Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в подсистеме netfilter, позволяющая выполнить код на уровне ядра Linux"	+/–
Сообщение от opennews (??), 22-Фев-22, 13:21
В Netfilter, подсистеме ядра Linux, используемой для фильтрации и модификации сетевых пакетов, выявлена уязвимость (CVE-2022-25636), позволяющая выполнить код на уровне ядра. Заявлено о подготовке примера эксплоита, позволяющего локальному пользователю поднять свои привилегии в Ubuntu 21.10 c отключённым механизмом защиты KASLR. Проблема проявляется начиная с ядра 5.4. Исправление пока доступно в виде патча (корректирующие выпуски ядра не сформированы). Проследить за публикаций обновления пакетов в дистрибутивах можно на данных страницах: Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=56742
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. Скрыто модератором	–20 +/–
Сообщение от Аноним (-), 22-Фев-22, 13:21
Вот и наслаждайтесь своим безопасным и стабильным лялексом. // b.
Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+13 +/–
Сообщение от Аноним (2), 22-Фев-22, 13:22
Сколько наворочено всяких концепций, которые управляют другими, которые... Пора возвращаться к простоте.
Ответить | Правка | Наверх | Cообщить модератору

	6. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+9 +/–
	Сообщение от Аноним (6), 22-Фев-22, 13:32
	> Пора возвращаться к простоте. Ставьте FreeBSD.
	Ответить | Правка | Наверх | Cообщить модератору

	9. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	–11 +/–
	Сообщение от пох. (?), 22-Фев-22, 13:40
	Там та, которая хуже воровства. Ставьте ведро 3.0.100какоето- там еще нормальный iptables. Без вот этого вот "очень похожего на BPF, но не так чтоб сохранить копирайты Berkley"
	Ответить | Правка | Наверх | Cообщить модератору

	10. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+5 +/–
	Сообщение от Аноним (10), 22-Фев-22, 13:42
	>Ставьте ведро 3.0.100какоето- Старый код = неисправленные уязвимости.
	Ответить | Правка | Наверх | Cообщить модератору

	39. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	–1 +/–
	Сообщение от Аноним (39), 22-Фев-22, 16:49
	Зря ты так про фряху. Фряха идеальна!
	Ответить | Правка | Наверх | Cообщить модератору

	45. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (2), 22-Фев-22, 17:09
	Я не про фряху.
	Ответить | Правка | Наверх | Cообщить модератору

	106. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	–1 +/–
	Сообщение от Аноним (-), 23-Фев-22, 13:12
	> Зря ты так про фряху. Фряха идеальна! История с вайргадом в фряхе сойдет за идеальныое что, детектив?!
	Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

	126. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (126), 23-Фев-22, 15:52
	>> Зря ты так про фряху. Фряха идеальна! > История с вайргадом в фряхе сойдет за идеальныое что, детектив?! Не попавшая в релиз и за которую разраба с треском выперли? То ли дело история с патчами от всяких минесот, где часть "протухла сама по себе - даже исправлять не надо!", ага. https://www.opennet.dev/opennews/art.shtml?num=55095 > Также были проанализированы 435 коммитов, включающих исправления, отправленные разработчиками из Университета Миннесоты и не связанные с проведением эксперимента по продвижению скрытых уязвимостей. > 349 коммитов признаны корректными и оставлены без изменений. В 39 коммитах обнаружены проблемы, требующие исправления - данные коммиты отменены и до выпуска ядра 5.13 будут заменены на более корректные исправления. Ошибки в 25 коммитах оказались исправлены в последующих изменениях. 12 коммитов потеряли актуальность,
	Ответить | Правка | Наверх | Cообщить модератору

	136. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (-), 23-Фев-22, 19:35
	> Не попавшая в релиз и за которую разраба с треском выперли? После того как он втянул код и саботировал вынос этого трэша, и все это потребовало вмешательства автора вайргада. Наверное кернел тим так и должен работать... у кого-нибудь другого, мне такой кернелтим имхо ни к чему. > То ли дело история с патчами от всяких минесот, где часть "протухла > сама по себе - даже исправлять не надо!", ага. Так их же вычислили как раз на гуанокоде и для предосторожности снесли и остальные комиты. > на более корректные исправления. Ошибки в 25 коммитах оказались исправлены в последующих > изменениях. 12 коммитов потеряли актуальность, Да, стоило бы посмтоетреть на ту же статистику в фрибсд... кмк там просто всем по...й бы было, трэш гангстера вообще никого кроме автора вайргада не напряг, при том что он не девтим вообще.
	Ответить | Правка | Наверх | Cообщить модератору

	143. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (-), 24-Фев-22, 00:58
	> Так их же вычислили как раз на гуанокоде и для предосторожности снесли и остальные комиты. Занятное врань^W "motivated reasoning". Для "предосторожности" - эти коммиты проанализировали и " 349 коммитов признаны корректными и оставлены без изменений.", а 12 - "протухли сами по себе" >> на более корректные исправления. Ошибки в 25 коммитах оказались исправлены в последующих >> изменениях. 12 коммитов потеряли актуальность, > Да, стоило бы посмтоетреть на ту же статистику в фрибсд... кмк там > просто всем по...й бы было, трэш гангстера вообще никого кроме автора вайргада не напряг, при том что он не девтим вообще. Юли фантазер^W Емеля, твоя неделя.
	Ответить | Правка | Наверх | Cообщить модератору

	48. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	–1 +/–
	Сообщение от пох. (?), 22-Фев-22, 17:26
	То ли дело зеродеи в новом, модном коде! (а из серьезных там разьве что n_tty, да и та вроде в последних версиях кое-как прикрыта)
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

	51. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+1 +/–
	Сообщение от Аноним (2), 22-Фев-22, 17:36
	Сложите вместе эти два факта. Из этого следует, что стоит искать актуальный код, но не "модно-молодёжный".
	Ответить | Правка | Наверх | Cообщить модератору

	77. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	–1 +/–
	Сообщение от Анто Нимно (?), 23-Фев-22, 07:17
	Молодёжно-халявный, так, вероятно, стоит трактовать модно-молодёжность в контексте кода.
	Ответить | Правка | Наверх | Cообщить модератору

	86. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Антон Им (?), 23-Фев-22, 11:25
	> Молодёжно-халявный Антикварно-роскошный
	Ответить | Правка | Наверх | Cообщить модератору

	107. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (-), 23-Фев-22, 13:17
	> То ли дело зеродеи в новом, модном коде! можно подумать в старом их не бывает, старый сишный код вообще часто писан без секурити в голове, лишь бы работало, долбать эксплойтами стали ведь уже потом
	Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

	21. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (21), 22-Фев-22, 14:12
	Уязвимость в _netfilter_. Не важно, кто там правила загружает.
	Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

	53. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	–1 +/–
	Сообщение от пох. (?), 22-Фев-22, 18:49
	Уязвимость в модном-молодежном "почти как bpf но без лицензии bsd" нетфильтре. А в 3.0.100 немодный, он правила выполняет в том виде, в котором их собирает iptables, и там нет никакого nf_tables_api.c поскольку они никуда не "компилируются". Офлоада, правда, тоже нет, но полагаю это не последний баг и не все они будут связаны с офлоадом.
	Ответить | Правка | Наверх | Cообщить модератору

	30. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от crypt (ok), 22-Фев-22, 15:16
	я сидел на 2.6.32 до упора, но поддержка rhel6 закончилась:( с нее на freebsd чуть ли не проще мигрировать, чем на новый systemd/Linux. даже запостил историю "Переход с Linux на FreeBSD. Успех, но..." https://www.linux.org.ru/gallery/screenshots/16719927 p.s. анонимные комментаторы там в игноре
	Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

	49. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (2), 22-Фев-22, 17:30
	> 3.4 FreeBSD - это единственная ОС из других *BSD с проприетарными драйверами. Полный успех. В любой есть.
	Ответить | Правка | Наверх | Cообщить модератору

	64. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (64), 22-Фев-22, 21:54
	> p.s. >анонимные комментаторы там в игноре ) Только ум, честь и совесть эпохи. Кстати, в свете последних постановлений надо доставать РК-86?
	Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

	109. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	–1 +/–
	Сообщение от Аноним (-), 23-Фев-22, 13:20
	а что ему делать было, когда основная трабла - "нет исходников иконок в svg" и операционки некроманские это гарантирует характерные коменты и жесты пальцами около виска )))
	Ответить | Правка | Наверх | Cообщить модератору

	44. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+1 +/–
	Сообщение от ух (?), 22-Фев-22, 17:04
	а мусью может пояснить, что именно не устроило их величество? в handbook много букв? нет systemd? kde не патчится? докер не едет через докер?
	Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

	56. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	–2 +/–
	Сообщение от пох. (?), 22-Фев-22, 19:14
	Могу, но ты все равно не сможешь понять. У вас три пакетных фильтра с невменяемым синтаксисом, один мертвый, второй полуработающий а третий вообще ни для чего непригоден из-за плоского конфига с номерками, здравствуй 96й год когда сети были примитивные и списки правил умещались на экран 80x24. userspace helpers, XXI век, userspace helpers для тривиального исправления одного байта в передаваемом пакетике а не какой-то суперсложной обработки (на которую в линуксе закладывались но так и не придумали к чему бы применить)...
	Ответить | Правка | Наверх | Cообщить модератору

	65. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (65), 22-Фев-22, 21:59
	>Ставьте ведро 3.0.100какоето Когда-то в линуксе развитие сопровождалось прогрессом. А теперь фанатики с "прогрессом" борятся. Прекрасно, чо!
	Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

	78. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Анто Нимно (?), 23-Фев-22, 07:20
	Когда софт стали делать не инженеры, а инженеры с бизнесменами, то качество изменилось - заболачивается. Оборотная сторона победы. Победа интересна с перспективы продать, на ней карьеру построить.
	Ответить | Правка | Наверх | Cообщить модератору

	105. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (-), 23-Фев-22, 13:09
	> Ставьте ведро 3.0.100какоето- там еще нормальный iptables. и получите мешочек известных вулнов в подарок, при том фиксить их там уже точно никто не будет и что мешает отключить вон то в билдконфиге ядра? джедаи не ищут простых путей?
	Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

	18. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+8 +/–
	Сообщение от Sultan (?), 22-Фев-22, 14:08
	Если фря наберёт такие обороты, то и там найдут кучи дырок. Нахождение уязвимостей - вопрос интереса к системе.
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	27. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+2 +/–
	Сообщение от Аноним (2), 22-Фев-22, 14:23
	Не только. Ещё и качества кода и организации структуры.
	Ответить | Правка | Наверх | Cообщить модератору

	41. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (39), 22-Фев-22, 16:50
	Во всех плейстейшенах и в нинтендо свитч фряха. Это прям дофига устройств. И что ты там найдешь?
	Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

	70. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (70), 23-Фев-22, 00:00
	Ты думаешь Сони и Нинтендо искали баги, а не просто взяли готовую кодовую базы и сделали на ее основе продукт под свои нужды? Или к чему тогда твое сообщение, оно ведь никак не контраргументирует высказывание про баги фряхи, которые не нашли ибо не искали
	Ответить | Правка | Наверх | Cообщить модератору

	73. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (-), 23-Фев-22, 00:40
	>>> Если фря наберёт такие обороты >> ... Это прям дофига устройств. > Ты думаешь Сони и Нинтендо искали баги, а не просто взяли готовую > кодовую базы и сделали на ее основе продукт под свои нужды? > Или к чему тогда твое сообщение, оно ведь никак не контраргументирует > высказывание про баги фряхи, которые не нашли ибо не искали Попробуйте перед ответом читать. Глазками. Очевидно, что отвечали в контексте "во фре не находят дыры, потому что мало где испольюзубт" и "контраргумент" тут ничем не хуже "не нашли, потому что не искали!"
	Ответить | Правка | Наверх | Cообщить модератору

	87. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (87), 23-Фев-22, 11:51
	В плойке я знаю довольно эпичные дыры находили. Но сравнение не совсем корректное, в плойке архитектура не писи и дрм во все дыры.
	Ответить | Правка | Наверх | Cообщить модератору

	100. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (-), 23-Фев-22, 12:49
	>> Если фря наберёт такие обороты, то и там найдут кучи дырок. >> баги фряхи, которые не нашли ибо не искали > В плойке я знаю довольно эпичные дыры находили. Хреноватый "качественно-количественный" анализ, если честно. Впрочем, аналитики выше вообще не в курсе, что Сонька платит 50000$ баг-баунти > Но сравнение не совсем корректное, в плойке архитектура не писи и дрм во все дыры. Вообще-то, сравнение "только ядро!" и "полноценная ОС с браузером и шахматессами"  -- не только "не совсем", а даже "совсем не".
	Ответить | Правка | Наверх | Cообщить модератору

	131. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (70), 23-Фев-22, 18:07
	То есть использование кода фряхи в проприетарных системах Сони и Нинтендо делает такой же популярной как и Линукс? Радует, что адепты фряхи ещё где-то остались, хоть и вот такие
	Ответить | Правка | К родителю #73 | Наверх | Cообщить модератору

	141. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (126), 23-Фев-22, 20:18
	> То есть использование кода фряхи в проприетарных системах Сони и Нинтендо делает > такой же популярной как и Линукс? Т.е. ты опять ведешь диалог с самим собою, увлеченно что-то придумывая и оспаривая.
	Ответить | Правка | Наверх | Cообщить модератору

	76. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+3 +/–
	Сообщение от Igor (??), 23-Фев-22, 02:41
	Ну так PS4 поломали именно через сеть и встроенный браузер, который открывал руководство пользователя из сети. Через браузер грузился эксплоит, который использовал дыры в ядре, позволившие получить доступ к ядреному пространству и заменить ключи шифрования. В результате появилась возможность расшифровать игрушки и зашифровывать их с нулевым ключем.
	Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

	110. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	–1 +/–
	Сообщение от Аноним (-), 23-Фев-22, 13:22
	ну хоть кто-то изучил секурити бздей... хоть и по таксебешной причине, да и фряха поди с этого получит как обычно - ничего
	Ответить | Правка | Наверх | Cообщить модератору

	124. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (-), 23-Фев-22, 15:06
	> да и фряха поди с этого получит как обычно - ничего commit d6c6c7850d14846c7106a09712f2ed97f87988cd Author: Mark Johnston <markj@FreeBSD.org> Date:   Thu Apr 2 15:30:51 2020 +0000     MFC r359154:     Fix synchronization in the IPV6_2292PKTOPTIONS set handler. Очередной опеннетно-лапчатый онализ.
	Ответить | Правка | Наверх | Cообщить модератору

	129. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (64), 23-Фев-22, 17:53
	Ключём, извините )
	Ответить | Правка | К родителю #76 | Наверх | Cообщить модератору

	46. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+3 +/–
	Сообщение от ух (?), 22-Фев-22, 17:13
	белые тоже едят друг друга, но хорошо скрывают. это не аргумент, это попытка оправдаться. но в общем с идей согласный - п.о. пишут люди, которым свойственно ошибаться. и вот тут начинаются ньюансы, потому что эти люди разные. одни в ластах и с гиперактивностью, а другие в кедах и с дипломами.
	Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

	91. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от пох. (?), 23-Фев-22, 12:20
	> белые тоже едят друг друга, но хорошо скрывают. а что с этим тезисом-то не так? > п.о. пишут люди но есть большая разница между Рыжим дол..ом писавшим ранний iptables just for fun и потому что мог, пусть и оставившего после себя развалины, их еще можно было восстанавливать, и моральным уродом комитером в CoC который "всех засужу за нарушение GPL!" - после которого восстанавливать уже нечего, надо наоборот, заливать напалмом.
	Ответить | Правка | Наверх | Cообщить модератору

	130. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (64), 23-Фев-22, 17:56
	Прекращайте коммунизм восхвалять!
	Ответить | Правка | Наверх | Cообщить модератору

	69. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+2 +/–
	Сообщение от BSDunya (?), 22-Фев-22, 22:05
	К простоте, но не в каменный век.
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	74. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (74), 23-Фев-22, 01:46
	BSD который хакинтош особенно рекомендую
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	92. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от пох. (?), 23-Фев-22, 12:21
	там еще большее г-но с пакетным фильтром - из трех полуработающих работает один совсем бесполезный.
	Ответить | Правка | Наверх | Cообщить модератору

	11. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (11), 22-Фев-22, 13:44
	- Человек - это много данных. Аденин, цитозин, гуанин, тимин - алфавит человека - четыре символа. У меня лишь два - ноль и единица. - В два раза проще, зато в два раза прекраснее.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	37. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (37), 22-Фев-22, 16:22
	Откуда?
	Ответить | Правка | Наверх | Cообщить модератору

	80. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (11), 23-Фев-22, 09:56
	Из экранизации "Мечтают ли андроиды об электроовцах? 2049"
	Ответить | Правка | Наверх | Cообщить модератору

	88. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от likeyourdaddy (?), 23-Фев-22, 11:56
	зумер, спок
	Ответить | Правка | Наверх | Cообщить модератору

	89. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+1 +/–
	Сообщение от Аноним (11), 23-Фев-22, 12:00
	Зумер, зумеры не в состоянии запомнить такой диалог.
	Ответить | Правка | Наверх | Cообщить модератору

	111. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (-), 23-Фев-22, 13:23
	в чем проблема, по 2 бита на символ недурно упаковывается
	Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

	122. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (11), 23-Фев-22, 14:29
	- Будь это правдой, за мной всю мою жизнь охотился кто-то вроде меня. - Но так здорово помечтать, согласись. - Лучше не надо.
	Ответить | Правка | Наверх | Cообщить модератору

	137. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (-), 23-Фев-22, 19:38
	мечты выполняются, так что...
	Ответить | Правка | Наверх | Cообщить модератору

	13. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+2 +/–
	Сообщение от Жироватт (ok), 22-Фев-22, 13:53
	QNX. Куня спасет весь мир могильных устройств
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	22. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+2 +/–
	Сообщение от Аноним (21), 22-Фев-22, 14:14
	Куня спасет весь мир
	Ответить | Правка | Наверх | Cообщить модератору

	62. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+1 +/–
	Сообщение от Аноним (62), 22-Фев-22, 21:31
	Сдохла куня.
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

	71. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (-), 23-Фев-22, 00:00
	Убили.
	Ответить | Правка | Наверх | Cообщить модератору

	83. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (11), 23-Фев-22, 10:40
	Воскреснет и вознесется в облака, ой, небеса. Ждем второго пришествия. Да будет так и во веки веков!
	Ответить | Правка | Наверх | Cообщить модератору

	133. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (133), 23-Фев-22, 18:52
	Куни живо
	Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

	112. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аномни (?), 23-Фев-22, 13:24
	> мир могильных устройств и фрибсдшные черти с вилами стоят...
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

	24. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (21), 22-Фев-22, 14:16
	И хостеры останутся без контейнеров?
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	55. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	–1 +/–
	Сообщение от Аноним (55), 22-Фев-22, 19:10
	Хипстеры вы хотели сказать?
	Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+5 +/–
Сообщение от Аноним (3), 22-Фев-22, 13:26
Черт... опять нашли нашу закладку... (с) АНБ
Ответить | Правка | Наверх | Cообщить модератору

	7. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	–1 +/–
	Сообщение от Аноним (7), 22-Фев-22, 13:34
	Да и ничего страшного, сейчас вон Microsoft запушит в ядро новую. // b.
	Ответить | Правка | Наверх | Cообщить модератору

	12. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+2 +/–
	Сообщение от Apple (?), 22-Фев-22, 13:50
	А мы червей откусываем.
	Ответить | Правка | Наверх | Cообщить модератору

	113. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Сири (?), 23-Фев-22, 13:25
	вы сделали опечатку в слове надкусываем
	Ответить | Правка | Наверх | Cообщить модератору

	118. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Дядюшка Apple (?), 23-Фев-22, 14:01
	Девочка, у Вас ротик маленький.
	Ответить | Правка | Наверх | Cообщить модератору

	14. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+2 +/–
	Сообщение от Жироватт (ok), 22-Фев-22, 13:54
	Кладмена своего увольте, а? У нас и так уже полядра изрыто, и надписи какие-то.
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

4. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+2 +/–
Сообщение от Урри (ok), 22-Фев-22, 13:28
> Проблема проявляется начиная с ядра 5.4. Ну вот. А я надеялся на своем ведроиде временный рут получить. Придется искать старые cve.
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	–4 +/–
Сообщение от Аноним (5), 22-Фев-22, 13:30
> Ошибка проявляется при настройке правил "dup" и "fwd" в цепочках, для которых применяется аппаратное ускорение обработки пакетов (offload). Т.е. затрагивает в лучшем случае 50 серверов во всём Интернете. Please disperse. // b.
Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+6 +/–
Сообщение от пох. (?), 22-Фев-22, 13:38
из соседней новости, прекрасное: > Непосредственно правила фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после > чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в ядре в специальной виртуальной машине, напоминающей BPF > (Berkeley Packet Filters). Подобный подход позволяет значительно сократить размер кода фильтрации, работающего на уровне ядра и вынести > все функции разбора правил и логики работы с протоколами в пространство пользователя. что, что тут могло бы пойти не так?!
Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	–3 +/–
Сообщение от Сергей (??), 22-Фев-22, 13:54
То, что ее эксплуатировать можно только локально никого не смущает?
Ответить | Правка | Наверх | Cообщить модератору

	17. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+5 +/–
	Сообщение от hshhhhh (ok), 22-Фев-22, 14:01
	> Уязвимость также может быть использована для атак на системы контейнерной изоляции.
	Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+1 +/–
Сообщение от Аноним (20), 22-Фев-22, 14:11
Проверка границ массива это слишком медленно и всё будет тормозить говорили они. Взамен уже десятки лет огребают трудновыловимые дыры в безопасности.
Ответить | Правка | Наверх | Cообщить модератору

	23. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	–2 +/–
	Сообщение от Аноним (-), 22-Фев-22, 14:16
	Именно так, зато щас как на Rust перепишем! Да как все дыры залатаем! // b.
	Ответить | Правка | Наверх | Cообщить модератору

	25. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	–1 +/–
	Сообщение от Аноним (11), 22-Фев-22, 14:18
	Надо было десятки лет сидеть в панике?
	Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

	72. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от anonymous (??), 23-Фев-22, 00:28
	Если будет попытка взлома, то лучше уйти в панику, чем позволять выполнять произвольный код.
	Ответить | Правка | Наверх | Cообщить модератору

	81. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+1 +/–
	Сообщение от Аноним (11), 23-Фев-22, 10:29
	Если будет не попытка взлома?
	Ответить | Правка | Наверх | Cообщить модератору

	144. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от anonymous (??), 25-Фев-22, 02:16
	Хорошо: лучше уйти в явную панику с описанием конкретной проблемы, чем втихоря начинать непредсказуемое поведение
	Ответить | Правка | Наверх | Cообщить модератору

	26. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (21), 22-Фев-22, 14:18
	А чему тормозить в данном случае? Если тут проверять только при загрузке правил.
	Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

	28. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (28), 22-Фев-22, 14:25
	Ну пока ломом по голове ен настучит это все они так и будут избегать языки с тостыми указателями
	Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

	114. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (-), 23-Фев-22, 13:27
	Юзеры не желают тормозные ядра и денег за это не несут. Хоть вы там с жиру полопайтесь с вашими указателями.
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+1 +/–
	Сообщение от Ordu (ok), 22-Фев-22, 15:45
	Справедливости ради стоит отметить, что тогда ещё говорили о том, что вообще нельзя писать систему на высокоуровневом языке, потому что тормозить будет. C смог пролезть в системное программирование потому, что он позиционировался как кроссплатформенный ассемблер. Ну и да, тогда проверка границ была дороже: компиляторы были тупыми, подметить что условия цикла гарантируют, что проверка всегда даст true и вышвырнуть её за ненадобностью, они не могли. Да и языки были другие -- итераторов нет, лямбд нет, а значит нет способов свалить на массив организацию цикла так, чтобы с минимумом проверок. И спекулятивного выполнения тогда не было, чтобы эта проверка задним числом выполнялась бы параллельно с выполнением другого кода.
	Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

	134. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (-), 23-Фев-22, 19:02
	Даже сишный компилер может мастерски изгадить код, тормознув в пару раз на ровном месте. Или, наоборот, удалить "ненужных" проверок NULL, прувер штука такая, докажет "never happens" на раз, и пофиг ему что full view большой системы где-то уже продолбали. Если код раз в день выполняется - черт с ним с всем этим, но ядро выполняет вообще все запросы программ и ворочает БОЛЬШИМИ потоками данных. Есть юзеры с 8K дисплеями, NVME всякие, 100GigE - и их обладатели считают что это должно работать на скорости железа. Четвертинка от этой скорости их вообще совсем не устраивает. А за спекулятив мы получили спектры с мельдонием, когда оказаолсь что задним числом оно эвона как, проц на допинге попадается.
	Ответить | Правка | Наверх | Cообщить модератору

	135. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Ordu (ok), 23-Фев-22, 19:34
	> Даже сишный компилер может мастерски изгадить код, тормознув в пару раз на > ровном месте. На это есть профайлер. > Или, наоборот, удалить "ненужных" проверок NULL, прувер штука такая, > докажет "never happens" на раз, и пофиг ему что full view > большой системы где-то уже продолбали. Это не было проблемой, пока C был кроссплатформенным ассемблером. Он генерил машинный код максимально приближенный к C'шному.
	Ответить | Правка | Наверх | Cообщить модератору

	138. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (-), 23-Фев-22, 19:45
	> На это есть профайлер. Как вы себе это представляете на штуках типа линукс кернела в среднеотфонарных конфигах, работающих для вон той толпы народа? И что делать с комбинаторным взрывом и тем фактом что для одних лучше так, а для других эдак? Реально оно приходит к неким компромиссам, а что-то такое более реально для секурити типа kasan толпой ботов. > Это не было проблемой, пока C был кроссплатформенным ассемблером. Он генерил машинный > код максимально приближенный к C'шному. Всего лишь это сейчас уже никого не устраивает. Крутой оптимизатор может намного больше. А если можно выжать больше из того же железа... нет, бизнес совершенно точно свою халяву никаким концептуалам не подарит. Ничего личного, это бизнес и это их бабки. А докупите на 10% больше серваков - за это в ином энтерпрайзе так то можно на мороз уйти. Другого нанять дешевле будет. А LTO на коде более нескольких кило легко даст мне мастер класс по фолдингу констант, оптимизации перемещений регистров и проч. Я просто потеряюсь в этом объеме - а компилеру пофиг, он железный.
	Ответить | Правка | Наверх | Cообщить модератору

	140. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Ordu (ok), 23-Фев-22, 19:56
	Я не понимаю о чём ты споришь. Речь идёт о том, что "вас же предупреждали, что надо выход за границы проверять, а вместо этого вы десятками лет баги ловите". Вот когда предупреждали дешевизна проверки на выход за границы была очень неочевидной. Ситуация сейчас изменилась, и я не спорю с этим.
	Ответить | Правка | Наверх | Cообщить модератору

	142. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (142), 23-Фев-22, 22:52
	> "вас же предупреждали, что надо выход за границы проверять, а вместо > этого вы десятками лет баги ловите". Все хотят и рыбку съесть и косточкой не подавиться. С растом столько возятся в основном потому что он похоже на это смотрится благодаря паре интересных идей. И меня так то устроит если компилер математически докажет "never happens" и выпилит проверку. Если оно стопудово так. Это даже желательно. Проблемы начинаются когда он что-то профакапил, упс... Там вон еще некий ZIG вылупился, для сишного кода как-то логичнее как путь апгрейда смотрится, радикально переписывать не надо а секурити может улучшить. > Вот когда предупреждали дешевизна проверки на выход за границы была > очень неочевидной. Ситуация сейчас изменилась, и я не спорю с этим. Ну попробуйте с пакетами в 100Г сетевку или NVME так. IO с тех пор тоже не стоял на месте. Можно поискать историю с PPS и IOPSами в паре последних ядер, начните на форониксе, они такое любят.
	Ответить | Правка | Наверх | Cообщить модератору

	52. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от InuYasha (??), 22-Фев-22, 18:34
	Мы не говорили. Мы и на null проверяли, и на выход за границы, и на порчу/сглаз данных.
	Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

38. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
Сообщение от Аноним (38), 22-Фев-22, 16:44
Камни с неба прилетели
Ответить | Правка | Наверх | Cообщить модератору

	43. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (39), 22-Фев-22, 16:52
	Зато мы в родном Линуксе.
	Ответить | Правка | Наверх | Cообщить модератору

	79. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Анто Нимно (?), 23-Фев-22, 07:26
	Много званых, да мало избранных.
	Ответить | Правка | Наверх | Cообщить модератору

	85. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (11), 23-Фев-22, 11:20
	> да мало избранных Голосуй, а то проиграешь!
	Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	–1 +/–
Сообщение от Онаним (?), 22-Фев-22, 17:19
> в цепочках, для которых применяется аппаратное ускорение обработки пакетов Так, уже легче. На боевых системах оффлоуда нетфильтра нет.
Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
Сообщение от Аноним12345 (?), 22-Фев-22, 19:08
Нет худа без добра
Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	–1 +/–
Сообщение от Аноним (65), 22-Фев-22, 21:03
Новость не читал. Надо было ставить pf. По факту увизгвимостей в нфт. Вангую, что из-за синтаксиса основные уязвимости будут из-за неверного написания правил. Сейчас ведь некоторые даже не понимают как в айпитабле работают правила и сперва пишут разрешения а дроп в конце. Видел на форуме недавно такие примеры.
Ответить | Правка | Наверх | Cообщить модератору

	63. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	–1 +/–
	Сообщение от john_erohin (?), 22-Фев-22, 21:36
	> некоторые даже не понимают как в айпитабле работают правила а я и не собираюсь "понимать" (т.е. гадить себе же в мозг еще одним собачьим языком). пусть за меня понимает firehol. к сожалению аналог для nftables мне неизвестен. >  и сперва пишут разрешения а дроп в конце. всегда так делаю. недавно удалось убрать ил логов чью-то протекшеую в провайдерский влан локалку. именно тихим дропом в конце.
	Ответить | Правка | Наверх | Cообщить модератору

	67. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+1 +/–
	Сообщение от Аноним (65), 22-Фев-22, 22:02
	>> некоторые даже не понимают как в айпитабле работают правила > а я и не собираюсь "понимать" (т.е. гадить > себе же в мозг еще одним собачьим языком). > пусть за меня понимает firehol. > к сожалению аналог для nftables мне неизвестен. >>  и сперва пишут разрешения а дроп в конце. > всегда так делаю. недавно удалось убрать ил логов > чью-то протекшеую в провайдерский влан локалку. > именно тихим дропом в конце. Вы молодец! Продолжайте в том же духе!
	Ответить | Правка | Наверх | Cообщить модератору

101. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
Сообщение от Аноним (-), 23-Фев-22, 12:59
> возможно только при наличии привилегий CAP_NET_ADMIN, При таких привилегиях права можно особо и не повышать - а зачем? :)
Ответить | Правка | Наверх | Cообщить модератору

121. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
Сообщение от Аноним (121), 23-Фев-22, 14:17
> непривилегированным пользователем в отдельном сетевом пространстве имён (network namespaces) cgroups & namesoaces & BPF - выкинуть с ядра. > позволяющего локальному пользователю поднять свои привилегии в Ubuntu 21.10 c отключённым механизмом защиты KASLR. ASLR необходим и в ядре и в юзерспейсе.
Ответить | Правка | Наверх | Cообщить модератору

	123. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от старый_админ (?), 23-Фев-22, 14:38
	en.wikipedia.org/wiki/OpenBSD
	Ответить | Правка | Наверх | Cообщить модератору

	139. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (-), 23-Фев-22, 19:48
	> cgroups & namesoaces & BPF - выкинуть с ядра. Конфигуряемо при билде ядра. > ASLR необходим и в ядре и в юзерспейсе. Тоже конфигуряемо, и как правило активно.
	Ответить | Правка | К родителю #121 | Наверх | Cообщить модератору

125. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+1 +/–
Сообщение от Аноним (65), 23-Фев-22, 15:14
1.5 анончика, обращение к вам: Что-то смотрю совсем тут поплохело. Помимо лора (что там знаю) вы еще где-то несете свет в прогрессивные массы? На лор не пойду, там толерастия цвет и попахивает.
Ответить | Правка | Наверх | Cообщить модератору

	127. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (11), 23-Фев-22, 15:55
	> свет Это не бесконечная тьма. Света мало, конечное(?) количество. Иначе весь космос светился бы ослепительными красками в любое время суток. Так что строго дозировано в неведомых просторах космоса согласно парадоксу Ферми.
	Ответить | Правка | Наверх | Cообщить модератору

	128. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."	+/–
	Сообщение от Аноним (65), 23-Фев-22, 17:17
	Ну тогда делом займусь. Хотя и лениво. Нашим еще полутора оставшимся, сохранившим и идеалы и мозги, привет при случае. "Тьма проходит и истинный свет уже светит..."(с). Не сдавайте позиции, посоны! Честь имею.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема