The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимости во FreeBSD, позволяющие обойти ограничения jail-окружений

24.02.2021 11:55

В развиваемой проектом FreeBSD системе изолированных окружений jail выявлены две уязвимости:

  • CVE-2020-25582 - уязвимость в реализации системного вызова jail_attach, предназначенного для прикрепления внешних процессов к существующим jail-окружениям. Проблема проявляется во время вызова jail_attach при помощи команд jexec или killall, и позволяет привилегированному процессу, изолированному внутри jail, изменить свой корневой каталог и получить полный доступ ко всем файлам и каталогам в системе.
  • CVE-2020-25581 - состояние гонки при удалении процессов при помощи системного вызова jail_remove, позволяет запущенному внутри jail привилегированному процессу избежать удаления при завершении работы jail и получить полный доступ к системе через devfs при последующем запуске jail с тем же корневым каталогом, воспользовавшись моментом, когда devfs уже примонтирован для jail, но правила изоляции ещё не применены.

Дополнительно можно отметить уязвимость (CVE-2020-25580) в PAM-модуле pam_login_access, отвечающем за обработку файла login_access, в котором определяются правила доступа пользователей и групп, применяемые при входе в систему (по умолчанию разрешён вход через консоль, sshd и telnetd). Уязвимость позволяет обойти ограничения login_access и осуществить вход, несмотря на наличие запрещающих правил.

Уязвимости устранены в ветках 13.0-STABLE, 12.2-STABLE и 11.4-STABLE, а также в корректирующих обновлениях FreeBSD 12.2-RELEASE-p4 и 11.4-RELEASE-p8.

  1. Главная ссылка к новости (https://lists.freebsd.org/pipe...)
  2. OpenNews: Уязвимость в ftpd из FreeBSD, позволявшая получить root-доступ при использовании ftpchroot
  3. OpenNews: Уязвимость в реализации jail из FreeBSD
  4. OpenNews: Возможность запуска CentOS 5 внутри FreeBSD jail
  5. OpenNews: Удалённые уязвимости в IPv6-стеках OpenBSD и FreeBSD
  6. OpenNews: Уязвимости в IPv6-стеке FreeBSD
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/54642-freebsd
Ключевые слова: freebsd, jail
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (111) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, James Bond (?), 12:02, 24/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Не только докер оказался решет0м
     
     
  • 2.2, Аноним (2), 12:03, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • –7 +/
    с хрустом так не было бы!
     
     
  • 3.3, Аноним (3), 12:05, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    блдж когда уже «Не время умирать» выйдет?!
     
  • 3.73, Аноним (73), 17:59, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    С хрустом небыло бы вообще ничего. Как ничего до сих пор и нет.
     
     
  • 4.81, Аноним (81), 19:12, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Так это и есть высшая степень надёжности! Если ничего нет, то ничего и не сломаешь :-)
     
  • 3.80, Umata (?), 19:09, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Что за хруст? Под капотом?
     
  • 2.16, Аноним (16), 13:20, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +15 +/
    > Не только докер оказался решет0м

    Главное, только дальше заголовка не читай ...

    > jail_remove(2) includes a loop that sends SIGKILL to all processes
    > in a jail, but skips processes in PRS_NEW state.  Thus it is possible
    > the a process in mid-fork(2) during jail removal can survive the jail
    > being removed.

    --
    > A process running inside a jail can avoid being killed during jail termination.
    > If a jail is subsequently started with the same root path, a lingering jailed process may be able to exploit the window during which a devfs filesystem is mounted but the jail's devfs ruleset has not been applied, to access device nodes which are ordinarily inaccessible.

    Делов-то - иметь рут, иметь монтирование devfs вообще, потом подгадать момент, когда jail решат прихлопнуть и сделать массовй форк, затем подгадать момент, когда запустят такой же и в промежуток времени между монтированием devfs и применением правил ...

    Совсем то же самое что и
    >  повышение привилегий (выполнение кода с правами root) в процессе декодирования специально оформленных архивов LZMA (.xz);
    > проблемы с проверкой идентификатора образа контейнера, которые могут быть использованы для подмены загружаемого из репозитория образа или выхода за пределы допустимого файлового пути.
    > возможность записи во внешние части ФС и выхода за пределы контейнера через манипуляции с абсолютными символическими ссылками;

    Вот!

     
     
  • 3.107, Аноним (107), 11:29, 25/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > jail_remove(2) includes a loop that sends SIGKILL to all processes
    > in a jail, but skips processes in PRS_NEW state.  Thus it is possible
    > the a process in mid-fork(2) during jail removal can survive the jail
    > being removed.

    какая-то шутка понятная только единственному ее разработчику. prs_new , так и вижу такого шипилявого деда, любителя маленьких мальчиков, prs_new , mid_fork и понимает что не can survive in the jail в случае чего, вот сидит и шутит в коде.

    такое впечатление, вот действительно лучше дальше заголовка не читать

     
     
  • 4.114, Аноним (-), 13:46, 25/02/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А глянуть в заголовочный файл sys proc h не позволяет обет комментатора опенне... большой текст свёрнут, показать
     
  • 2.56, Аноним (56), 15:54, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Докер vs jail - это как теплое с мягким. Jail vs cgroups тогда уж
     
     
  • 3.60, Аноним (60), 16:09, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет, это ты сравниваешь тёплое с мягким. Механизм изоляции и контроль ресурсов.
     
     
  • 4.76, Аноним (76), 18:20, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Он имел в виду linux namespaces, дополнением функциональности которого cgroups является.
     
  • 4.119, Синдарин (?), 17:00, 25/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Jail vs LXD/LXC

    Фря сдохла, мало людей, мало глаз и рук, дальше хуже. В космос летает нынче RTLinux с 3ным консенсус рантайм конвеером, а на Марс и вовсе Ubuntu Core слетала в лице марсохода.

    NASA выбирает Ubuntu Linux, а вы и дальше конпиляйте роллинг релизы от Арча.

     
  • 2.94, a (??), 22:26, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Offtop:

    Для Jail есть что-то типа kubernetes?

     
     
  • 3.95, Аноним (-), 22:38, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Offtop:
    > Для Jail есть что-то типа kubernetes?

    https://www.nomadproject.io/
    https://papers.freebsd.org/2020/fosdem/pizzamig-orchestrating_jails_with_nomad

     
     
  • 4.96, a (??), 22:40, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Thanks!
     
  • 3.108, Аноним (107), 11:30, 25/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А вы поезжайте в Питер и спросите.
     
     
  • 4.120, a (??), 17:33, 25/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо, умный пескарь (С)
     

  • 1.4, Аноним (4), 12:10, 24/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    И все равно я считаю BSD хорошей операционной системой. Да, бывают уязвимости, но у кого их не было? Я сейчас копаюсь в TempleOS -- тоже еще одна экзотическая ось, и вот в сравнении с ней BSD выглядит довольно-таки выигрышно.
     
     
  • 2.10, n00by (ok), 12:45, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +15 +/
    А мне не очень понравилась FreeBSD. Представляете, на тамошнем форуме нет срача. Как можно так жить? Потому сменил её на Rosa Tresh. Вот где настоящая фридум и гармония: пользователи вправе называть эту ОС г-ном, а разработчики пользователей -- свиньями. Ну а другие Линукс по сравнению с ней априори дно, потому что в них нет World of Tanks и самого большого вежливого сообщества.
     
     
  • 3.11, пох. (?), 12:53, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А мне не очень понравилась FreeBSD. Представляете, на тамошнем форуме нет срача.

    Да ты просто не умеешь.

    К тому же там довольно быстро банют, долго ходить по грани не всем дано.

     
     
  • 4.18, Аноним (18), 13:25, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > К тому же там довольно быстро банют, долго ходить по грани не всем дано.

    Поэтому ты пришло сюда.

     
  • 4.41, n00by (ok), 14:36, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> А мне не очень понравилась FreeBSD. Представляете, на тамошнем форуме нет срача.
    > Да ты просто не умеешь.

    Это потому что у меня допуска к БД нет, и он мне даже в страшных снах не снится. Помню, обменистратор одного широко известного в узких кругах сайтенга прочёл главу из книжки "MySQL для чайников" и изменил мои сообщения, что бы на том основании меня забанить. Но лажанул и выразился умеючи, на чём два других админа и спалили его махинации по логам апача. Так я понял, что незачем управлять Вселенной, она и без меня знает что делать. :)

     
     
  • 5.93, Ananimasss (?), 21:19, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Что это за бред и как логи апача, в которых максимум видно гет запросы к некому скрипту для администрирования, связаны с допуском к бд?
    Пример логов от админики с гет запросами можно? Еще до вебдванольщины для этих целей использовался пост.
     
     
  • 6.101, n00by (ok), 08:07, 25/02/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Разжёвываю 1 содержание якобы моего сообщения было настолько тупо, что вызвало... большой текст свёрнут, показать
     
     
  • 7.115, Ананимас008 (?), 14:23, 25/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >Ммм. Вопрос не по моему профилю

    Оно и видно, потому как для подобных скриптов используется только пост и все, что ты там увидишь в "логах апача", это будет факт самого вызова скрипта, а что именно он делал  и с какими параметрами запускался, какие поля передавал - нет.
    Поэтому твои "доказательства" с помощью оных выглядят довольно смешно.

     
     
  • 8.128, n00by (ok), 12:20, 26/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да У меня и написано, что поля никто и смотреть не стал Думал, что достаточ... текст свёрнут, показать
     
  • 3.13, Аноним (13), 13:03, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ты просто не застал bsd-срачи в ЖЖ.
     
     
  • 4.79, Аноним (-), 19:07, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> на тамошнем форуме нет срача.
    > Ты просто не застал bsd-срачи в ЖЖ.

    ЖЖ отличный пример исконно-бсдшного интернационального форума (сарказм)

     
  • 4.106, наме (?), 11:11, 25/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    дааа. интересно, куда подевался "специалист" слонегвдомене)))
     
  • 3.44, Аноним (44), 14:44, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > в них нет World of Tanks

    В них есть World of Tanks

     
     
  • 4.49, n00by (ok), 15:06, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> в них нет World of Tanks
    > В них есть World of Tanks

    Ну так то есть, но это Вам самостоятельно придётся возиться. Тогда как баш-программисты операционной системы Rosa Tresh создали гениальный rpm пакет, который устанавливает инсталлятор PortWoT. ОднойКнопкой™.

     
     
  • 5.121, Michael Shigorin (ok), 19:54, 25/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Случайно не по мотивам моего userinstall-helper, который лет пять назад накропал для установки vmware-horizon на машинки имени tonk.ru? ;-)
     
     
  • 6.129, n00by (ok), 13:07, 26/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    К сожалению, я не созерцал сам процесс компиляции Помню лишь, что он был долог ... большой текст свёрнут, показать
     
  • 3.57, Аноньё (?), 15:55, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Представляете, на тамошнем форуме нет срача

    Ужас-ужас

     
  • 3.84, Аноньимъ (ok), 19:50, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Представляете, на тамошнем форуме нет срача.

    Там запрещено обсуждать FreeBSD.

    Более того, есть высокий риск того, что в вашу тему непонравившуюся фанатиками набегут фряшники крича о том, что фря не линукс. После чего вашу тему удалят обосновав это тем, что вы обсуждаете FreeBSD, что запрещено.

     
  • 2.14, Аноним (14), 13:09, 24/02/2021 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
     
  • 3.39, Аноним (39), 14:34, 24/02/2021 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
     
  • 4.42, Аноним (42), 14:41, 24/02/2021 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 3.43, Аноним (42), 14:42, 24/02/2021 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
     
  • 4.45, Аноним (45), 14:50, 24/02/2021 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
  • 2.15, Аноним (15), 13:09, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    В сравнении с ОСью от поехвашего что угодно выглядит выигрышно.
    Но бзди действительно красивы своим акодемизмом.
     
     
  • 3.19, Аноним (18), 13:29, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > В сравнении с ОСью от поехвашего что угодно выглядит выигрышно.

    Я почему-то подумал про Бздю, но не про Ось Храма.

    > Но бзди действительно красивы своим акодемизмом.

    Есть варианты покруче. Например - Миникс. Тененбаум например, всем кому нужно видео - рекомендует запустить вантуз. Так что, познай лучше силу микроядра и будь счастлив.

     
     
  • 4.36, Аноним (36), 14:23, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +7 +/
    До коле!?
    Миникс - иллюстрация к учебному курсу. Сам Танненбаум устал повторять, что в жизни это не применимо. Потому что очень много чего, осталось за границами учебного курса.
     
     
  • 5.51, Lex (??), 15:12, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Их несколько, тех миниксов.
    И третий миникс нифига не для обучения, а для «прода»
     
     
  • 6.68, Аноним (36), 17:39, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Паскаль тоже в прод пошел. Когда приставку Object прилепили. Но не надолго и не широко.
    А миникс от Таненбаума в прод никак. С допилами и то низенько-близенько.
     
     
  • 7.77, Аноним (77), 18:32, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А миникс от Таненбаума в прод никак. С допилами и то низенько-близенько.

    А интеловцы-то и не знали c ихним Intel ME

     
  • 7.102, Lex (??), 08:43, 25/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > А миникс от Таненбаума в прод никак. С допилами и то низенько-близенько.

    Дык ты про третий почитай все-таки для начала. Его в некоторой встройщине вполне используют, где требуется максимальная отказоустойчивость

     
  • 4.38, Аноним (42), 14:29, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Есть варианты покруче. Например - Миникс. Тененбаум например, всем кому нужно видео - рекомендует запустить вантуз. Так что, познай лучше силу микроядра и будь счастлив.

    Я не могу рассматривать MINIX3 как полноценную ОС. А вот illumos вполне себе открытый настоящий UNIX.

     
     
  • 5.48, ryoken (ok), 15:03, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> Я не могу рассматривать MINIX3 как полноценную ОС.

    А вот интелогоблины как-то - вполне. И поселили сие в своём ME.

     
     
  • 6.61, Аноним (42), 16:19, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    То есть для тебя нет разницы между Встроенное программное обеспечение и ОС? Ты сам вероятно MINIX3 используешь на своем персональном компьютере как основную ОС ???
     
  • 2.17, Аноним (18), 13:23, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • –9 +/
    Всё относительно Вот я на одной из своих машин дуалбутаю фрибзду из гроба Оба ... большой текст свёрнут, показать
     
     
  • 3.23, Аноним (-), 13:44, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > - Иногда при выключении можно потерять UFS2 вне зависимости от SU или J. Проблема извечная, чинить никто не будет.

    Ссылку на багрепорт или балабол.
    > - Очень тормозная графика. Наверное из-за того, что я давно привык к
    > линуксовым оптимизациям и плавной прокрутке.

    ... или к пингвиняьему балабольству ...
    > - Мало софта, почти нерабочий линуксатор.

    Почти нерабочий наброс, потому что слишком жЫрный.

     
     
  • 4.26, Аноним (45), 14:06, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Блоб нвидиа ставите и как в линуксе видео, вообще никакой разницы, я и игры даже под вином играл во бзде. Прокрутка тоже норм, правда только огнелиса ставил. Хром мне и в линукс не нравится.
     
     
  • 5.33, Аноним (-), 14:17, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Блоб нвидиа ставите и как в линуксе видео, вообще никакой разницы, я
    > и игры даже под вином играл во бзде. Прокрутка тоже норм,
    > правда только огнелиса ставил. Хром мне и в линукс не нравится.

    Так не мне это писать надо ... впрочем - тому кадру тоже не надо, ему это не интересно, он тут каждый раз так набрасывает ...


     
  • 5.116, Ананимас008 (?), 14:27, 25/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Какие еще блобы невидии, человек сказал что у него i915.
    Ну не осилил он поставить нужные драйвера и не лезть ручками в Xorg.conf, что же теперь поделать.
     
  • 3.40, Аноним (42), 14:34, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >- Мало софта, почти нерабочий линуксатор. Но на это вроде обратили внимание

    Как может быть софта меньше чем под Линукс, если софт под Линукс открытый и портировать его легко? Не понимаю.

     
     
  • 4.46, анонн (ok), 14:59, 24/02/2021 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
  • 3.85, Аноньимъ (ok), 19:56, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >Раньше её считали эталоном стабильности даже.

    Раньше так и было, работало много чего, в том числе реалтековские сетевушки.

    А потом вместо драйверов и фиксов стали пилить фичи.

     
  • 2.37, Аноним (42), 14:26, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Выявление уязвимостей это хорошо, это рабочий процесс. Не понимаю почему кто-то сравнивает FreeBSD и Linux. Радуются выявленным уязвимостям как дети, как будто Линукс от этого лучше стал.
    Если человеку интересно СПО он должен радоваться развитию любой открытой ОС в том числе и выявлению уязвимостей.
    Последнее время в FreeBSD активно находят уязвимости, это признак развития.
     
     
  • 3.86, Аноньимъ (ok), 19:56, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Тащемто я рад что уязвимость нашли и устранили.
     

  • 1.5, kvaps (ok), 12:27, 24/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Ну контейнеры это совсем не про изоляцию.
    Даже в linux рекомендуется отбирать у контейнеров root.
     
     
  • 2.7, Anonymouss (?), 12:35, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Правильно говорить: "Но контейнеры это совсем не средство изоляции" ("про" здесь неуместно и делает фразу корявой)
     
  • 2.9, пох. (?), 12:40, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    это в ваших линуксах какие-то контейнеры, которые не про изоляцию.
    jail это как раз про изоляцию, и изначально - только и исключительно про нее.

    Стапроцентной гарантии, впрочем, не дает, а с модными "конь-тейнерными" фичами и тем более.

     
     
  • 3.21, Аноним (-), 13:36, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > это в ваших линуксах какие-то контейнеры, которые не про изоляцию.
    > jail это как раз про изоляцию, и изначально - только и исключительно
    > про нее.

    Ну ты же понимаешь, что дальше заголовков пингвинята не читают, а там ясно написано, что УЯЗВИМО!

    И пох, что в одном случае для ptrace нужно иметь соотв. привилегии _и_ как-то угадать время запуска и PID, а в другом - сначала делать постоянный и массовый форк, чтобы иметь шанс пережить прибитие джейла, а затем не менее "незаметный" poll доступных dev-нод (если они есть вообще) ...

     
     
  • 4.30, Аноним (36), 14:12, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Школота может умничает?
     
  • 2.71, псевдонимус (?), 17:53, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Джайл именно про изоляцию, прочие фичи вторичны
     

  • 1.20, Аноним (45), 13:32, 24/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Никогда на бзяшном десктопе ими не пользовался, хотя честно старался привыкнуть к бзде, но перетыкивать колонки и наушники такое себе удовольствие. В линукс проще с этим делом из-за алсы.) В остальном одинаково.
     
     
  • 2.72, псевдонимус (?), 17:55, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Что за набор случайных слов я сейчас прочитал?
     
     
  • 3.82, Аноним (45), 19:39, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ешё раз перечитайте и если повезёт, сумеете понять. Пользуйтесь переводчиком если такое возможно.
     
     
  • 4.91, псевдонимус (?), 20:14, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Ешё раз перечитайте и если повезёт, сумеете понять. Пользуйтесь переводчиком если такое
    > возможно.

    Я пока понял, что ты фрибсд не на десктопе ни на сервере не юзал. Потыкал, увидел, что это не Линукс, снёс.

     
     
  • 5.99, Аноним (45), 03:20, 25/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да, примерно так и есть. Со звуком сделать ничего не сумел. Если же в остальном тот же линукс в принципе, то страдать на бзде нет особого желания. Старые бздуны пытались помочь, но не с моей конфигурацией железа продолжать...(
     
  • 5.100, Аноним (45), 03:25, 25/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    lenovo H530
     

  • 1.25, Аноним (25), 14:01, 24/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    >> When a process, such as jexec(8) or killall(1), calls jail_attach(2)

    to enter a jail, the jailed root can attach to it using ptrace(2) before
    the current working directory is changed.
    >> Проблема проявляется во время вызова jail_attach при помощи команд jexec или killall, и позволяет привилегированному процессу, изолированному внутри jail, изменить свой корневой каталог и получить полный доступ ко всем файлам и каталогам в системе.

    Ух ты.
    Как-то угадать время вызова _и_ PID и получить доступ на тот самый промежуток времени, когда процессу прикрепили JID, но _еще не поменяли_ working dir - стало простым и незатейливым "полный доступ ко всем файлам и каталогам в системе"

     
     
  • 2.27, Аноним (36), 14:08, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ну вот тоже заголовок новости удивил. Желтизна какая-то.
    По факту: "обладая даром ясновидения и удачей +100500 вам возможно удастся повысить привилегии, но это не точно".
     
  • 2.29, пох. (?), 14:10, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну типичный ж race, может повезти. Осталось только уговорить подобное позапускать энцать раз подряд.

     
     
  • 3.31, Аноним (36), 14:13, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Проделайте это хоть раз, везучий вы наш :)
     
     
  • 4.74, Карабьян (?), 18:05, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Тут уже законы Мерфи сработают: в лотерею фиг выиграешь, а вот против теья редкая гадость непременно случится
     
  • 3.47, Sw00p aka Jerom (?), 15:01, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >Ну типичный ж race,

    сначала ведь нужно владеть рутом внутри джейла не?

     
     
  • 4.53, пох. (?), 15:24, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Ты хорошо понимаешь, что такое jail? Это ни разу не дыркер для донесения крошек с разарботчиковой клавиатуры до прода в неизменной позиции. Это именно про изоляцию. И в ней нашли очередную проблему (ну и будут, это люди писали а не с неба дадено)

    Мы для того в нем что-то запускаем (в том числе и как правило так и да - рутовое), чтобы ограничить ущерб в случае чего. Вот если это что-то поломали (очередной bind с сишной дырой) - чтоб там и остались. Поэтому возможность вылезти из chroot - безусловно нехорошо, даже вот такая, не факт что exploitable да еще чтоб не шибко заметным образом.
    При том что вся остальная изоляция, естественно, сохранится - в конце-концов, у меня на каждой системе есть по одному jail где / совпадает с системным изначально, by design.

     
     
  • 5.90, Sw00p aka Jerom (?), 20:11, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Ты хорошо понимаешь, что такое jail?

    рассмешили, 15 лет как юзаю, любой сторонний софт в собственном джейле, под собственным юзером, исключение те которые требуют рута, и рута еще необходимо получить в случае с первой уязвимостью.

    > Это именно про изоляцию.

    А вот тут уточните тогда, какую именно изоляцию раз уж с докером сравниваете?

    > Мы для того в нем что-то запускаем (в том числе и как
    > правило так и да - рутовое), чтобы ограничить ущерб в случае
    > чего.

    Ущерб чему? Че-то все так расплывчиво поясняете.

    > При том что вся остальная изоляция, естественно, сохранится - в конце-концов, у
    > меня на каждой системе есть по одному jail где / совпадает
    > с системным изначально, by design.

    бсдешные джейлы это псевдо-изоляция раз уж такие проблемы

     
     
  • 6.92, Аноним (-), 21:11, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    То ли дело полноценная виртуализация, угу https www opennet ru opennews ar... большой текст свёрнут, показать
     
     
  • 7.97, Sw00p aka Jerom (?), 22:41, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Изоляция и виртуализация - разные понятия.
     
  • 6.105, пох. (?), 09:54, 25/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > рассмешили, 15 лет как юзаю, любой сторонний софт в собственном джейле

    то есть занимаешься совершенно бессмысленной херней. Ок, вопрос снимается.

     
     
  • 7.111, Sw00p aka Jerom (?), 11:54, 25/02/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Выходит так, теперь ясно почему сами разработчики болт забили на сей механизм изоляции. пркдлагаете что-то другое?
     
     
  • 8.113, пох. (?), 13:05, 25/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не забили, просто, вероятно, парочка из них еще знают, зачем этот механизм нужен... текст свёрнут, показать
     
     
  • 9.117, Sw00p aka Jerom (?), 16:08, 25/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ага изолировать рута от рута для вас нет это не изоляция, а разграничения на сто... текст свёрнут, показать
     
     
  • 10.127, пох. (?), 21:48, 25/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Бть они ж реально _непроходимо_ т-пые ... текст свёрнут, показать
     

  • 1.50, ryoken (ok), 15:08, 24/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Оффтоп. На выходных в очередной раз пытался водрузить сабж на PowerMacG5. В очередной раз - мимо кассы. Контроллер дисковый нашло (LSISAS 3041E-R), поставиться по дефолту с дефолтной разметкой - смогло. На установке загрузчика - сдохло. На попытку из своего же меню запустить установку повторно - ноль реакции. С учётом вполне себе работающего с этого же контроллера Void-а - чёт тут не так, с бсдёй.
     
     
  • 2.54, Аноним (54), 15:46, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А я на выходных в баню ходил и пиво пил.
     
  • 2.55, Аноним (45), 15:53, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Дефолтно это с ЗФС то там же джпт и сраный уефи. Дальше руками ефибутмгр -с и т.д. А вот если легаси биос с мбр уфс и всем таким, то там норм работает само.
     
     
  • 3.58, ryoken (ok), 16:00, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это вы сейчас кому и на что отвечали? То, что архитектура ppc64, где APM & OpenFirmware - не видно?
     
     
  • 4.59, Аноним (45), 16:07, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вы про загрузчик писали. Какая блин разница.
     
     
  • 5.63, пох. (?), 17:05, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Специалисты впопеннета, какая, действительно, им разница... Подумаешь, нет на G5 никакого uefi и gpt тоже некому читать, и досовский masterboot не спасет ни разу.  Некогда думать, трясти надо!

    Ну а топикстартеру не расстраиваться  - непременно еще лет через десять твоя неподдерживаемая давно уже выброшенная на свалку архитектура заинтересует какого-то разработчика фри достаточно, чтоб ее начать чинить.

    Тут, блин, ныне выпускаемую и вполне востребованную-то никто не захотел поддерживать, а ты со своим гепять...

     
     
  • 6.65, Аноним (45), 17:24, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Сам я не тыкал и в глаза не видел, но вдруг поможет.
     
  • 6.75, Карабьян (?), 18:08, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Че-то ржу
     

  • 1.62, Какаянахренразница (ok), 16:50, 24/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Опять демоны вылазят из контейнеров...
     
     
  • 2.64, Аноним (-), 17:17, 24/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Опять демоны вылазят из контейнеров...

    Учитывая pid_max = 99999 и pid_random - только в день равноденствия, если этот день = четверг високосного года, имеет место солнечное затмение и только что прошел дождь.

     

  • 1.66, Аноним (66), 17:37, 24/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Хоть я и пользую Фрибсд уже более 15 лет я к сожалению не получил их официальную рассылку об уязвимостях потому что у них DKIM подпись в письмах неверная и их админы считают что это ок)))

    > We cannot guarantee correctness of DKIM signatures going through the

    mailing lists.

    > Looking into why security@ fails DKIM is on my list but it's pretty far down.  I suggest you try to fix your mail server so it reacts correctly to a broken DKIM signature, as documented in RFC 6375,

     
     
  • 2.104, пох. (?), 09:50, 25/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Учите матчасть.

    Скудоумные гуглерабы просто не знали, что бывают какие-то еще мэйллисты, когда изобретали свою оверинжинеренную бесполезную поделку. Просто в головы им такое не приходило, а пришло так и ушло, там все занято, там смузи плещется.

    Поэтому да, dkim ломается на мэйллистах. Настраивай сервер правильно - на тотальный игнор бесполезных заголовков. Я еще ни разу за последние лет десять не видел спамера, который присылал бы неподписанный спам, им-то это как раз несложно делать.

     
     
  • 3.110, Аноним (66), 11:46, 25/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У настоящего админа на мейллистах дким не ломается. Это просто показывает профессионализм админов структуры фрибсд(
     
     
  • 4.112, пох. (?), 12:54, 25/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > У настоящего админа на мейллистах дким не ломается.

    потому что он во всосапе и сцайпе сидит только?

    > Это просто показывает профессионализм

    это просто показывает твой непрофессионализм. Поскольку ты не понимаешь ни как работают мэйллисты, ни почему dkim - бред таких же как ты непрофессионалов, и работать с ними не будет никогда.

     
     
  • 5.118, Аноним (66), 16:51, 25/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я как раз таки понимаю и мои мейл листы с коммерческими рассылками подписываются правильно. Если ума не хватает настроить, то не надо на других свои косяки списывать.
     
     
  • 6.123, Michael Shigorin (ok), 19:59, 25/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > и мои мейл листы с коммерческими рассылками

    Вам знакомо слово mailman?

     
     
  • 7.126, пох. (?), 21:46, 25/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    зачем ему, он же непригоден для спама.
     
  • 7.130, Аноним (66), 14:15, 26/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Админ любого уровня способен подправить mailman. Но если даже мозгов нет, то это элементарно гуглится по запросу "mailman dkim".
     
  • 6.124, пох. (?), 21:43, 25/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, все правильно - твой спам рассылается, как надо. dkim работает ровно для того для чего придуман гуглем, максимально усложнить жизнь всем, кроме спаммеров и самого гугля.

    Чем ты недоволен, не пойму?

    Имей ты хоть каплю мозгов, ты бы понимал, чем спам отличается от нормальных рассылок для людей - но у тебя они такие же точно куриные как у авторов идеи.  Поэтому не нужны тебе никакие мэйллисты никакой bsd, они не для тебя предназначены. Читай свои "коммерческие рассылки".

     
  • 3.122, Michael Shigorin (ok), 19:58, 25/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Я еще ни разу за последние лет десять не видел спамера, который
    > присылал бы неподписанный спам, им-то это как раз несложно делать.

    А то и тупо через гугловые же MX.

     
     
  • 4.125, пох. (?), 21:45, 25/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Можно через mx, а можно просто найти нажористый сервер во внутренней гуглевой сети (месяца два валом валило с них - не с нормального релея, а явно с чего-то вообще не для того предназначенного, зато кем надо найденного) - ведь abuse у них тоже давным-давно нет.

    Корпорация делания правой рукой, фигле.

    И обратите внимание - местные альтернативно-одаренные всячески одобряют.

     
  • 2.131, Аноним (66), 14:16, 26/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Они могли хотя бы отключить дким для субдомена рассылки если руки из жопы.
     

  • 1.89, Аноним (89), 20:05, 24/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ну хоть какую-то уязвимость нашли.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру