра боли, что-то типо радуги. | ||
Ответить | Правка | Наверх | Cообщить модератору |
186. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Также Аноним (?), 27-Янв-22, 11:15 | ||
В Слаке: | ||
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору |
26. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +3 +/– | |
Сообщение от Аноним (-), 26-Янв-22, 12:41 | ||
Да, дары. Да, Линукс. Зато опубликовано и залатано. | ||
Ответить | Правка | Наверх | Cообщить модератору |
37. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +1 +/– | |
Сообщение от Аноним (-), 26-Янв-22, 12:55 | ||
> Да, дары. Да, Линукс. Зато опубликовано и залатано. | ||
Ответить | Правка | Наверх | Cообщить модератору |
42. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | –1 +/– | |
Сообщение от Аноним (30), 26-Янв-22, 13:00 | ||
мммм хочу что бы они меня поглотили, полностью | ||
Ответить | Правка | Наверх | Cообщить модератору |
52. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +2 +/– | |
Сообщение от Аноним (63), 26-Янв-22, 13:12 | ||
> мммм хочу что бы они меня поглотили, полностью | ||
Ответить | Правка | Наверх | Cообщить модератору |
41. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +2 +/– | |
Сообщение от Аноним (63), 26-Янв-22, 12:59 | ||
> дары | ||
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору |
140. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +2 +/– | |
Сообщение от Аноним (140), 26-Янв-22, 19:50 | ||
Лёня Поттеринг и дары Линукса | ||
Ответить | Правка | Наверх | Cообщить модератору |
29. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +1 +/– | |
Сообщение от Аноним (29), 26-Янв-22, 12:47 | ||
А ведь прикольно получилось! | ||
Ответить | Правка | Наверх | Cообщить модератору |
31. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | –6 +/– | |
Сообщение от Аноним (31), 26-Янв-22, 12:50 | ||
Ну вот что за новости унылые пошли. Раньше всегда предлагали файл, который нужно скомпилировать, чтобы посмотреть на уязвимость, а тут пилите сами. Никакого уважения к сообществу. То что DEшки завязаны на udisks и тот завязан на полкит, а значит, от него никуда не деться, это конечно немного грустно. Я бы давно выпилил отовсюду -- мне не жалко флешки рутом монтировать раз в месяц | ||
Ответить | Правка | Наверх | Cообщить модератору |
36. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (63), 26-Янв-22, 12:54 | ||
Эксплоит описан во всех подробностях и его элементарно можно повторить, обладая базовыми познаниями о работе execve (которые и так описаны в новости) и изучив сигнатуры функций iconv чтобы повторить их в своей злой либе (либо взять сам iconv и сделать злым уже его). | ||
Ответить | Правка | Наверх | Cообщить модератору |
38. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | –1 +/– | |
Сообщение от Аноним (31), 26-Янв-22, 12:57 | ||
Вот я и говорю, 0 уважения, призывают тратить время на бесполезную хрень. | ||
Ответить | Правка | Наверх | Cообщить модератору |
48. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +2 +/– | |
Сообщение от Аноним (63), 26-Янв-22, 13:08 | ||
Пф, за что тебя уважать-то? За лень и неспособность подумать головой, поучиться и применить это на практике? Специалисты спасибо скажут за готовую пошаговую инструкцию к действиям, мамкины хакиры будут требовать всё готовое забесплатно и даже потом выражать недовольство "а чиво ысплоет неработаит". Учись, уважаемый ты наш. | ||
Ответить | Правка | Наверх | Cообщить модератору |
51. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (63), 26-Янв-22, 13:10 | ||
> бесполезную хрень. | ||
Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору |
32. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +1 +/– | |
Сообщение от Аноним (63), 26-Янв-22, 12:51 | ||
Классная уязвимость. | ||
Ответить | Правка | Наверх | Cообщить модератору |
33. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +1 +/– | |
Сообщение от Аноним (33), 26-Янв-22, 12:51 | ||
>Проблема пока не исправлена в Gentoo и Arch Linux. | ||
Ответить | Правка | Наверх | Cообщить модератору |
40. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (30), 26-Янв-22, 12:58 | ||
> в Gentoo и Arch Linux | ||
Ответить | Правка | Наверх | Cообщить модератору |
152. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (152), 26-Янв-22, 21:30 | ||
мб тебе в школу сходить на риторику? | ||
Ответить | Правка | Наверх | Cообщить модератору |
34. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +6 +/– | |
Сообщение от Аноним (34), 26-Янв-22, 12:53 | ||
> используемом в дистрибутивах для организации выполнения непривилегированными пользователями действий, требующих повышенных прав доступа. | ||
Ответить | Правка | Наверх | Cообщить модератору |
39. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +2 +/– | |
Сообщение от Аноним (34), 26-Янв-22, 12:57 | ||
Классической системы контроля доступа вполне хватает. CAP делает ненужным SUID вообще для еденичных исключений. | ||
Ответить | Правка | Наверх | Cообщить модератору |
44. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (44), 26-Янв-22, 13:03 | ||
Ненужнисты ненужны | ||
Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору |
59. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +6 +/– | |
Сообщение от Аноним (34), 26-Янв-22, 13:20 | ||
systemd, dbus, polkitd+JS - не нужны. | ||
Ответить | Правка | Наверх | Cообщить модератору |
130. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +3 +/– | |
Сообщение от Самокатофил (?), 26-Янв-22, 18:35 | ||
Devuan кроме системд отвязывают от дбаса еще софт. Насчет полкита - хз. | ||
Ответить | Правка | Наверх | Cообщить модератору |
62. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +2 +/– | |
Сообщение от Аноним (34), 26-Янв-22, 13:21 | ||
https://www.opennet.dev/openforum/vsluhforumID3/126553.html#89 | ||
Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору |
85. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от YetAnotherOnanym (ok), 26-Янв-22, 14:25 | ||
JS, сам по себе, вобщем-то, неплохой язык, который многие не любят из-за того, как его используют, типа раздражающих свистелок и тарахтелок на веб-страницах или помойки NPM. | ||
Ответить | Правка | Наверх | Cообщить модератору |
96. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +4 +/– | |
Сообщение от Аноним (96), 26-Янв-22, 15:03 | ||
Я исправлю предыдущего оратора, зачем тьюринг-полный язык для написания правил контроля доступа? | ||
Ответить | Правка | Наверх | Cообщить модератору |
100. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | –1 +/– | |
Сообщение от YetAnotherOnanym (ok), 26-Янв-22, 15:12 | ||
А почему бы нет? Ставить людей перед необходимостью учить ещё один язык, специализированный для описания правил безопасности - подозреваю, это не облегчит жизнь простому труженнику ИТ. | ||
Ответить | Правка | Наверх | Cообщить модератору |
135. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +2 +/– | |
Сообщение от Аноньимъ (ok), 26-Янв-22, 19:28 | ||
Как бы людям допущенным к написанию правил безопасности JS знать незачем, поэтому они его скорее всего не знают, так что им в любом случае его учить. | ||
Ответить | Правка | Наверх | Cообщить модератору |
162. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | –2 +/– | |
Сообщение от YetAnotherOnanym (ok), 26-Янв-22, 23:40 | ||
Какие знания-умения-навыки должны быть у людей, допущенных к написанию правил безопасности - это решают те, кто допускает (или не допускает) людей к написанию правил безопасности, а не анонимы с Опеннета | ||
Ответить | Правка | Наверх | Cообщить модератору |
136. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +1 +/– | |
Сообщение от Аноним (136), 26-Янв-22, 19:33 | ||
Потому что он для этого избыточен. зато, теоретически, правило полкита может быть движком для doom. | ||
Ответить | Правка | К родителю #100 | Наверх | Cообщить модератору |
138. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +1 +/– | |
Сообщение от Аноним (96), 26-Янв-22, 19:37 | ||
Я рекоменду вам почитать статьи отсюда: https://langsec.org | ||
Ответить | Правка | К родителю #100 | Наверх | Cообщить модератору |
163. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от YetAnotherOnanym (ok), 26-Янв-22, 23:42 | ||
В двух словах, тезисно, пересказать можете? | ||
Ответить | Правка | Наверх | Cообщить модератору |
174. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (174), 27-Янв-22, 07:36 | ||
Если коротко не делай неправильно, делай правильно. Мы за всё хорошее против всего плохого. Лучше быть сытым и богатыми… Ну дальше вы поняли. | ||
Ответить | Правка | Наверх | Cообщить модератору |
202. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от YetAnotherOnanym (ok), 27-Янв-22, 16:28 | ||
Генеально! | ||
Ответить | Правка | Наверх | Cообщить модератору |
229. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (229), 29-Янв-22, 17:17 | ||
Потеринг сэкономил на разработке формата правил контполя доступа и написании его компилятора тупо взяв JS. | ||
Ответить | Правка | Наверх | Cообщить модератору |
234. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от YetAnotherOnanym (ok), 29-Янв-22, 21:50 | ||
Вот совершенно не хочется выступать адвокатом авторов полкита, но, подозреваю, они исходили из того, что найти жабаскриптера проще, чем спеца по безопасности со знанием, например, CIL (или какие там ещё есть языки для определения правил доступа). | ||
Ответить | Правка | Наверх | Cообщить модератору |
238. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (238), 30-Янв-22, 09:56 | ||
> они исходили из того, что найти жабаскриптера проще | ||
Ответить | Правка | Наверх | Cообщить модератору |
228. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (229), 29-Янв-22, 17:09 | ||
Здесь все разъяснено: https://www.opennet.dev/openforum/vsluhforumID3/126553.html#89 | ||
Ответить | Правка | К родителю #100 | Наверх | Cообщить модератору |
198. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (198), 27-Янв-22, 16:15 | ||
Ну как? "Просто"ведь. Просто и пнятно. | ||
Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору |
43. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | –6 +/– | |
Сообщение от mos87 (ok), 26-Янв-22, 13:02 | ||
печально конечно, но как обычно для эксплуатации нужно много черной магии. | ||
Ответить | Правка | Наверх | Cообщить модератору |
57. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +2 +/– | |
Сообщение от Аноним (63), 26-Янв-22, 13:16 | ||
Вовсе нет. Не нужны никакие особенные привилегии и экзотические параметры конфигурации, ничего. Достаточно всего лишь обычного юзера и места, куда можно положить фейковый iconv, ну и возможность запустить программу-эксплоит. | ||
Ответить | Правка | Наверх | Cообщить модератору |
66. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | –4 +/– | |
Сообщение от Пользователь (?), 26-Янв-22, 13:25 | ||
Пароль от суперюзера уже не нужен? | ||
Ответить | Правка | Наверх | Cообщить модератору |
160. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (63), 26-Янв-22, 23:06 | ||
Для эксплуатации уязвимости не нужен. Достаточно пароля юзера (например, чтобы примонтировать флешку), если так настроен дистр, а большинство настроены как раз так. | ||
Ответить | Правка | Наверх | Cообщить модератору |
235. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (235), 30-Янв-22, 00:09 | ||
ну примонтируешь... а там noexec, как и у хомяка. | ||
Ответить | Правка | Наверх | Cообщить модератору |
46. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +2 +/– | |
Сообщение от Zenitur (ok), 26-Янв-22, 13:07 | ||
> Проблема присутствует с мая 2009 года | ||
Ответить | Правка | Наверх | Cообщить модератору |
53. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +1 +/– | |
Сообщение от RAMbug (?), 26-Янв-22, 13:12 | ||
Void Linux дико стагнирует после того, как толпа SJW-макак выгнали создателя и по совместительству единственного человека, кто умел программировать на низкоуровневых языках. | ||
Ответить | Правка | Наверх | Cообщить модератору |
137. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (136), 26-Янв-22, 19:36 | ||
Войд это, конечно, хорошо. Но когда там уже появятся необязательные зависимости? | ||
Ответить | Правка | Наверх | Cообщить модератору |
143. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от самокатофил (?), 26-Янв-22, 20:36 | ||
отвяжи. это ж изи-пизи. | ||
Ответить | Правка | Наверх | Cообщить модератору |
69. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | –1 +/– | |
Сообщение от mos87 (ok), 26-Янв-22, 13:33 | ||
зеня, как семейная касса собака старая | ||
Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору |
50. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +1 +/– | |
Сообщение от Аноним (50), 26-Янв-22, 13:10 | ||
в Gentoo уже положили патч в sys-auth/polkit/files/polkit-0.120-CVE-2021-4043.patch | ||
Ответить | Правка | Наверх | Cообщить модератору |
58. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | –2 +/– | |
Сообщение от Аноним (30), 26-Янв-22, 13:18 | ||
надо будет обновиться дома вечерком за кружкой теплого какао... Гента one love! | ||
Ответить | Правка | Наверх | Cообщить модератору |
70. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от mos87 (ok), 26-Янв-22, 13:35 | ||
yaaawn | ||
Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору |
97. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (96), 26-Янв-22, 15:05 | ||
Если у вас в Gentoo установлен polkit - вы неверно используете Gentoo. Вам лучше Ubuntu поставить. Или на худой конец Arch. | ||
Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору |
105. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | –4 +/– | |
Сообщение от Аноним (105), 26-Янв-22, 15:24 | ||
В Ubuntu нет polkit, прикинь. | ||
Ответить | Правка | Наверх | Cообщить модератору |
127. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +1 +/– | |
Сообщение от funny.falcon (?), 26-Янв-22, 18:05 | ||
Странно: у меня файл pkexec нашёлся :-( | ||
Ответить | Правка | Наверх | Cообщить модератору |
129. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (129), 26-Янв-22, 18:12 | ||
Удали его! Это - южноафриканский омега-вирус! | ||
Ответить | Правка | Наверх | Cообщить модератору |
150. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (105), 26-Янв-22, 21:06 | ||
Всё так, polkit нет, а pkexec есть. Догадаешься, как так вышло? | ||
Ответить | Правка | К родителю #127 | Наверх | Cообщить модератору |
184. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +1 +/– | |
Сообщение от Аноним (129), 27-Янв-22, 10:30 | ||
Неужели systemd-<впиши любое имя>d? | ||
Ответить | Правка | Наверх | Cообщить модератору |
141. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +2 +/– | |
Сообщение от Аноним (141), 26-Янв-22, 19:51 | ||
что значит "неверно"? в генте не может быть "неверно" по причине отстутсвия навязывания конкретных решений. | ||
Ответить | Правка | К родителю #97 | Наверх | Cообщить модератору |
54. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +1 +/– | |
Сообщение от borbacuca (ok), 26-Янв-22, 13:12 | ||
"не проверяет корректность" - вот так пишут опень сорц - не проверял, думал, считал что: все умные, старой доброй Foolproof не надо, шаг в сторону из комстроки и расстрел | ||
Ответить | Правка | Наверх | Cообщить модератору |
68. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (68), 26-Янв-22, 13:30 | ||
Так а кто ж знал что нулевой элемент массива это не путь до текущей программы? | ||
Ответить | Правка | Наверх | Cообщить модератору |
98. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | –2 +/– | |
Сообщение от Аноним (105), 26-Янв-22, 15:09 | ||
Любой, хоть раз в жизни открывший man execve. | ||
Ответить | Правка | Наверх | Cообщить модератору |
122. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +1 +/– | |
Сообщение от Аноним (68), 26-Янв-22, 17:14 | ||
Автор данной программы его видимо не использовал, потому и не читал про него. | ||
Ответить | Правка | Наверх | Cообщить модератору |
104. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +2 +/– | |
Сообщение от Аноним (105), 26-Янв-22, 15:23 | ||
Да знаешь, и клозет сорц пишут точно так же. Даже хуже, потому что думают, что никто никогда не заметит. | ||
Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору |
61. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним12345 (?), 26-Янв-22, 13:21 | ||
Это бомба | ||
Ответить | Правка | Наверх | Cообщить модератору |
64. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +2 +/– | |
Сообщение от ыы (?), 26-Янв-22, 13:23 | ||
> убрать флаг SUID | ||
Ответить | Правка | Наверх | Cообщить модератору |
65. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Пользователь (?), 26-Янв-22, 13:24 | ||
Уязвимость доступна только локально. | ||
Ответить | Правка | Наверх | Cообщить модератору |
77. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +2 +/– | |
Сообщение от Урри (ok), 26-Янв-22, 13:57 | ||
Запускаешь локально скайп от отдельного ограниченного юзера, а он раз и меняет самостоятельно все системные настройки и сливает твои секретные фоточки в МС. | ||
Ответить | Правка | Наверх | Cообщить модератору |
80. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +3 +/– | |
Сообщение от Аноним (15), 26-Янв-22, 14:04 | ||
Фатальная ошибка уже на первом шаге так-то. | ||
Ответить | Правка | Наверх | Cообщить модератору |
84. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | –2 +/– | |
Сообщение от Урри (ok), 26-Янв-22, 14:20 | ||
На "запускаешь"? Сочувствую. | ||
Ответить | Правка | Наверх | Cообщить модератору |
89. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | –1 +/– | |
Сообщение от Пользователь (?), 26-Янв-22, 14:48 | ||
> локально скайп | ||
Ответить | Правка | К родителю #77 | Наверх | Cообщить модератору |
82. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +3 +/– | |
Сообщение от Аноним (82), 26-Янв-22, 14:07 | ||
Ага, а завтра у тебя на сервере, какой нибудь пакет из npn, gems, cpan или PyPL развернёт бакдор от рута... | ||
Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору |
90. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | –1 +/– | |
Сообщение от Пользователь (?), 26-Янв-22, 14:49 | ||
У меня нет на сервере Руби или Питона.. | ||
Ответить | Правка | Наверх | Cообщить модератору |
148. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Michael Shigorin (ok), 26-Янв-22, 21:00 | ||
Ну pkexec на сервере -- это что-то за гранью, но найдутся ведь и такие... | ||
Ответить | Правка | К родителю #82 | Наверх | Cообщить модератору |
157. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +2 +/– | |
Сообщение от . (?), 26-Янв-22, 22:44 | ||
В каждой второй установке убунты по умолчанию. | ||
Ответить | Правка | Наверх | Cообщить модератору |
182. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +1 +/– | |
Сообщение от ы (?), 27-Янв-22, 10:16 | ||
По умолчанию в оракле 8.5, минималке, например. | ||
Ответить | Правка | К родителю #148 | Наверх | Cообщить модератору |
72. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +1 +/– | |
Сообщение от Аноним (72), 26-Янв-22, 13:41 | ||
Эх, такую великолепную закладочку и ту прикрыли. | ||
Ответить | Правка | Наверх | Cообщить модератору |
73. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +6 +/– | |
Сообщение от Anonymus (?), 26-Янв-22, 13:45 | ||
Вот такой сидишь себе, пишешь программу, думая, что "By convention, the first of these strings (i.e., argv[0]) should contain the filename associated with the file being executed." | ||
Ответить | Правка | Наверх | Cообщить модератору |
87. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +2 +/– | |
Сообщение от Аноним (-), 26-Янв-22, 14:38 | ||
> P.S. Ладно, пошутил. Конечно, к системным приложениям другие требования, и создатели таких | ||
Ответить | Правка | Наверх | Cообщить модератору |
101. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +2 +/– | |
Сообщение от Аноним (105), 26-Янв-22, 15:13 | ||
"By convention" означает, что так договорились, но в принципе может быть и иначе. И обязанность любого программиста — всегда об этом помнить, потому что злоумышленник не обязан вести себя так, как договорились. | ||
Ответить | Правка | К родителю #73 | Наверх | Cообщить модератору |
132. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +1 +/– | |
Сообщение от Аноним (132), 26-Янв-22, 18:52 | ||
https://lore.kernel.org/lkml/20220126043947.10058-1-ariadne&.../ | ||
Ответить | Правка | К родителю #73 | Наверх | Cообщить модератору |
226. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от n00by (ok), 29-Янв-22, 10:37 | ||
Это так в ядре прикрывают юрерспейс. Теперь в новых программах можно не проверять argc! Ядро ведь все обновили... ;)) | ||
Ответить | Правка | Наверх | Cообщить модератору |
139. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (139), 26-Янв-22, 19:48 | ||
> А виноват создатель программы | ||
Ответить | Правка | К родителю #73 | Наверх | Cообщить модератору |
149. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Michael Shigorin (ok), 26-Янв-22, 21:01 | ||
...и не в курсе про defensive programming. | ||
Ответить | Правка | Наверх | Cообщить модератору |
165. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от onanim (?), 26-Янв-22, 23:54 | ||
> подстава всё равно занятная. | ||
Ответить | Правка | К родителю #73 | Наверх | Cообщить модератору |
170. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (-), 27-Янв-22, 05:57 | ||
И кто его сделал? Скорее это похоже на непонимание кодерами странноватых краевых случаев в api. В привилегированной программе сие достаточно фатально, увы. | ||
Ответить | Правка | Наверх | Cообщить модератору |
225. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от n00by (ok), 29-Янв-22, 10:34 | ||
> Вот такой сидишь себе, пишешь программу, думая, что "By convention, the first | ||
Ответить | Правка | К родителю #73 | Наверх | Cообщить модератору |
76. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +4 +/– | |
Сообщение от Урри (ok), 26-Янв-22, 13:56 | ||
Что еще можно ожидать от любителей джаваскрипта? | ||
Ответить | Правка | Наверх | Cообщить модератору |
102. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | –1 +/– | |
Сообщение от Аноним (105), 26-Янв-22, 15:15 | ||
Джаваскрипт со своими любителями тут не приделах. PolicyKit, в котором нет JS, и который до сих пор используется в дебиане и убунтах, тоже подвержен. | ||
Ответить | Правка | Наверх | Cообщить модератору |
78. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | –4 +/– | |
Сообщение от Аноним (129), 26-Янв-22, 14:00 | ||
> pkexec | ||
Ответить | Правка | Наверх | Cообщить модератору |
103. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +1 +/– | |
Сообщение от Аноним (105), 26-Янв-22, 15:18 | ||
Не знаешь — промолчи, авось сошёл бы за умного. Это та самая программа, которая рисует тебе окошечко с запросом пароля, когда ты что-то системное типа пакетного менеджера запускаешь. | ||
Ответить | Правка | Наверх | Cообщить модератору |
106. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | –1 +/– | |
Сообщение от Аноним (129), 26-Янв-22, 15:29 | ||
Точно не polkitd? | ||
Ответить | Правка | Наверх | Cообщить модератору |
168. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Somepony (??), 27-Янв-22, 01:16 | ||
pkexec это кусок polkitd. | ||
Ответить | Правка | Наверх | Cообщить модератору |
183. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +1 +/– | |
Сообщение от Аноним (129), 27-Янв-22, 10:24 | ||
Ты еще скажи, что dbus - это кусок того самого. И отдельный пакет policykit-gnome, который через dbus показывает графическое окошко с запросом пароля - это тоже кусок того самого. | ||
Ответить | Правка | Наверх | Cообщить модератору |
220. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | –1 +/– | |
Сообщение от A.N. Onimous (?), 28-Янв-22, 22:04 | ||
Что полкит, что дубас - куски этой самой субстанции. | ||
Ответить | Правка | Наверх | Cообщить модератору |
81. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +2 +/– | |
Сообщение от YetAnotherOnanym (ok), 26-Янв-22, 14:05 | ||
> Разработчиками pkexec подразумевалось, что первая запись массива argv всегда содержит имя процесса (pkexec), а вторая либо значение NULL, либо имя запускаемой через pkexec команды | ||
Ответить | Правка | Наверх | Cообщить модератору |
86. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +8 +/– | |
Сообщение от Аноним (86), 26-Янв-22, 14:35 | ||
> с флагом SUID root | ||
Ответить | Правка | Наверх | Cообщить модератору |
128. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +1 +/– | |
Сообщение от Аноним (128), 26-Янв-22, 18:07 | ||
Лайкосик не глядя | ||
Ответить | Правка | Наверх | Cообщить модератору |
131. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +5 +/– | |
Сообщение от Аноним (129), 26-Янв-22, 18:47 | ||
> Использование Linux без включенного и настроенного SELinux нельзя. | ||
Ответить | Правка | К родителю #86 | Наверх | Cообщить модератору |
230. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (229), 29-Янв-22, 17:28 | ||
> эксперты по безопасности без модели угроз | ||
Ответить | Правка | Наверх | Cообщить модератору |
187. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от PnD (??), 27-Янв-22, 11:27 | ||
Это в каком простите месте AppArmor про MAC? | ||
Ответить | Правка | К родителю #86 | Наверх | Cообщить модератору |
199. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (-), 27-Янв-22, 16:16 | ||
> Это в каком простите месте AppArmor про MAC? | ||
Ответить | Правка | Наверх | Cообщить модератору |
191. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | –1 +/– | |
Сообщение от Аноним (188), 27-Янв-22, 12:38 | ||
> пользователь понимал, как работает его система | ||
Ответить | Правка | К родителю #86 | Наверх | Cообщить модератору |
196. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (86), 27-Янв-22, 14:31 | ||
"Кто хочет — ищет способ, кто не хочет — ищет причину." - Сократ. | ||
Ответить | Правка | Наверх | Cообщить модератору |
205. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | –2 +/– | |
Сообщение от Аноним (188), 27-Янв-22, 18:16 | ||
> советских чиновников | ||
Ответить | Правка | Наверх | Cообщить модератору |
208. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (86), 28-Янв-22, 02:48 | ||
Помоги мне найти конструктивный смысл в твоём комментарии. Я прочитал его 2 раза, но так и не понял за ворохом кусочного цитирования, что именно ты хотел всем этим сказать по существу? | ||
Ответить | Правка | Наверх | Cообщить модератору |
214. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (214), 28-Янв-22, 12:12 | ||
> Помоги мне найти конструктивный смысл | ||
Ответить | Правка | Наверх | Cообщить модератору |
215. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (86), 28-Янв-22, 13:15 | ||
> Но ты не слушаешь, ты всё пытаешься померяться письками. | ||
Ответить | Правка | Наверх | Cообщить модератору |
216. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (214), 28-Янв-22, 16:59 | ||
Ну я искренне пытался объяснить тебе причину всех _твоих_ бед, жалобы на которые ты выразил несколькими абзацами текста. Но ты либо находишься в фазе отрицания, либо, что более вероятно, делаешь вид, что не замечаешь очевидного. Добавим к этому попытки задеть (по твоему мнению) "больные" для оппонента темы и грубую форму этих провокаций. И получим определение "троллинга". | ||
Ответить | Правка | Наверх | Cообщить модератору |
221. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от A.N. Onimous (?), 28-Янв-22, 22:06 | ||
Просто концепции 60-х пора бы уже закопать. | ||
Ответить | Правка | К родителю #86 | Наверх | Cообщить модератору |
236. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (238), 30-Янв-22, 09:28 | ||
> Просто концепции 60-х пора бы уже закопать. | ||
Ответить | Правка | Наверх | Cообщить модератору |
237. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (238), 30-Янв-22, 09:41 | ||
В шифровании еще с тех времён сильно продвинулись: открытый/закрытый ключ, диффи-хелман, гомеоморфное. | ||
Ответить | Правка | Наверх | Cообщить модератору |
245. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от A.N. Onimous (?), 19-Фев-22, 03:14 | ||
> С большим удовольствием послушаю альтернативы DAC, CAP, MAC, Integrity, Audit | ||
Ответить | Правка | К родителю #236 | Наверх | Cообщить модератору |
246. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от A.N. Onimous (?), 19-Фев-22, 03:17 | ||
> С большим удовольствием послушаю альтернативы DAC, CAP, MAC, Integrity, Audit | ||
Ответить | Правка | К родителю #236 | Наверх | Cообщить модератору |
222. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от A.N. Onimous (?), 28-Янв-22, 22:06 | ||
Просто концепции 60-х пора бы уже закопать. | ||
Ответить | Правка | К родителю #86 | Наверх | Cообщить модератору |
232. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (229), 29-Янв-22, 17:50 | ||
> когда доступ к файловой системе доступен для приложений, работа которых по факту никем не проверяется, файловой системе доверять нельзя. Нельзя располагать в её метаданных никакие параметры безопасности. | ||
Ответить | Правка | К родителю #86 | Наверх | Cообщить модератору |
239. "Критическая уязвимость в PolKit, позволяющая получить..." | +1 +/– | |
Сообщение от arisu (ok), 30-Янв-22, 11:09 | ||
> Использование Linux без включенного и настроенного SELinux нельзя. | ||
Ответить | Правка | К родителю #86 | Наверх | Cообщить модератору |
92. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +4 +/– | |
Сообщение от Пользователь (?), 26-Янв-22, 14:52 | ||
Какие-то двойные стандарты. Локальная уязвимость на windows - "а, дырявая ось, мы знали это". Такая же ошибка на лине - " запускаешь локально скайп.." | ||
Ответить | Правка | Наверх | Cообщить модератору |
133. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +2 +/– | |
Сообщение от Аноним (129), 26-Янв-22, 18:54 | ||
> Какие-то двойные стандарты. | ||
Ответить | Правка | Наверх | Cообщить модератору |
95. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +1 +/– | |
Сообщение от Аноним (96), 26-Янв-22, 15:01 | ||
Напомните а зачем вообще этот polkit нужен? | ||
Ответить | Правка | Наверх | Cообщить модератору |
107. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +1 +/– | |
Сообщение от Аноним (107), 26-Янв-22, 15:34 | ||
The following packages will be REMOVED: | ||
Ответить | Правка | Наверх | Cообщить модератору |
118. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (118), 26-Янв-22, 16:48 | ||
У меня так: | ||
Ответить | Правка | Наверх | Cообщить модератору |
142. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от . (?), 26-Янв-22, 20:07 | ||
пользуемые libvirt должны же страдать? Но тут хотя бы какие-то основания есть. | ||
Ответить | Правка | Наверх | Cообщить модератору |
99. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +1 +/– | |
Сообщение от ыы (?), 26-Янв-22, 15:09 | ||
А вот где тот замечательный выводок незаконнорожденной помеси centos-а с исправленным polkit? | ||
Ответить | Правка | Наверх | Cообщить модератору |
110. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +1 +/– | |
Сообщение от Аноним (109), 26-Янв-22, 16:02 | ||
Он не «взлетел» | ||
Ответить | Правка | Наверх | Cообщить модератору |
111. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +1 +/– | |
Сообщение от Аноним (111), 26-Янв-22, 16:11 | ||
В серверных установках Debian 11 такого пакета вообще нет среди установленных. | ||
Ответить | Правка | Наверх | Cообщить модератору |
151. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +4 +/– | |
Сообщение от Michael Shigorin (ok), 26-Янв-22, 21:07 | ||
> А вот для Альт Рабочая станция К 9 обновлений всё ещё нет =)) | ||
Ответить | Правка | Наверх | Cообщить модератору |
159. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +1 +/– | |
Сообщение от Аноним (159), 26-Янв-22, 23:06 | ||
Благодарю. Ну как Рабочая станция К 10 дойдёт хотя бы до release candidate -- будем щупать и пробовать перейти. | ||
Ответить | Правка | Наверх | Cообщить модератору |
192. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +3 +/– | |
Сообщение от Аноним (188), 27-Янв-22, 12:50 | ||
> В серверных установках Debian 11 такого пакета вообще нет среди установленных. | ||
Ответить | Правка | К родителю #111 | Наверх | Cообщить модератору |
119. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +1 +/– | |
Сообщение от iZEN (ok), 26-Янв-22, 16:50 | ||
На FreeBSD сегодня исправили: https://www.freshports.org/sysutils/polkit/ | ||
Ответить | Правка | Наверх | Cообщить модератору |
145. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +1 +/– | |
Сообщение от самокатофил (?), 26-Янв-22, 20:46 | ||
$ pkg search --regex 'dbus|polkit|udev|pulseaudio|logind|systemd|wayland|electron' | ||
Ответить | Правка | Наверх | Cообщить модератору |
146. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от ыы (?), 26-Янв-22, 20:51 | ||
В Oracle linux обновили. | ||
Ответить | Правка | Наверх | Cообщить модератору |
155. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от А (??), 26-Янв-22, 21:44 | ||
Блестяще. Камень в огород халтурщиков разработки веба и девляпса. Их стиль. | ||
Ответить | Правка | Наверх | Cообщить модератору |
156. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +1 +/– | |
Сообщение от Аноним (156), 26-Янв-22, 21:45 | ||
Ахаха, только вчера срачь про попаскрипт и гавнкод макак был. Вот и пожалуйста. | ||
Ответить | Правка | Наверх | Cообщить модератору |
158. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (158), 26-Янв-22, 23:05 | ||
Как можно было не проверить argc? Это же во всех книжках есть и примерах. | ||
Ответить | Правка | Наверх | Cообщить модератору |
161. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | –1 +/– | |
Сообщение от Аноним (63), 26-Янв-22, 23:27 | ||
А вот так... | ||
Ответить | Правка | Наверх | Cообщить модератору |
164. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (139), 26-Янв-22, 23:45 | ||
> Status: REJECTED | ||
Ответить | Правка | Наверх | Cообщить модератору |
207. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | –1 +/– | |
Сообщение от Аноним (207), 27-Янв-22, 20:18 | ||
Там про argv, а не argc | ||
Ответить | Правка | К родителю #161 | Наверх | Cообщить модератору |
244. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (244), 06-Фев-22, 13:11 | ||
Но там как раз о том, как им можно злоупотребить, и это связанные вещи. | ||
Ответить | Правка | Наверх | Cообщить модератору |
167. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +2 +/– | |
Сообщение от Аноним (167), 27-Янв-22, 00:58 | ||
Эксплоит: https://github.com/berdav/CVE-2021-4034 | ||
Ответить | Правка | Наверх | Cообщить модератору |
169. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +2 +/– | |
Сообщение от Аноним (-), 27-Янв-22, 05:54 | ||
> в случае передачи процессу пустого массива argv, что допускает функция execve в Linux | ||
Ответить | Правка | Наверх | Cообщить модератору |
172. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (139), 27-Янв-22, 06:27 | ||
argc для кого сделан? | ||
Ответить | Правка | Наверх | Cообщить модератору |
171. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (171), 27-Янв-22, 06:20 | ||
ахахаха, никакие языки не спасут от логических ошибок при разработке софта | ||
Ответить | Правка | Наверх | Cообщить модератору |
173. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | –1 +/– | |
Сообщение от Аноним (173), 27-Янв-22, 07:30 | ||
Ты не понимаешь. Раст это другое святое. Он другой он благодатный, он как дуновение ветра, как божья благодать. Он все делает безопасный лишь тем что он есть. Все остальные языки они от лукавого. | ||
Ответить | Правка | Наверх | Cообщить модератору |
179. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +1 +/– | |
Сообщение от red75prim (?), 27-Янв-22, 09:30 | ||
Но в некоторых языках логические ощибки лёгким движением руки превращаются в повреждение памяти. | ||
Ответить | Правка | К родителю #171 | Наверх | Cообщить модератору |
223. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (235), 28-Янв-22, 23:39 | ||
В FF растаманы перепутали знаки больше-меньше при ручной проверке вхождения индекса в массив... | ||
Ответить | Правка | Наверх | Cообщить модератору |
190. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Ordu (ok), 27-Янв-22, 11:59 | ||
Здесь логическая ошибка могла бы остаться логической, без privilege escalation. | ||
Ответить | Правка | К родителю #171 | Наверх | Cообщить модератору |
176. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (176), 27-Янв-22, 09:20 | ||
В https://github.com/Duncaen/OpenDoas/releases/tag/v6.8.2 то же самое нашли. И в sudo, наверно, тоже. Гы... | ||
Ответить | Правка | Наверх | Cообщить модератору |
211. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от пох. (?), 28-Янв-22, 09:39 | ||
Не нашли (в смысле, неизвестно, exploitable или нет), но на всякий случай решили и не искать, а просто добавить exit(1) если его так вызвали. | ||
Ответить | Правка | Наверх | Cообщить модератору |
213. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +1 +/– | |
Сообщение от Илья (??), 28-Янв-22, 10:42 | ||
Тут примечательно, что запрет на argc == 0 в ядро obsd внес автор doas по наводке автора sudo в 2015г. Т.е. складывается впечатление, что оба прекрасно представляляли к чему это может привести, но предпочли не править юзерлэнд, а заткнуть дыру на уровне ниже в одном месте. | ||
Ответить | Правка | Наверх | Cообщить модератору |
193. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от ыы (?), 27-Янв-22, 12:55 | ||
>В открытом доступе появились первые варианты эксплоитов от сторонних разработчиков. | ||
Ответить | Правка | Наверх | Cообщить модератору |
194. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от ыы (?), 27-Янв-22, 12:56 | ||
а еще и какойто бинарный блоб в него воткнул... | ||
Ответить | Правка | Наверх | Cообщить модератору |
195. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от ыы (?), 27-Янв-22, 12:57 | ||
шелкод или майнер? :) )) | ||
Ответить | Правка | Наверх | Cообщить модератору |
197. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (198), 27-Янв-22, 16:05 | ||
Снова это дерьмише дырявое... | ||
Ответить | Правка | Наверх | Cообщить модератору |
200. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +2 +/– | |
Сообщение от Аноним (198), 27-Янв-22, 16:17 | ||
#####. | ||
Ответить | Правка | Наверх | Cообщить модератору |
201. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +3 +/– | |
Сообщение от псевдонимус (?), 27-Янв-22, 16:19 | ||
Сжечь огнем. Переписывать там нечего. | ||
Ответить | Правка | Наверх | Cообщить модератору |
203. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (203), 27-Янв-22, 17:09 | ||
А у ALT Linux (AKA Shirogin OS) тоже уязвимость работает? )))) | ||
Ответить | Правка | Наверх | Cообщить модератору |
212. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +2 +/– | |
Сообщение от пох. (?), 28-Янв-22, 09:41 | ||
"все - одинаковые!" | ||
Ответить | Правка | Наверх | Cообщить модератору |
206. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Sanches (??), 27-Янв-22, 18:38 | ||
Васяткин попенсорс мало того, что кривой, так ещё и дырявый. | ||
Ответить | Правка | Наверх | Cообщить модератору |
210. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от redhatibmgooglenovell (?), 28-Янв-22, 09:29 | ||
> Васяткин попенсорс | ||
Ответить | Правка | Наверх | Cообщить модератору |
209. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +3 +/– | |
Сообщение от пох. (?), 28-Янв-22, 09:28 | ||
https://haxx.in/files/blasty-vs-pkexec.c | ||
Ответить | Правка | Наверх | Cообщить модератору |
217. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +1 +/– | |
Сообщение от A.N. Onimous (?), 28-Янв-22, 17:44 | ||
>Polkit также доступен для BSD-систем и Solaris | ||
Ответить | Правка | Наверх | Cообщить модератору |
224. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +3 +/– | |
Сообщение от Иван (??), 29-Янв-22, 02:24 | ||
" О возможной уязвимости в PolKit, связанной с обработкой пустых аргументов и suid-приложении pkexec, сообщалось ещё в 2013 году, но так как исследователь не довёл идею до рабочего эксплоита, на предупреждение не обратили внимание и проблема не была исправлена." | ||
Ответить | Правка | Наверх | Cообщить модератору |
231. "Критическая уязвимость в PolKit, позволяющая получить..." | +/– | |
Сообщение от arisu (ok), 29-Янв-22, 17:43 | ||
ничего, ducktape всё исправит! | ||
Ответить | Правка | Наверх | Cообщить модератору |
240. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +2 +/– | |
Сообщение от Привет девствнники (?), 30-Янв-22, 15:43 | ||
Умора. Критичная уязвимость 12 лет висела. Тысячи глаз смотрят!!! | ||
Ответить | Правка | Наверх | Cообщить модератору |
241. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Аноним (235), 31-Янв-22, 01:27 | ||
это бэкдор настоящий... кто знал - использовал. | ||
Ответить | Правка | Наверх | Cообщить модератору |
242. "Критическая уязвимость в PolKit, позволяющая получить root-д..." | +/– | |
Сообщение от Привет девственники (?), 31-Янв-22, 12:55 | ||
Да никакой это не бекдор. Бекдор сделали бы хитрым, чисто для 'своих'. А тут обычное рукожопство. | ||
Ответить | Правка | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |