The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Уязвимость в подсистеме netfilter, позволяющая выполнить код на уровне ядра Linux"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в подсистеме netfilter, позволяющая выполнить код на уровне ядра Linux"  +/
Сообщение от opennews (??), 22-Фев-22, 13:21 
В Netfilter, подсистеме ядра Linux, используемой для фильтрации и модификации сетевых пакетов, выявлена уязвимость (CVE-2022-25636), позволяющая выполнить код на уровне ядра. Заявлено о подготовке примера эксплоита, позволяющего локальному пользователю поднять свои привилегии в Ubuntu 21.10 c отключённым механизмом защиты KASLR. Проблема проявляется начиная с ядра 5.4. Исправление пока доступно в виде патча (корректирующие выпуски ядра не сформированы). Проследить за публикаций обновления пакетов в дистрибутивах можно на данных страницах: Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=56742

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. Скрыто модератором  –20 +/
Сообщение от Аноним (-), 22-Фев-22, 13:21 
Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +13 +/
Сообщение от Аноним (2), 22-Фев-22, 13:22 
Сколько наворочено всяких концепций, которые управляют другими, которые... Пора возвращаться к простоте.
Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +9 +/
Сообщение от Аноним (6), 22-Фев-22, 13:32 
> Пора возвращаться к простоте.

Ставьте FreeBSD.

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  –11 +/
Сообщение от пох. (?), 22-Фев-22, 13:40 
Там та, которая хуже воровства.

Ставьте ведро 3.0.100какоето- там еще нормальный iptables.
Без вот этого вот "очень похожего на BPF, но не так чтоб сохранить копирайты Berkley"

Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +5 +/
Сообщение от Аноним (10), 22-Фев-22, 13:42 
>Ставьте ведро 3.0.100какоето-

Старый код = неисправленные уязвимости.

Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  –1 +/
Сообщение от Аноним (39), 22-Фев-22, 16:49 
Зря ты так про фряху. Фряха идеальна!
Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (2), 22-Фев-22, 17:09 
Я не про фряху.
Ответить | Правка | Наверх | Cообщить модератору

106. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  –1 +/
Сообщение от Аноним (-), 23-Фев-22, 13:12 
> Зря ты так про фряху. Фряха идеальна!

История с вайргадом в фряхе сойдет за идеальныое что, детектив?!

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

126. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (126), 23-Фев-22, 15:52 
>> Зря ты так про фряху. Фряха идеальна!
> История с вайргадом в фряхе сойдет за идеальныое что, детектив?!

Не попавшая в релиз и за которую разраба с треском выперли?
То ли дело история с патчами от всяких минесот, где часть "протухла сама по себе - даже исправлять не надо!", ага.
https://www.opennet.dev/opennews/art.shtml?num=55095
> Также были проанализированы 435 коммитов, включающих исправления, отправленные разработчиками из Университета Миннесоты и не связанные с проведением эксперимента по продвижению скрытых уязвимостей.
> 349 коммитов признаны корректными и оставлены без изменений. В 39 коммитах обнаружены проблемы, требующие исправления - данные коммиты отменены и до выпуска ядра 5.13 будут заменены на более корректные исправления. Ошибки в 25 коммитах оказались исправлены в последующих изменениях. 12 коммитов потеряли актуальность,

Ответить | Правка | Наверх | Cообщить модератору

136. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (-), 23-Фев-22, 19:35 
> Не попавшая в релиз и за которую разраба с треском выперли?

После того как он втянул код и саботировал вынос этого трэша, и все это потребовало вмешательства автора вайргада. Наверное кернел тим так и должен работать... у кого-нибудь другого, мне такой кернелтим имхо ни к чему.

> То ли дело история с патчами от всяких минесот, где часть "протухла
> сама по себе - даже исправлять не надо!", ага.

Так их же вычислили как раз на гуанокоде и для предосторожности снесли и остальные комиты.

> на более корректные исправления. Ошибки в 25 коммитах оказались исправлены в последующих
> изменениях. 12 коммитов потеряли актуальность,

Да, стоило бы посмтоетреть на ту же статистику в фрибсд... кмк там просто всем по...й бы было, трэш гангстера вообще никого кроме автора вайргада не напряг, при том что он не девтим вообще.

Ответить | Правка | Наверх | Cообщить модератору

143. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (-), 24-Фев-22, 00:58 
> Так их же вычислили как раз на гуанокоде и для предосторожности снесли и остальные комиты.

Занятное врань^W "motivated reasoning". Для "предосторожности" - эти коммиты проанализировали и " 349 коммитов признаны корректными и оставлены без изменений.", а 12 - "протухли сами по себе"

>> на более корректные исправления. Ошибки в 25 коммитах оказались исправлены в последующих
>> изменениях. 12 коммитов потеряли актуальность,
> Да, стоило бы посмтоетреть на ту же статистику в фрибсд... кмк там
> просто всем по...й бы было, трэш гангстера вообще никого кроме автора вайргада не напряг, при том что он не девтим вообще.

Юли фантазер^W Емеля, твоя неделя.


Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  –1 +/
Сообщение от пох. (?), 22-Фев-22, 17:26 
То ли дело зеродеи в новом, модном коде!

(а из серьезных там разьве что n_tty, да и та вроде в последних версиях кое-как прикрыта)

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

51. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +1 +/
Сообщение от Аноним (2), 22-Фев-22, 17:36 
Сложите вместе эти два факта. Из этого следует, что стоит искать актуальный код, но не "модно-молодёжный".
Ответить | Правка | Наверх | Cообщить модератору

77. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  –1 +/
Сообщение от Анто Нимно (?), 23-Фев-22, 07:17 
Молодёжно-халявный, так, вероятно, стоит трактовать модно-молодёжность в контексте кода.
Ответить | Правка | Наверх | Cообщить модератору

86. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Антон Им (?), 23-Фев-22, 11:25 
> Молодёжно-халявный

Антикварно-роскошный

Ответить | Правка | Наверх | Cообщить модератору

107. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (-), 23-Фев-22, 13:17 
> То ли дело зеродеи в новом, модном коде!

можно подумать в старом их не бывает, старый сишный код вообще часто писан без секурити в голове, лишь бы работало, долбать эксплойтами стали ведь уже потом

Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

21. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (21), 22-Фев-22, 14:12 
Уязвимость в _netfilter_. Не важно, кто там правила загружает.
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

53. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  –1 +/
Сообщение от пох. (?), 22-Фев-22, 18:49 
Уязвимость в модном-молодежном "почти как bpf но без лицензии bsd" нетфильтре.

А в 3.0.100 немодный, он правила выполняет в том виде, в котором их собирает iptables, и там нет никакого nf_tables_api.c поскольку они никуда не "компилируются".

Офлоада, правда, тоже нет, но полагаю это не последний баг и не все они будут связаны с офлоадом.

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от crypt (ok), 22-Фев-22, 15:16 
я сидел на 2.6.32 до упора, но поддержка rhel6 закончилась:( с нее на freebsd чуть ли не проще мигрировать, чем на новый systemd/Linux.

даже запостил историю "Переход с Linux на FreeBSD. Успех, но..."

https://www.linux.org.ru/gallery/screenshots/16719927

p.s.

анонимные комментаторы там в игноре

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

49. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (2), 22-Фев-22, 17:30 
> 3.4 FreeBSD - это единственная ОС из других *BSD с проприетарными драйверами. Полный успех.

В любой есть.

Ответить | Правка | Наверх | Cообщить модератору

64. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (64), 22-Фев-22, 21:54 
> p.s.
>анонимные комментаторы там в игноре

) Только ум, честь и совесть эпохи. Кстати, в свете последних постановлений надо доставать РК-86?

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

109. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  –1 +/
Сообщение от Аноним (-), 23-Фев-22, 13:20 
а что ему делать было, когда основная трабла - "нет исходников иконок в svg" и операционки некроманские это гарантирует характерные коменты и жесты пальцами около виска )))
Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +1 +/
Сообщение от ух (?), 22-Фев-22, 17:04 
а мусью может пояснить, что именно не устроило их величество? в handbook много букв? нет systemd? kde не патчится? докер не едет через докер?
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

56. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  –2 +/
Сообщение от пох. (?), 22-Фев-22, 19:14 
Могу, но ты все равно не сможешь понять.

У вас три пакетных фильтра с невменяемым синтаксисом, один мертвый, второй полуработающий а третий вообще ни для чего непригоден из-за плоского конфига с номерками, здравствуй 96й год когда сети были примитивные и списки правил умещались на экран 80x24.

userspace helpers, XXI век, userspace helpers для тривиального исправления одного байта в передаваемом пакетике а не какой-то суперсложной обработки (на которую в линуксе закладывались но так и не придумали к чему бы применить)...

Ответить | Правка | Наверх | Cообщить модератору

65. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (65), 22-Фев-22, 21:59 
>Ставьте ведро 3.0.100какоето

Когда-то в линуксе развитие сопровождалось прогрессом. А теперь фанатики с "прогрессом" борятся.
Прекрасно, чо!

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

78. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Анто Нимно (?), 23-Фев-22, 07:20 
Когда софт стали делать не инженеры, а инженеры с бизнесменами, то качество изменилось - заболачивается.

Оборотная сторона победы. Победа интересна с перспективы продать, на ней карьеру построить.

Ответить | Правка | Наверх | Cообщить модератору

105. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (-), 23-Фев-22, 13:09 
> Ставьте ведро 3.0.100какоето- там еще нормальный iptables.

и получите мешочек известных вулнов в подарок, при том фиксить их там уже точно никто не будет

и что мешает отключить вон то в билдконфиге ядра? джедаи не ищут простых путей?

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

18. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +8 +/
Сообщение от Sultan (?), 22-Фев-22, 14:08 
Если фря наберёт такие обороты, то и там найдут кучи дырок. Нахождение уязвимостей - вопрос интереса к системе.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

27. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +2 +/
Сообщение от Аноним (2), 22-Фев-22, 14:23 
Не только. Ещё и качества кода и организации структуры.
Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (39), 22-Фев-22, 16:50 
Во всех плейстейшенах и в нинтендо свитч фряха. Это прям дофига устройств. И что ты там найдешь?  
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

70. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (70), 23-Фев-22, 00:00 
Ты думаешь Сони и Нинтендо искали баги, а не просто взяли готовую кодовую базы и сделали на ее основе продукт под свои нужды? Или к чему тогда твое сообщение, оно ведь никак не контраргументирует высказывание про баги фряхи, которые не нашли ибо не искали
Ответить | Правка | Наверх | Cообщить модератору

73. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (-), 23-Фев-22, 00:40 
>>> Если фря наберёт такие обороты
>> ... Это прям дофига устройств.
> Ты думаешь Сони и Нинтендо искали баги, а не просто взяли готовую
> кодовую базы и сделали на ее основе продукт под свои нужды?
> Или к чему тогда твое сообщение, оно ведь никак не контраргументирует
> высказывание про баги фряхи, которые не нашли ибо не искали

Попробуйте перед ответом читать. Глазками.
Очевидно, что отвечали в контексте "во фре не находят дыры, потому что мало где испольюзубт" и "контраргумент" тут ничем не хуже "не нашли, потому что не искали!"


Ответить | Правка | Наверх | Cообщить модератору

87. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (87), 23-Фев-22, 11:51 
В плойке я знаю довольно эпичные дыры находили. Но сравнение не совсем корректное, в плойке архитектура не писи и дрм во все дыры.
Ответить | Правка | Наверх | Cообщить модератору

100. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (-), 23-Фев-22, 12:49 
>> Если фря наберёт такие обороты, то и там найдут кучи дырок.
>> баги фряхи, которые не нашли ибо не искали
> В плойке я знаю довольно эпичные дыры находили.

Хреноватый "качественно-количественный" анализ, если честно. Впрочем, аналитики выше вообще не в курсе, что Сонька платит 50000$ баг-баунти

> Но сравнение не совсем корректное, в плойке архитектура не писи и дрм во все дыры.

Вообще-то, сравнение "только ядро!" и "полноценная ОС с браузером и шахматессами"  -- не только "не совсем", а даже "совсем не".


Ответить | Правка | Наверх | Cообщить модератору

131. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (70), 23-Фев-22, 18:07 
То есть использование кода фряхи в проприетарных системах Сони и Нинтендо делает такой же популярной как и Линукс? Радует, что адепты фряхи ещё где-то остались, хоть и вот такие
Ответить | Правка | К родителю #73 | Наверх | Cообщить модератору

141. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (126), 23-Фев-22, 20:18 
> То есть использование кода фряхи в проприетарных системах Сони и Нинтендо делает
> такой же популярной как и Линукс?

Т.е. ты опять ведешь диалог с самим собою, увлеченно что-то придумывая и оспаривая.


Ответить | Правка | Наверх | Cообщить модератору

76. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +3 +/
Сообщение от Igor (??), 23-Фев-22, 02:41 
Ну так PS4 поломали именно через сеть и встроенный браузер, который открывал руководство пользователя из сети. Через браузер грузился эксплоит, который использовал дыры в ядре, позволившие получить доступ к ядреному пространству и заменить ключи шифрования. В результате появилась возможность расшифровать игрушки и зашифровывать их с нулевым ключем.
Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

110. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  –1 +/
Сообщение от Аноним (-), 23-Фев-22, 13:22 
ну хоть кто-то изучил секурити бздей... хоть и по таксебешной причине, да и фряха поди с этого получит как обычно - ничего
Ответить | Правка | Наверх | Cообщить модератору

124. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (-), 23-Фев-22, 15:06 
> да и фряха поди с этого получит как обычно - ничего 


commit d6c6c7850d14846c7106a09712f2ed97f87988cd
Author: Mark Johnston <markj@FreeBSD.org>
Date:   Thu Apr 2 15:30:51 2020 +0000
    MFC r359154:
    Fix synchronization in the IPV6_2292PKTOPTIONS set handler.

Очередной опеннетно-лапчатый онализ.

Ответить | Правка | Наверх | Cообщить модератору

129. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (64), 23-Фев-22, 17:53 
Ключём, извините )
Ответить | Правка | К родителю #76 | Наверх | Cообщить модератору

46. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +3 +/
Сообщение от ух (?), 22-Фев-22, 17:13 
белые тоже едят друг друга, но хорошо скрывают. это не аргумент, это попытка оправдаться.

но в общем с идей согласный - п.о. пишут люди, которым свойственно ошибаться. и вот тут начинаются ньюансы, потому что эти люди разные. одни в ластах и с гиперактивностью, а другие в кедах и с дипломами.

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

91. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от пох. (?), 23-Фев-22, 12:20 
> белые тоже едят друг друга, но хорошо скрывают.

а что с этим тезисом-то не так?

> п.о. пишут люди

но есть большая разница между Рыжим дол..ом писавшим ранний iptables just for fun и потому что мог, пусть и оставившего после себя развалины, их еще можно было восстанавливать, и моральным уродом комитером в CoC который "всех засужу за нарушение GPL!" - после которого восстанавливать уже нечего, надо наоборот, заливать напалмом.

Ответить | Правка | Наверх | Cообщить модератору

130. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (64), 23-Фев-22, 17:56 
Прекращайте коммунизм восхвалять!
Ответить | Правка | Наверх | Cообщить модератору

69. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +2 +/
Сообщение от BSDunya (?), 22-Фев-22, 22:05 
К простоте, но не в каменный век.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

74. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (74), 23-Фев-22, 01:46 
BSD который хакинтош особенно рекомендую
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

92. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от пох. (?), 23-Фев-22, 12:21 
там еще большее г-но с пакетным фильтром - из трех полуработающих работает один совсем бесполезный.
Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (11), 22-Фев-22, 13:44 
- Человек - это много данных. Аденин, цитозин, гуанин, тимин - алфавит человека - четыре символа. У меня лишь два - ноль и единица.
- В два раза проще, зато в два раза прекраснее.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

37. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (37), 22-Фев-22, 16:22 
Откуда?
Ответить | Правка | Наверх | Cообщить модератору

80. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (11), 23-Фев-22, 09:56 
Из экранизации "Мечтают ли андроиды об электроовцах? 2049"
Ответить | Правка | Наверх | Cообщить модератору

88. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от likeyourdaddy (?), 23-Фев-22, 11:56 
зумер, спок
Ответить | Правка | Наверх | Cообщить модератору

89. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +1 +/
Сообщение от Аноним (11), 23-Фев-22, 12:00 
Зумер, зумеры не в состоянии запомнить такой диалог.
Ответить | Правка | Наверх | Cообщить модератору

111. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (-), 23-Фев-22, 13:23 
в чем проблема, по 2 бита на символ недурно упаковывается
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

122. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (11), 23-Фев-22, 14:29 
- Будь это правдой, за мной всю мою жизнь охотился кто-то вроде меня.
- Но так здорово помечтать, согласись.
- Лучше не надо.
Ответить | Правка | Наверх | Cообщить модератору

137. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (-), 23-Фев-22, 19:38 
мечты выполняются, так что...
Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +2 +/
Сообщение от Жироватт (ok), 22-Фев-22, 13:53 
QNX. Куня спасет весь мир могильных устройств
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

22. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +2 +/
Сообщение от Аноним (21), 22-Фев-22, 14:14 
Куня спасет весь мир
Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +1 +/
Сообщение от Аноним (62), 22-Фев-22, 21:31 
Сдохла куня.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

71. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (-), 23-Фев-22, 00:00 
Убили.
Ответить | Правка | Наверх | Cообщить модератору

83. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (11), 23-Фев-22, 10:40 
Воскреснет и вознесется в облака, ой, небеса. Ждем второго пришествия. Да будет так и во веки веков!
Ответить | Правка | Наверх | Cообщить модератору

133. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (133), 23-Фев-22, 18:52 
Куни живо
Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

112. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аномни (?), 23-Фев-22, 13:24 
> мир могильных устройств

и фрибсдшные черти с вилами стоят...

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

24. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (21), 22-Фев-22, 14:16 
И хостеры останутся без контейнеров?
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

55. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  –1 +/
Сообщение от Аноним (55), 22-Фев-22, 19:10 
Хипстеры вы хотели сказать?
Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +5 +/
Сообщение от Аноним (3), 22-Фев-22, 13:26 
Черт... опять нашли нашу закладку...
(с) АНБ
Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  –1 +/
Сообщение от Аноним (7), 22-Фев-22, 13:34 
Да и ничего страшного, сейчас вон Microsoft запушит в ядро новую.

// b.

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +2 +/
Сообщение от Apple (?), 22-Фев-22, 13:50 
А мы червей откусываем.
Ответить | Правка | Наверх | Cообщить модератору

113. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Сири (?), 23-Фев-22, 13:25 
вы сделали опечатку в слове надкусываем
Ответить | Правка | Наверх | Cообщить модератору

118. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Дядюшка Apple (?), 23-Фев-22, 14:01 
Девочка, у Вас ротик маленький.
Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +2 +/
Сообщение от Жироватт (ok), 22-Фев-22, 13:54 
Кладмена своего увольте, а? У нас и так уже полядра изрыто, и надписи какие-то.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

4. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +2 +/
Сообщение от Урри (ok), 22-Фев-22, 13:28 
> Проблема проявляется начиная с ядра 5.4.

Ну вот. А я надеялся на своем ведроиде временный рут получить.
Придется искать старые cve.

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  –4 +/
Сообщение от Аноним (5), 22-Фев-22, 13:30 
> Ошибка проявляется при настройке правил "dup" и "fwd" в цепочках, для которых применяется аппаратное ускорение обработки пакетов (offload).

Т.е. затрагивает в лучшем случае 50 серверов во всём Интернете.

Please disperse.

// b.

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +6 +/
Сообщение от пох. (?), 22-Фев-22, 13:38 
из соседней новости, прекрасное:
> Непосредственно правила фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после
> чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в ядре в специальной виртуальной машине, напоминающей BPF
> (Berkeley Packet Filters). Подобный подход позволяет значительно сократить размер кода фильтрации, работающего на уровне ядра и вынести
> все функции разбора правил и логики работы с протоколами в пространство пользователя.

что, что тут могло бы пойти не так?!

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  –3 +/
Сообщение от Сергей (??), 22-Фев-22, 13:54 
То, что ее эксплуатировать можно только локально никого не смущает?
Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +5 +/
Сообщение от hshhhhh (ok), 22-Фев-22, 14:01 
> Уязвимость также может быть использована для атак на системы контейнерной изоляции.
Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +1 +/
Сообщение от Аноним (20), 22-Фев-22, 14:11 
Проверка границ массива это слишком медленно и всё будет тормозить говорили они. Взамен уже десятки лет огребают трудновыловимые дыры в безопасности.
Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  –2 +/
Сообщение от Аноним (-), 22-Фев-22, 14:16 
Именно так, зато щас как на Rust перепишем! Да как все дыры залатаем!

// b.

Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  –1 +/
Сообщение от Аноним (11), 22-Фев-22, 14:18 
Надо было десятки лет сидеть в панике?
Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

72. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от anonymous (??), 23-Фев-22, 00:28 
Если будет попытка взлома, то лучше уйти в панику, чем позволять выполнять произвольный код.
Ответить | Правка | Наверх | Cообщить модератору

81. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +1 +/
Сообщение от Аноним (11), 23-Фев-22, 10:29 
Если будет не попытка взлома?
Ответить | Правка | Наверх | Cообщить модератору

144. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от anonymous (??), 25-Фев-22, 02:16 
Хорошо: лучше уйти в явную панику с описанием конкретной проблемы, чем втихоря начинать непредсказуемое поведение
Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (21), 22-Фев-22, 14:18 
А чему тормозить в данном случае? Если тут проверять только при загрузке правил.
Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

28. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (28), 22-Фев-22, 14:25 
Ну пока ломом по голове ен настучит это все они так и будут избегать языки с тостыми указателями
Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

114. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (-), 23-Фев-22, 13:27 
Юзеры не желают тормозные ядра и денег за это не несут. Хоть вы там с жиру полопайтесь с вашими указателями.
Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +1 +/
Сообщение от Ordu (ok), 22-Фев-22, 15:45 
Справедливости ради стоит отметить, что тогда ещё говорили о том, что вообще нельзя писать систему на высокоуровневом языке, потому что тормозить будет. C смог пролезть в системное программирование потому, что он позиционировался как кроссплатформенный ассемблер.

Ну и да, тогда проверка границ была дороже: компиляторы были тупыми, подметить что условия цикла гарантируют, что проверка всегда даст true и вышвырнуть её за ненадобностью, они не могли. Да и языки были другие -- итераторов нет, лямбд нет, а значит нет способов свалить на массив организацию цикла так, чтобы с минимумом проверок. И спекулятивного выполнения тогда не было, чтобы эта проверка задним числом выполнялась бы параллельно с выполнением другого кода.

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

134. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (-), 23-Фев-22, 19:02 
Даже сишный компилер может мастерски изгадить код, тормознув в пару раз на ровном месте. Или, наоборот, удалить "ненужных" проверок NULL, прувер штука такая, докажет "never happens" на раз, и пофиг ему что full view большой системы где-то уже продолбали.

Если код раз в день выполняется - черт с ним с всем этим, но ядро выполняет вообще все запросы программ и ворочает БОЛЬШИМИ потоками данных.

Есть юзеры с 8K дисплеями, NVME всякие, 100GigE - и их обладатели считают что это должно работать на скорости железа. Четвертинка от этой скорости их вообще совсем не устраивает.

А за спекулятив мы получили спектры с мельдонием, когда оказаолсь что задним числом оно эвона как, проц на допинге попадается.

Ответить | Правка | Наверх | Cообщить модератору

135. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Ordu (ok), 23-Фев-22, 19:34 
> Даже сишный компилер может мастерски изгадить код, тормознув в пару раз на
> ровном месте.

На это есть профайлер.

> Или, наоборот, удалить "ненужных" проверок NULL, прувер штука такая,
> докажет "never happens" на раз, и пофиг ему что full view
> большой системы где-то уже продолбали.

Это не было проблемой, пока C был кроссплатформенным ассемблером. Он генерил машинный код максимально приближенный к C'шному.

Ответить | Правка | Наверх | Cообщить модератору

138. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (-), 23-Фев-22, 19:45 
> На это есть профайлер.

Как вы себе это представляете на штуках типа линукс кернела в среднеотфонарных конфигах, работающих для вон той толпы народа? И что делать с комбинаторным взрывом и тем фактом что для одних лучше так, а для других эдак? Реально оно приходит к неким компромиссам, а что-то такое более реально для секурити типа kasan толпой ботов.

> Это не было проблемой, пока C был кроссплатформенным ассемблером. Он генерил машинный
> код максимально приближенный к C'шному.

Всего лишь это сейчас уже никого не устраивает. Крутой оптимизатор может намного больше. А если можно выжать больше из того же железа... нет, бизнес совершенно точно свою халяву никаким концептуалам не подарит. Ничего личного, это бизнес и это их бабки. А докупите на 10% больше серваков - за это в ином энтерпрайзе так то можно на мороз уйти. Другого нанять дешевле будет.

А LTO на коде более нескольких кило легко даст мне мастер класс по фолдингу констант, оптимизации перемещений регистров и проч. Я просто потеряюсь в этом объеме - а компилеру пофиг, он железный.

Ответить | Правка | Наверх | Cообщить модератору

140. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Ordu (ok), 23-Фев-22, 19:56 
Я не понимаю о чём ты споришь. Речь идёт о том, что "вас же предупреждали, что надо выход за границы проверять, а вместо этого вы десятками лет баги ловите". Вот когда предупреждали дешевизна проверки на выход за границы была очень неочевидной. Ситуация сейчас изменилась, и я не спорю с этим.
Ответить | Правка | Наверх | Cообщить модератору

142. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (142), 23-Фев-22, 22:52 
> "вас же предупреждали, что надо выход за границы проверять, а вместо
> этого вы десятками лет баги ловите".

Все хотят и рыбку съесть и косточкой не подавиться. С растом столько возятся в основном потому что он похоже на это смотрится благодаря паре интересных идей. И меня так то устроит если компилер математически докажет "never happens" и выпилит проверку. Если оно стопудово так. Это даже желательно. Проблемы начинаются когда он что-то профакапил, упс...

Там вон еще некий ZIG вылупился, для сишного кода как-то логичнее как путь апгрейда смотрится, радикально переписывать не надо а секурити может улучшить.

> Вот когда предупреждали дешевизна проверки на выход за границы была
> очень неочевидной. Ситуация сейчас изменилась, и я не спорю с этим.

Ну попробуйте с пакетами в 100Г сетевку или NVME так. IO с тех пор тоже не стоял на месте. Можно поискать историю с PPS и IOPSами в паре последних ядер, начните на форониксе, они такое любят.

Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от InuYasha (??), 22-Фев-22, 18:34 
Мы не говорили. Мы и на null проверяли, и на выход за границы, и на порчу/сглаз данных.
Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

38. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (38), 22-Фев-22, 16:44 
Камни с неба прилетели
Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (39), 22-Фев-22, 16:52 
Зато мы в родном Линуксе.
Ответить | Правка | Наверх | Cообщить модератору

79. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Анто Нимно (?), 23-Фев-22, 07:26 
Много званых, да мало избранных.
Ответить | Правка | Наверх | Cообщить модератору

85. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (11), 23-Фев-22, 11:20 
> да мало избранных

Голосуй, а то проиграешь!

Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  –1 +/
Сообщение от Онаним (?), 22-Фев-22, 17:19 
> в цепочках, для которых применяется аппаратное ускорение обработки пакетов

Так, уже легче. На боевых системах оффлоуда нетфильтра нет.

Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним12345 (?), 22-Фев-22, 19:08 
Нет худа без добра
Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  –1 +/
Сообщение от Аноним (65), 22-Фев-22, 21:03 
Новость не читал.
Надо было ставить pf.
По факту увизгвимостей в нфт.
Вангую, что из-за синтаксиса основные уязвимости будут из-за неверного написания правил.
Сейчас ведь некоторые даже не понимают как в айпитабле работают правила и сперва пишут разрешения а дроп в конце. Видел на форуме недавно такие примеры.
Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  –1 +/
Сообщение от john_erohin (?), 22-Фев-22, 21:36 
> некоторые даже не понимают как в айпитабле работают правила

а я и не собираюсь "понимать" (т.е. гадить
себе же в мозг еще одним собачьим языком).
пусть за меня понимает firehol.
к сожалению аналог для nftables мне неизвестен.

>  и сперва пишут разрешения а дроп в конце.

всегда так делаю. недавно удалось убрать ил логов
чью-то протекшеую в провайдерский влан локалку.
именно тихим дропом в конце.

Ответить | Правка | Наверх | Cообщить модератору

67. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +1 +/
Сообщение от Аноним (65), 22-Фев-22, 22:02 
>> некоторые даже не понимают как в айпитабле работают правила
> а я и не собираюсь "понимать" (т.е. гадить
> себе же в мозг еще одним собачьим языком).
> пусть за меня понимает firehol.
> к сожалению аналог для nftables мне неизвестен.
>>  и сперва пишут разрешения а дроп в конце.
> всегда так делаю. недавно удалось убрать ил логов
> чью-то протекшеую в провайдерский влан локалку.
> именно тихим дропом в конце.

Вы молодец! Продолжайте в том же духе!

Ответить | Правка | Наверх | Cообщить модератору

101. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (-), 23-Фев-22, 12:59 
> возможно только при наличии привилегий CAP_NET_ADMIN,

При таких привилегиях права можно особо и не повышать - а зачем? :)

Ответить | Правка | Наверх | Cообщить модератору

121. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (121), 23-Фев-22, 14:17 
> непривилегированным пользователем в отдельном сетевом пространстве имён (network namespaces)

cgroups & namesoaces & BPF - выкинуть с ядра.

> позволяющего локальному пользователю поднять свои привилегии в Ubuntu 21.10 c отключённым механизмом защиты KASLR.

ASLR необходим и в ядре и в юзерспейсе.

Ответить | Правка | Наверх | Cообщить модератору

123. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от старый_админ (?), 23-Фев-22, 14:38 
en.wikipedia.org/wiki/OpenBSD
Ответить | Правка | Наверх | Cообщить модератору

139. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (-), 23-Фев-22, 19:48 
> cgroups & namesoaces & BPF - выкинуть с ядра.

Конфигуряемо при билде ядра.

> ASLR необходим и в ядре и в юзерспейсе.

Тоже конфигуряемо, и как правило активно.

Ответить | Правка | К родителю #121 | Наверх | Cообщить модератору

125. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +1 +/
Сообщение от Аноним (65), 23-Фев-22, 15:14 
1.5 анончика, обращение к вам: Что-то смотрю совсем тут поплохело. Помимо лора (что там знаю) вы еще где-то несете свет в прогрессивные массы? На лор не пойду, там толерастия цвет и попахивает.
Ответить | Правка | Наверх | Cообщить модератору

127. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (11), 23-Фев-22, 15:55 
> свет

Это не бесконечная тьма. Света мало, конечное(?) количество. Иначе весь космос светился бы ослепительными красками в любое время суток. Так что строго дозировано в неведомых просторах космоса согласно парадоксу Ферми.

Ответить | Правка | Наверх | Cообщить модератору

128. "Уязвимость в подсистеме netfilter, позволяющая выполнить код..."  +/
Сообщение от Аноним (65), 23-Фев-22, 17:17 
Ну тогда делом займусь. Хотя и лениво.
Нашим еще полутора оставшимся, сохранившим и идеалы и мозги, привет при случае. "Тьма проходит и истинный свет уже светит..."(с). Не сдавайте позиции, посоны! Честь имею.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру