forum.opennet.ru - "Уязвимость в OverlayFS, позволяющая повысить свои привилегии" (35)

"Уязвимость в OverlayFS, позволяющая повысить свои привилегии"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	+/–
Сообщение от opennews (??), 24-Мрт-23, 11:27
В ядре Linux в реализации файловой системы OverlayFS выявлена уязвимость (CVE-2023-0386), которую можно использовать для получения root-доступа на системах, в которых установлена подсистема FUSЕ и разрешено монтирование разделов OverlayFS непривилегированным пользователем (начиная с ядра Linux 5.11 с включением непривилегированных user namespace). Проблема устранена в ветке ядра 6.2. Публикацию обновлений пакетов в дистрибутивах можно проследить на страницах: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=58857
Ответить \| Правка \| Cообщить модератору

Оглавление

Перемудрили они конечно с этими setgid setuid Такое количество абстракций, что , Анонн (?), 13:35 , 24-Мрт-23, (20) +3

setuid setgid это вообще чудовищный костыль родом из 80-х Целый механизм файлов, Аноним (23), 14:57 , 24-Мрт-23, (23) +2

Справедливости ради, судо вообще костыль и мало где применим Это механизм для з, Аноним (24), 15:49 , 24-Мрт-23, (24)

Костыль, да Но удобный, и исключительно поэтому еще жив В каком смысле Он прим, Аноним (23), 16:02 , 24-Мрт-23, (26)

Ни разу в жизни не использовал судо Чем он удобный Костыль костыльный, есть 10, Аноним (24), 16:07 , 24-Мрт-23, (28) –3

Назовите хотя бы два из этих 100 , Аноним (23), 16:10 , 24-Мрт-23, (29)

Не проблема libcap и libcap-ng, policykit и т д , Аноним (24), 16:14 , 24-Мрт-23, (32) +1

Поддержка libcap должна быть предусмотрена заранее, произвольный бинарник так не, Аноним (23), 16:46 , 24-Мрт-23, (34)

Должна Вообще ненужно его запускать , Аноньимъ (ok), 20:44 , 24-Мрт-23, (43) –2

Год назад в polkit была уязвимость CVE-2021-4034, до сих пор название помню, т , Аноним (35), 16:55 , 24-Мрт-23, (35) +1

Если скорректировать причинно-следственные связи, то это ядру нужно знать, приви, n00by (ok), 07:56 , 25-Мрт-23, (49)

А почему костыль то Костыль - это обходное временное решение взамен нормального, Аноним (39), 19:30 , 24-Мрт-23, (39)

Так это и есть дёшево и сейчас, переложив целиком всю заботу вон на тех ребят, м, Аноним (24), 19:44 , 24-Мрт-23, (40) +2

Не только sudo usr sbin pam_timestamp_check usr sbin unix_chkpwd usr sbin userh, birdie (ok), 15:57 , 24-Мрт-23, (25) +3

chrome-sandbox Ему-то нафига setuid , Аноним (23), 16:03 , 24-Мрт-23, (27) +1

Очевидно, что бы повышать привилегии, Аноним (30), 16:13 , 24-Мрт-23, (30) +2

как иронично, Карлос Сношайтилис (ok), 17:56 , 24-Мрт-23, (36)

да,зачот , dannyD (?), 18:14 , 24-Мрт-23, (38)

Хром для изоляции запускает контейнер, а для запуска контейнера во многих дистри, Аноним (44), 21:58 , 24-Мрт-23, (44) +3

эт всё понятно, но недоверие к методам корпорации бобра у меня уже лет пятнацт , dannyD (?), 22:15 , 24-Мрт-23, (45) +2

А в правельных дистрибутивах так code ls -l sbin unix_chkpwd-rwx--x--x 1 root , Аноним (52), 11:33 , 25-Мрт-23, (52) +2

Ну, без этого костыля было бы сложно apache запускать cgi fast_cgi от имени поль, lucentcode (ok), 16:13 , 24-Мрт-23, (31) –1

Шёл 2023-й год, а люди всё еще обсуждают проблемы shared hosting Ещё 10 лет наза, Аноним (37), 18:10 , 24-Мрт-23, (37) +4
Что удобно, так это то, что этот же suexec позволял запустить от другого пользов, Аноним (41), 20:31 , 24-Мрт-23, (41) +1

Это не так В разных дистрах по разному Многие уже используют CAP В многопольз, Аноним (50), 08:43 , 25-Мрт-23, (50)

Как и OverlayFS с FUSE , Аноним (51), 11:22 , 25-Мрт-23, (51)

Если ты не в курсе, что chromium устанавливает setuid бинарь И много кто ещё, т, anonymous (??), 12:58 , 27-Мрт-23, (53)

А в openwrt можно где-то посмотреть публикацию обновления пакетов , Аноним (21), 14:01 , 24-Мрт-23, (21)

У тебя на OpenWRT есть пользователи, которые могут монтировать файловые системы , Аноним (41), 20:32 , 24-Мрт-23, (42)

Звучит жутковато, Аноним (54), 15:10 , 30-Мрт-23, (54)

Не уберегли, не досмотрели Бывает, чо , YetAnotherOnanym (ok), 14:43 , 24-Мрт-23, (22) +1
Скрыто модератором, Аноним (-), 16:30 , 24-Мрт-23, (33)
0 дней без уязвимости в непривилегированных user namespace, Аноним (46), 23:52 , 24-Мрт-23, (46) +2
Чего вы все привязались к setuid setgid Есть ли идиоты, у которых в системе исп, Аноним (47), 03:14 , 25-Мрт-23, (47)

Идея в том, чтобы создать образ ФС с такими файлами на другой машине, где есть r, Аноним (48), 06:06 , 25-Мрт-23, (48) +2

Сообщения [Сортировка по времени | RSS]

20. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии" +3 +/–

Сообщение от Анонн (?), 24-Мрт-23, 13:35

Перемудрили они конечно с этими setgid/setuid. Такое количество абстракций, что не удивительно что где-то логику не продумали.

Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии" +2 +/–

Сообщение от Аноним (23), 24-Мрт-23, 14:57

setuid/setgid это вообще чудовищный костыль родом из 80-х. Целый механизм файловой системы поддерживается уже 40 лет, но используется только для одной программы - sudo.

Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии" +/–

Сообщение от Аноним (24), 24-Мрт-23, 15:49

Справедливости ради, судо вообще костыль и мало где применим. Это механизм для запуска бинаря с чужими правами, поэтому применятся пользователями в многопользовательских конфигурациях, а не то, что ты подумал. Как это может использовать софт, по-твоему? Ну вот стим например от другого пользователя запускаешь, что файрвол мог его контролировать.

Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии" +/–

Сообщение от Аноним (23), 24-Мрт-23, 16:02

> судо вообще костыль
Костыль, да. Но удобный, и исключительно поэтому еще жив.
> и мало где применим
В каком смысле? Он применим везде, где его применяют.
Дальнейший ваш поток сознания у меня расшифровать не получилось.

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии" –3 +/–

Сообщение от Аноним (24), 24-Мрт-23, 16:07

Ни разу в жизни не использовал судо. Чем он удобный? Костыль костыльный, есть 100 способов сделать нормально не создавая уязвимость.

Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии" +/–

Сообщение от Аноним (23), 24-Мрт-23, 16:10

Назовите хотя бы два из этих 100.

Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии" +1 +/–

Сообщение от Аноним (24), 24-Мрт-23, 16:14

Не проблема: libcap и libcap-ng, policykit и т.д.

Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии" +/–

Сообщение от Аноним (23), 24-Мрт-23, 16:46

Поддержка libcap должна быть предусмотрена заранее, произвольный бинарник так не запустишь, так что это не аналог sudo.
polkit - да, в общем и целом согласен.

Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии" –2 +/–

Сообщение от Аноньимъ (ok), 24-Мрт-23, 20:44

>Поддержка libcap должна быть предусмотрена заранее
Должна.
>произвольный бинарник так не запустишь
Вообще ненужно его запускать.

Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии" +1 +/–

Сообщение от Аноним (35), 24-Мрт-23, 16:55

Год назад в polkit была уязвимость (CVE-2021-4034, до сих пор название помню, т.к. курсач про неё писал) с повышением привилегий, pkexec там только запрашивает разрешение, запускает сам, поэтому ему нужен suid-бит.

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

49. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии" +/–

Сообщение от n00by (ok), 25-Мрт-23, 07:56

Если скорректировать причинно-следственные связи, то это ядру нужно знать, привилегии каких потоков исполнения допустимо повышать. suid-бит ставится на файл, причём произвольный. Задачу возможно решить аккуратнее, создав список разрешённых файлов и их хешей. К такому, кстати, и идёт RedHat с цифровыми подписями.

Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии" +/–

Сообщение от Аноним (39), 24-Мрт-23, 19:30

А почему костыль то? Костыль - это обходное временное решение взамен нормального. Судо вполне самодостаточное решение, решающее свою задачу.

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

40. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии" +2 +/–

Сообщение от Аноним (24), 24-Мрт-23, 19:44

Так это и есть дёшево и сейчас, переложив целиком всю заботу вон на тех ребят, мол, не наши проблемы. Из убунтят уже выросли поколения хипстеров по песню "коко под рутом низя работать лучше  вот вам ALL=(ALL) NOPASSWD: ALL".

Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии" +3 +/–

Сообщение от birdie (ok), 24-Мрт-23, 15:57

Не только sudo.
/usr/sbin/pam_timestamp_check
/usr/sbin/unix_chkpwd
/usr/sbin/userhelper
/usr/sbin/mount.davfs
/usr/sbin/grub2-set-bootflag
/usr/sbin/usernetctl
/usr/lib/polkit-1/polkit-agent-helper-1
/usr/bin/fusermount
/usr/bin/at
/usr/bin/sudo
/usr/bin/chfn
/usr/bin/pkexec
/usr/bin/firejail
/usr/bin/mount
/usr/bin/chage
/usr/bin/crontab
/usr/bin/chsh
/usr/bin/passwd
/usr/bin/umount
/usr/bin/gpasswd
/usr/bin/su
/usr/bin/newgrp
/usr/bin/fusermount3
/usr/libexec/dbus-1/dbus-daemon-launch-helper
/usr/libexec/ddccontrol/ddcpci
/usr/libexec/qemu/qemu-bridge-helper
/usr/libexec/Xorg.wrap
/opt/google/chrome/chrome-sandbox

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

27. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии" +1 +/–

Сообщение от Аноним (23), 24-Мрт-23, 16:03

chrome-sandbox? Ему-то нафига setuid?

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии" +2 +/–

Сообщение от Аноним (30), 24-Мрт-23, 16:13

Очевидно, что бы повышать привилегии

Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии" +/–

Сообщение от Карлос Сношайтилис (ok), 24-Мрт-23, 17:56

> /opt/google/chrome/chrome-sandbox
как иронично

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

38. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии" +/–

Сообщение от dannyD (?), 24-Мрт-23, 18:14

да,зачот.

Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии" +3 +/–

Сообщение от Аноним (44), 24-Мрт-23, 21:58

Хром для изоляции запускает контейнер, а для запуска контейнера во многих дистрибутивах требуются права рута (а в тех, где не требуются, для этого используются USER_NS, которые тоже то ещё минное поле в плане безопасности). Поэтому эта песочница получает права рута через setuid, запускает контейнер, после чего сразу же лишает себя и прав рута, и возможности получить их снова. Это стандартный подход, и setuid почти всегда используется именно так: сразу после запуска получил права рута -> открыл ресурс, необходимый для работы, но доступный только руту -> лишил себя прав рута и возможности получить их снова, но ресурс сохранил -> начал работать.

Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии" +2 +/–

Сообщение от dannyD (?), 24-Мрт-23, 22:15

эт всё понятно, но недоверие к методам корпорации бобра у меня уже лет пятнацт.

Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии" +2 +/–

Сообщение от Аноним (52), 25-Мрт-23, 11:33

А в правельных дистрибутивах так:

ls -l /sbin/unix_chkpwd
-rwx--x--x 1 root root 38624 Feb 23  2020 /sbin/unix_chkpwd
getcap /sbin/unix_chkpwd
/sbin/unix_chkpwd = cap_dac_override+i

/etc/security/capability.conf:

cap_dac_override    vasya
none  *

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

31. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии" –1 +/–

Сообщение от lucentcode (ok), 24-Мрт-23, 16:13

Ну, без этого костыля было бы сложно apache запускать cgi/fast_cgi от имени пользователя, а не apache/www-data. А так есть апачик, который дёргает suexec(приложуху, что имеет setuid и запускает fastcgi от нужного юзверя), и у нас апачик от одного юзера работает, а обработчики php от другого запускаются. И таких приколов, когда костыль нужен, много. Емнип, у exim бинарь с подобными правами. Запускается от одного юзера процесс, выполняется от имени другого.

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

37. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии" +4 +/–

Сообщение от Аноним (37), 24-Мрт-23, 18:10

Шёл 2023-й год, а люди всё еще обсуждают проблемы shared hosting.
Ещё 10 лет назад эта проблема решалась запуском динамических php-fpm-пулов, по пулу на пользователя, и mod_fcgid (хотя в большинстве случаев - если это не невменоз с километром реврайтов в htaccess - достаточно nginx).
Сейчас же проще просто назапускать контейнеров.

Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии" +1 +/–

Сообщение от Аноним (41), 24-Мрт-23, 20:31

Что удобно, так это то, что этот же suexec позволял запустить от другого пользователя не только php. Незаменимая вещь, когда рута от сервака нет, а поадминить хочется.

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

50. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии" +/–

Сообщение от Аноним (50), 25-Мрт-23, 08:43

> используется только для одной программы
Это не так. В разных дистрах по разному. Многие уже используют CAP. В многопользовательских системах subit на группу необходим для некоторых каталогов, для ACL нужен.
SUID оказывается и CAP необходим для понижения привилегий root: https://www.opennet.dev/openforum/vsluhforumID10/5622.html#12
По теме, в нормальных дистрах монтирование дисков в режиме записи, на рабочей системе, запрещено.

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

51. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии" +/–

Сообщение от Аноним (51), 25-Мрт-23, 11:22

>  в нормальных дистрах монтирование дисков в режиме записи, на рабочей системе, запрещено.
Как и OverlayFS с FUSE.

Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии" +/–

Сообщение от anonymous (??), 27-Мрт-23, 12:58

> но используется только для одной программы - sudo
Если ты не в курсе, что chromium устанавливает setuid бинарь. И много кто ещё, тот же firejail к примеру или xorg.

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

21. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии" +/–

Сообщение от Аноним (21), 24-Мрт-23, 14:01

А в openwrt можно где-то посмотреть публикацию обновления пакетов?

Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии" +/–

Сообщение от Аноним (41), 24-Мрт-23, 20:32

У тебя на OpenWRT есть пользователи, которые могут монтировать файловые системы.

Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии" +/–

Сообщение от Аноним (54), 30-Мрт-23, 15:10

Звучит жутковато

Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии" +1 +/–

Сообщение от YetAnotherOnanym (ok), 24-Мрт-23, 14:43

Не уберегли, не досмотрели...
Бывает, чо...

Ответить | Правка | Наверх | Cообщить модератору

33. Скрыто модератором +/–

Сообщение от Аноним (-), 24-Мрт-23, 16:30

А как запретить OFS на старых ядрах?

Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии" +2 +/–

Сообщение от Аноним (46), 24-Мрт-23, 23:52

0 дней без уязвимости в непривилегированных user namespace

Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии" +/–

Сообщение от Аноним (47), 25-Мрт-23, 03:14

>принадлежащий пользователю root исполняемый файл с флагами setuid/setgid, доступным всем пользователям на запись
Чего вы все привязались к setuid/setgid? Есть ли идиоты, у которых в системе исполняеме файлы "доступные всем пользователям на запись"?

Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии" +2 +/–

Сообщение от Аноним (48), 25-Мрт-23, 06:06

Идея в том, чтобы создать образ ФС с такими файлами на другой машине, где есть root, а потом скопировать на другую, примонтировать его через FUSE и дальше по инструкции в новости.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

20. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	+3 +/–
Сообщение от Анонн (?), 24-Мрт-23, 13:35
Перемудрили они конечно с этими setgid/setuid. Такое количество абстракций, что не удивительно что где-то логику не продумали.
Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	+2 +/–
	Сообщение от Аноним (23), 24-Мрт-23, 14:57
	setuid/setgid это вообще чудовищный костыль родом из 80-х. Целый механизм файловой системы поддерживается уже 40 лет, но используется только для одной программы - sudo.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	+/–
	Сообщение от Аноним (24), 24-Мрт-23, 15:49
	Справедливости ради, судо вообще костыль и мало где применим. Это механизм для запуска бинаря с чужими правами, поэтому применятся пользователями в многопользовательских конфигурациях, а не то, что ты подумал. Как это может использовать софт, по-твоему? Ну вот стим например от другого пользователя запускаешь, что файрвол мог его контролировать.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	+/–
	Сообщение от Аноним (23), 24-Мрт-23, 16:02
	> судо вообще костыль Костыль, да. Но удобный, и исключительно поэтому еще жив. > и мало где применим В каком смысле? Он применим везде, где его применяют. Дальнейший ваш поток сознания у меня расшифровать не получилось.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	–3 +/–
	Сообщение от Аноним (24), 24-Мрт-23, 16:07
	Ни разу в жизни не использовал судо. Чем он удобный? Костыль костыльный, есть 100 способов сделать нормально не создавая уязвимость.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	+/–
	Сообщение от Аноним (23), 24-Мрт-23, 16:10
	Назовите хотя бы два из этих 100.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	+1 +/–
	Сообщение от Аноним (24), 24-Мрт-23, 16:14
	Не проблема: libcap и libcap-ng, policykit и т.д.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	+/–
	Сообщение от Аноним (23), 24-Мрт-23, 16:46
	Поддержка libcap должна быть предусмотрена заранее, произвольный бинарник так не запустишь, так что это не аналог sudo. polkit - да, в общем и целом согласен.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	43. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	–2 +/–
	Сообщение от Аноньимъ (ok), 24-Мрт-23, 20:44
	>Поддержка libcap должна быть предусмотрена заранее Должна. >произвольный бинарник так не запустишь Вообще ненужно его запускать.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	35. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	+1 +/–
	Сообщение от Аноним (35), 24-Мрт-23, 16:55
	Год назад в polkit была уязвимость (CVE-2021-4034, до сих пор название помню, т.к. курсач про неё писал) с повышением привилегий, pkexec там только запрашивает разрешение, запускает сам, поэтому ему нужен suid-бит.
	Ответить \| Правка \| К родителю #32 \| Наверх \| Cообщить модератору


	49. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	+/–
	Сообщение от n00by (ok), 25-Мрт-23, 07:56
	Если скорректировать причинно-следственные связи, то это ядру нужно знать, привилегии каких потоков исполнения допустимо повышать. suid-бит ставится на файл, причём произвольный. Задачу возможно решить аккуратнее, создав список разрешённых файлов и их хешей. К такому, кстати, и идёт RedHat с цифровыми подписями.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	+/–
	Сообщение от Аноним (39), 24-Мрт-23, 19:30
	А почему костыль то? Костыль - это обходное временное решение взамен нормального. Судо вполне самодостаточное решение, решающее свою задачу.
	Ответить \| Правка \| К родителю #24 \| Наверх \| Cообщить модератору


	40. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	+2 +/–
	Сообщение от Аноним (24), 24-Мрт-23, 19:44
	Так это и есть дёшево и сейчас, переложив целиком всю заботу вон на тех ребят, мол, не наши проблемы. Из убунтят уже выросли поколения хипстеров по песню "коко под рутом низя работать лучше вот вам ALL=(ALL) NOPASSWD: ALL".
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	+3 +/–
	Сообщение от birdie (ok), 24-Мрт-23, 15:57
	Не только sudo. /usr/sbin/pam_timestamp_check /usr/sbin/unix_chkpwd /usr/sbin/userhelper /usr/sbin/mount.davfs /usr/sbin/grub2-set-bootflag /usr/sbin/usernetctl /usr/lib/polkit-1/polkit-agent-helper-1 /usr/bin/fusermount /usr/bin/at /usr/bin/sudo /usr/bin/chfn /usr/bin/pkexec /usr/bin/firejail /usr/bin/mount /usr/bin/chage /usr/bin/crontab /usr/bin/chsh /usr/bin/passwd /usr/bin/umount /usr/bin/gpasswd /usr/bin/su /usr/bin/newgrp /usr/bin/fusermount3 /usr/libexec/dbus-1/dbus-daemon-launch-helper /usr/libexec/ddccontrol/ddcpci /usr/libexec/qemu/qemu-bridge-helper /usr/libexec/Xorg.wrap /opt/google/chrome/chrome-sandbox
	Ответить \| Правка \| К родителю #23 \| Наверх \| Cообщить модератору


	27. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	+1 +/–
	Сообщение от Аноним (23), 24-Мрт-23, 16:03
	chrome-sandbox? Ему-то нафига setuid?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	+2 +/–
	Сообщение от Аноним (30), 24-Мрт-23, 16:13
	Очевидно, что бы повышать привилегии
	Ответить \| Правка \| Наверх \| Cообщить модератору


	36. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	+/–
	Сообщение от Карлос Сношайтилис (ok), 24-Мрт-23, 17:56
	> /opt/google/chrome/chrome-sandbox как иронично
	Ответить \| Правка \| К родителю #25 \| Наверх \| Cообщить модератору


	38. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	+/–
	Сообщение от dannyD (?), 24-Мрт-23, 18:14
	да,зачот.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	44. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	+3 +/–
	Сообщение от Аноним (44), 24-Мрт-23, 21:58
	Хром для изоляции запускает контейнер, а для запуска контейнера во многих дистрибутивах требуются права рута (а в тех, где не требуются, для этого используются USER_NS, которые тоже то ещё минное поле в плане безопасности). Поэтому эта песочница получает права рута через setuid, запускает контейнер, после чего сразу же лишает себя и прав рута, и возможности получить их снова. Это стандартный подход, и setuid почти всегда используется именно так: сразу после запуска получил права рута -> открыл ресурс, необходимый для работы, но доступный только руту -> лишил себя прав рута и возможности получить их снова, но ресурс сохранил -> начал работать.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	45. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	+2 +/–
	Сообщение от dannyD (?), 24-Мрт-23, 22:15
	эт всё понятно, но недоверие к методам корпорации бобра у меня уже лет пятнацт.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	52. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	+2 +/–
	Сообщение от Аноним (52), 25-Мрт-23, 11:33
	А в правельных дистрибутивах так: ls -l /sbin/unix_chkpwd -rwx--x--x 1 root root 38624 Feb 23 2020 /sbin/unix_chkpwd getcap /sbin/unix_chkpwd /sbin/unix_chkpwd = cap_dac_override+i /etc/security/capability.conf: cap_dac_override vasya none *
	Ответить \| Правка \| К родителю #25 \| Наверх \| Cообщить модератору


	31. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	–1 +/–
	Сообщение от lucentcode (ok), 24-Мрт-23, 16:13
	Ну, без этого костыля было бы сложно apache запускать cgi/fast_cgi от имени пользователя, а не apache/www-data. А так есть апачик, который дёргает suexec(приложуху, что имеет setuid и запускает fastcgi от нужного юзверя), и у нас апачик от одного юзера работает, а обработчики php от другого запускаются. И таких приколов, когда костыль нужен, много. Емнип, у exim бинарь с подобными правами. Запускается от одного юзера процесс, выполняется от имени другого.
	Ответить \| Правка \| К родителю #23 \| Наверх \| Cообщить модератору


	37. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	+4 +/–
	Сообщение от Аноним (37), 24-Мрт-23, 18:10
	Шёл 2023-й год, а люди всё еще обсуждают проблемы shared hosting. Ещё 10 лет назад эта проблема решалась запуском динамических php-fpm-пулов, по пулу на пользователя, и mod_fcgid (хотя в большинстве случаев - если это не невменоз с километром реврайтов в htaccess - достаточно nginx). Сейчас же проще просто назапускать контейнеров.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	41. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	+1 +/–
	Сообщение от Аноним (41), 24-Мрт-23, 20:31
	Что удобно, так это то, что этот же suexec позволял запустить от другого пользователя не только php. Незаменимая вещь, когда рута от сервака нет, а поадминить хочется.
	Ответить \| Правка \| К родителю #31 \| Наверх \| Cообщить модератору


	50. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	+/–
	Сообщение от Аноним (50), 25-Мрт-23, 08:43
	> используется только для одной программы Это не так. В разных дистрах по разному. Многие уже используют CAP. В многопользовательских системах subit на группу необходим для некоторых каталогов, для ACL нужен. SUID оказывается и CAP необходим для понижения привилегий root: https://www.opennet.dev/openforum/vsluhforumID10/5622.html#12 По теме, в нормальных дистрах монтирование дисков в режиме записи, на рабочей системе, запрещено.
	Ответить \| Правка \| К родителю #23 \| Наверх \| Cообщить модератору


	51. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	+/–
	Сообщение от Аноним (51), 25-Мрт-23, 11:22
	> в нормальных дистрах монтирование дисков в режиме записи, на рабочей системе, запрещено. Как и OverlayFS с FUSE.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	53. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	+/–
	Сообщение от anonymous (??), 27-Мрт-23, 12:58
	> но используется только для одной программы - sudo Если ты не в курсе, что chromium устанавливает setuid бинарь. И много кто ещё, тот же firejail к примеру или xorg.
	Ответить \| Правка \| К родителю #23 \| Наверх \| Cообщить модератору

21. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	+/–
Сообщение от Аноним (21), 24-Мрт-23, 14:01
А в openwrt можно где-то посмотреть публикацию обновления пакетов?
Ответить \| Правка \| Наверх \| Cообщить модератору


	42. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	+/–
	Сообщение от Аноним (41), 24-Мрт-23, 20:32
	У тебя на OpenWRT есть пользователи, которые могут монтировать файловые системы.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	54. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	+/–
	Сообщение от Аноним (54), 30-Мрт-23, 15:10
	Звучит жутковато
	Ответить \| Правка \| Наверх \| Cообщить модератору