The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в подсистеме eBPF, позволяющая выполнить код на уровне ядра Linux

12.01.2022 21:11

В подсистеме eBPF, позволяющей запускать обработчики внутри ядра Linux в специальной виртуальной машине с JIT, выявлена уязвимость (CVE-2021-4204), дающая возможность локальному непривилегированному пользователю добиться повышения привилегий и выполнения своего кода на уровне ядра Linux. Проблема проявляется начиная с ядра Linux 5.8 и пока остаётся неисправленной (затрагивает в том числе выпуск 5.16). Состояние формирования обновлений с устранением проблемы в дистрибутивах можно отследить на данных страницах: Debian, RHEL, SUSE, Fedora, Ubuntu, Arch. Заявлено о создании рабочего эксплоита, который планируют опубликовать 18 января (пользователям и разработчикам дана неделя на устранение уязвимости).

Уязвимость вызвана некорректной проверкой передаваемых для выполнения eBPF-программ. Подсистема eBPF предоставляет вспомогательные функции, корректность использования которых проверяет специальный верификатор. Некоторые функции требуют передачи значения PTR_TO_MEM в качестве аргумента и для предотвращения возможных переполнений буфера верификатор должен знать размер связанной с аргументом памяти. Для функций bpf_ringbuf_submit и bpf_ringbuf_discard данные о размере передаваемой памяти не сообщались верификатору, что могло использоваться для перезаписи областей памяти за границей буфера при выполнении специально оформленного eBPF-кода.

Для проведения атаки пользователь должен иметь возможность загрузки своей BPF-программы, а многие свежие дистрибутивы Linux по умолчанию блокируют такую возможность (в том числе непривилегрированный доступ к eBPF теперь запрещён по умолчанию и в самом ядре, начиная с выпуска 5.16). Например, уязвимость может быть эксплуатирована в конфигурации по умолчанию в Ubuntu 20.04 LTS, но в окружениях Ubuntu 22.04-dev, Debian 11, openSUSE 15.3, RHEL 8.5, SUSE 15-SP4 и Fedora 33 проявляется только если администратор выставил параметр kernel.unprivileged_bpf_disabled в значение 0. В качестве обходного пути блокирования уязвимости можно запретить выполнение BPF-программ непривилегированным пользователям командой "sysctl -w kernel.unprivileged_bpf_disabled=1".

Дополнение: Следом тот же исследователь выявил ещё одну похожую уязвимость, вызванную отсутствием в верификаторе должных ограничений некоторых типов указателей *_OR_NULL.

  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Уязвимости в eBPF, позволяющие обойти защиту от атаки Spectre 4
  3. OpenNews: Уязвимость в eBPF, позволяющая выполнить код на уровне ядра Linux
  4. OpenNews: Уязвимость в ядре Linux, позволяющая повысить свои привилегии через BPF
  5. OpenNews: Уязвимости в подсистеме eBPF, позволяющие выполнить код на уровне ядра Linux
  6. OpenNews: Уязвимости в подсистеме eBPF ядра Linux
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/56497-ebpf
Ключевые слова: ebpf, kernel
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (125) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Онаним (?), 21:21, 12/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +37 +/
    Никогда не было, и вот...
    Опять...

    В очередной раз повторюсь: по умолчанию ЭТО должно быть выключено.

     
     
  • 2.24, Michael Shigorin (ok), 22:00, 12/01/2022 [^] [^^] [^^^] [ответить]  
  • –17 +/
    Не опять, а снова.
     
     
  • 3.29, Аноним (29), 22:24, 12/01/2022 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Не снова, а ещё раз
     
     
  • 4.37, Медоед (?), 23:44, 12/01/2022 [^] [^^] [^^^] [ответить]  
  • –4 +/
    про дырявого Тьюринга уже пошучено? Если нет, я первый занимал.
     
  • 3.38, Медоед (?), 23:45, 12/01/2022 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Миша, Миргородский вас хвалит, а на вики Альта про вас нехорошести написаны :)
     
     
  • 4.63, Аноним (63), 07:08, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +13 +/
    Вики Альта писал Шигорин. Себя хвалить не стал, воспитание.
     
  • 3.45, Аноним (45), 01:42, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >Не опять, а снова.

    Даже шутка про то что Ш смешон, и то тупая.

     
  • 2.43, Аноним (43), 01:08, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Системд уже использует ebpf по умолчанию, так что это уже сложно выключить.
     
     
  • 3.48, Аноним (-), 03:32, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Таков был замысел. Там еще со стороны ефи скоро подвезут подвязочку.
     
     
  • 4.93, anonymous (??), 11:28, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Напишите статью на zagovor.org
     
     
  • 5.94, Аноним (94), 11:30, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Напиши статью на ilovefuckwithibm.com
     
     
  • 6.130, anonymous (??), 10:59, 14/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Я вообще-то не шутил. Если вы действительно верите в заговор, то напишите о нём.
     
     
  • 7.136, Аноним (136), 00:39, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А у вас только заговоры и могут быть.
     
  • 3.138, Аноним (138), 14:02, 22/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не используейте systemd & eBPF

    И дистры с systemd, dbus, polkitd+JS, JIT,... тоже не используйте.

     
  • 2.64, Аноним (63), 07:13, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >> В очередной раз повторюсь: по умолчанию ЭТО должно быть выключено

    ЭТОГО быть не должно.
    Если по системд претензии скорее к реализации, чем к идее, то ебпф звездец со всех сторон.

     
     
  • 3.106, Аноним (-), 13:11, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Если по системд претензии скорее к реализации, чем к идее,

    чего чего ?

     
     
  • 4.113, Аноним (63), 15:10, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Стандартизированная система инициализации нужна, да и там много чего полезного ещё.

    Реализация - вендорлок, впиливание в ядро, завязка прикладного софта на функции системд, конфиги бинарные.
    Там овердохрена лютой дичи, которую непонятно как пропихали. То есть, понятно как и кто пихал, хз чем остальные думали.

     
     
  • 5.133, Аноним (133), 15:19, 15/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > То есть, понятно как и кто пихал, хз чем остальные думали.

    Остальные говорили что тр*ан*све*стир*ова*ть ли**н*уп*са не надо, но *р*а*с*т*ы к*а*стри*ров*али инит и пришили с*ы*з*ду.

     
  • 4.119, . (?), 17:33, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну он видимо имел в виду - есть же нормальный, человеческий, svchost ;-)

     
  • 3.131, Аноним (131), 17:15, 14/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    eBPF - украденный из фрибзд анализатор трафика сети. С какой стороны это звиздец?
     
     
  • 4.134, Аноним (133), 15:21, 15/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    JIT - изменения бинаря во время исполнения.

    Не удовлетворяет минимальному критерию безопасности уровню C1

     
  • 4.135, Аноним (-), 15:36, 15/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > eBPF - украденный из фрибзд анализатор трафика сети.

    У тебя слишком жидкий наброс. Только сам забрызгался.
    Попробуй еще раз.

     

  • 1.2, Аноним (2), 21:23, 12/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    больше BumbleBee богу BumbleBee! облегчим распространение [и эксплуатацию] уязвимостей уровня ядра!
     
     
  • 2.30, Аноним (30), 22:43, 12/01/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Это к чему? Bumblebee — решение, позволяющее задействовать NVIDIA Optimus в ноутбуках с GNU/Linux. При чем тут оно?
     
     
  • 3.32, Аноним (30), 22:50, 12/01/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Однако, это еще и инструментарий для eBPF. Вся силы ушли на придумывание названия, а на проверку кода в ядре уже не осталось.
     

  • 1.3, Аноним (3), 21:26, 12/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Да сейчас все так работает. Что удивляться то? Разрабы по умолчанию включают все опции, ибо юзверь дурак и не сможет сам догадаться включить все эти мегаполезные фичи. И вдвойне дурак, если решит их выключить. Так что не просто включаем их, но еще и опции на всякий случай уберем.
     
     
  • 2.5, Онаним (?), 21:27, 12/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну не с встроенным ж в ядро бэкдором так делать...
     
  • 2.54, lockywolf (ok), 05:41, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Юзер не может ничего включить и выключить, потому что модули его ядра подписаны sha512, и приватный ключ у вендора. А само ядро тоже подписано, и при его замене, прошивка не будет его грузить.
     
     
  • 3.59, Аноним (59), 06:43, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это я про всякие ведроиды, где тебе по умолчанию ставят в залоченный телефон фэйсбук и даже не спрашивают, нужен он тебе или нет. Покупаешь телефон? Значит нужен.
     
     
  • 4.105, Аноним (105), 13:01, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Покупаешь телефон? Значит нужен.

    Живёшь в современном мире? Терпи его реалии. У тебя обязан быть facebook, twitter, whatsapp, tiktok, tinder, netflix, gmail, dropbox, yandex, ростелеком-биометрия, сбер, нпск и ещё до верха кучи. Не нравится в Ро^W современном мире - в любой момент можешь эмигрировать, было бы желание, виза не нужна.

     
     
  • 5.114, penetrator (?), 16:00, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    нет ничего из этого гoвна, хотя ватсап раньше был неплох
     
  • 4.115, penetrator (?), 16:09, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а ты не покупай залоченый телефон, а то производители совсем в край охренели

    кроме самсунга, пикселей и 1+ ничего и не осталось, а под линейку так и самсунгов можно сказать нет

    сами расплодили вские каловеи и хренооми, а потом удивляетесь, что не дают oem unlock

    LOS + pico (+ battery manager) живет на моем 1+ в режиме ожидания (Wi-Fi on + 5G) 2 недели, на стоковой прошивке максимум 3 дня

     

  • 1.4, Аноним (4), 21:27, 12/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Предлагаю начинать заголовки с "очередная уязвимость в ebpf, позволяющая выполнить код на уровне ядра".
     
     
  • 2.6, Онаним (?), 21:28, 12/01/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Очередная ebpf с уязвимостью.
     
  • 2.97, Аноним (94), 11:33, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Правильнее. Разработчики уязвимостей раскрыли часть старых ненужных уязвимостей, которые утекли неправильным людям. И вставили новые уязвимости для правильных людей.
     
  • 2.99, Жироватт (ok), 11:43, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Хм...думаю, стоит переформулировать как "Найден еще один способ использования уязвимости BPF"
     

  • 1.7, Анонус (?), 21:30, 12/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Хмм, вот это было неожиданно.
     
     
  • 2.21, AntonAlekseevich (ok), 21:57, 12/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Хмм, вот это было неожиданно.

    Я же подозревал что это будет. eBPF работает для меня как черный ящик, а ведь могли сделать проще и одокументить его особенности и функции.

     
     
  • 3.61, Аноним (61), 06:53, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    а говорили что только в винде есть недокументированные возможности...
     
     
  • 4.73, Аноним (73), 09:38, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Кто говорил? Можно ссылку (только не на форум типа habr)? И Вашу фамилию тоже.
     
     
  • 5.77, Аноним12345 (?), 09:43, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    И оставьте свой емейл
    К вам приедут
     

  • 1.8, Аноним (8), 21:35, 12/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +17 +/
    не дыра, а технологическое отверстие
     
     
  • 2.10, Онаним (?), 21:41, 12/01/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Зияющая технологическая пропасть.
     
  • 2.44, Аноним (44), 01:34, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не технологическое, а конструктивное
     
     
  • 3.46, Аноним (46), 02:01, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не конструктивное, а вентялиционное.
     
     
  • 4.122, Онаним (?), 21:18, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не вентиляционное, а выхлопное.
     
  • 2.70, Аноним (70), 09:18, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Гражданин, не разглашайте!
     
  • 2.80, Аноним (80), 09:57, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Кингстон

    https://ru.wikipedia.org/wiki/%D0%9A%D0%B8%D0%BD

    > Слова «открытие кингстонов» часто используются как синоним намеренного затопления надводного судна.

     

  • 1.11, Аноним (11), 21:42, 12/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Надо поместить это в изолированный сандбокс-контейнер!!! Лучше в два слоя!
     
     
  • 2.16, Аноним (2), 21:51, 12/01/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    ехал докер через докер...
     
     
  • 3.39, uis (ok), 00:34, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Видит докер: в докер докер
     
     
  • 4.49, Аноним (-), 03:36, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    глянул докер через докер что там делают руты, вдруг сосдений тушит докер тот что докер через докер потому что eBPF !
     
  • 4.129, Докер (?), 09:56, 14/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Сунул докер ещё докер
    Докер докер докер докер!
     
  • 3.78, Аноним (78), 09:44, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > ехал докер через докер...

    Докер очень помогает от дыр в ядре (на самом деле нет).
    И выбраться оттуда, имея рута, нельзя (на самом деле можно).

     

  • 1.12, fernandos (ok), 21:45, 12/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    Ну JIT же --- сложнейшая штука, на кой чёрт это в ядре?
     
     
  • 2.14, Онаним (?), 21:47, 12/01/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ды вот да.
    Корпорасты втянули в пространство ядра то, чего там по определению быть не должно.
    Оптимизировать передачу данных для пакетной обработки в сторону юзерспейса оказалось сложно - подкостылили порося.
     
     
  • 3.18, fernandos (ok), 21:52, 12/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вытянули б и вытянули, но оно ещё и включено зачем-то по умолчанию.

    То есть, тут не просто кто-то пропихнул в ядро странную технологию, её ещё и включили у пользователей просто так, чтоб была.

     
  • 3.116, hohax (?), 16:14, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А как же солнцеликий Линус? Как позволил?
     
  • 2.31, Аноним (31), 22:47, 12/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Из новости непонятно зачем? Для выполнения кода на уровне ядра.
     
  • 2.71, Аноним (70), 09:21, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Гражданин, не задавайте глупых вопросов!
     
  • 2.96, anonymous (??), 11:31, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А какую альтернативу предлагаете для eBPF?
     
     
  • 3.107, Аноним (80), 13:15, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Пиши модуль ядра соблюдая GPL. Можешь еще подписывать сертификатом от MS, чтобы secure boot не ругался.

    А то странно все это выглядит: строят противоатомный бункер ... с дырой для прицельного закидывания бомб стратегического назначения.

     

  • 1.15, Аноним (-), 21:48, 12/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    jit в ядре небезопасно говорили они,а потом хренак хренак и в продакшн
     
  • 1.20, Аноним (-), 21:53, 12/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Ну ожидаемо.
     
  • 1.22, псевдонимус (?), 21:57, 12/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ну только новость про очередное Yo-бпф поделие вышла, как в дырище нашли очередную дыру.
     
  • 1.25, InuYasha (??), 22:01, 12/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    NPM vs. eBPF
    - Fight! -
     
     
  • 2.26, Аноним (8), 22:07, 12/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    хардварные бэкдоры винс
     
  • 2.58, Аноним (58), 06:35, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    eBPF это local execution, а NPM это remote execution. Очевидно, что победа за NPM. А вообще и то и другое является проблемой, только если код тянуть откуда попало. Но с тем же успехом можно ставить ПО методом curl $URL | sudo sh
     
     
  • 3.86, Онаним (?), 10:23, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А если скомбинировать NPM с eBPF - может и вообще конфетка получиться
     
     
  • 4.102, Жироватт (ok), 11:52, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    В eBPF крутится jvm.
    В этой jvm крутится Node.js
    В этом Node.js крутится специальная версия электрона на чистом js.
    В этом js'троне крутится лисповый интерпретатор на js
    В этом интерпретаторе крутится дотнет и powershell через транслятор IL2lisp.
    В дотнетовской виртуалке крутится интерперататор для вебасма
    В этом интерперататоре вебасма крутится лаунчер
    В этом лаунчере запущен гипервизор
    В гипервизоре запущен нативный винсервер 2019
    В этом винсервере крутится нативный электрон
    В этом нативном электроне крутится проект, вобравший в себя максимальное число лефтпадов и фейкеров с NPM
    В доме, который построил корпорат Джек
     
     
  • 5.118, InuYasha (??), 17:29, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В коде, который уходит в стек )
     

  • 1.27, Аноним (27), 22:07, 12/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Какой ужас!
     
  • 1.28, Аноним (28), 22:16, 12/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    BPF и прочие NFTables - от лукавого, а iptables - православно.
     
     
  • 2.41, Аноним (78), 00:55, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Главное, чтобы работало через nft backend.
     
  • 2.50, Мохнатый пись (?), 04:32, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    iptables deprecated, да и писать правила отдельно для ipv4 и отдельно для ipv6 это бред
     
     
  • 3.62, псевдонимус (?), 06:58, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Бред это не блокировать айпив6 целиком. Отрубил какаху в ядре и все хорошо.
     
     
  • 4.69, Аноним (69), 09:16, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Откуда вы такие луддиты берётесь?
     
     
  • 5.75, Аноним (78), 09:41, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну, конкретно псевдонимус (aka пох) - винадмин.
    Походу, у них там плохо с v6.
     
     
  • 6.104, псевдонимус (?), 12:32, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну, конкретно псевдонимус (aka пох) - винадмин.
    > Походу, у них там плохо с v6.

    Я не пох. Не увидеть это может разве что сосачер или зумерок.

     
  • 6.110, Газпром (?), 13:22, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ну, конкретно псевдонимус (aka пох) - винадмин.

    Благодарим Вас за объемный, качественный, двойной выброс горючего газа в эти тяжелые и холодные времена!


     
  • 6.123, Аноним (123), 21:56, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    У винадминов ещё с reverse DNS обычно всё плохо
     
  • 4.84, Онаним (?), 10:20, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Бред это не блокировать айпив6 целиком. Отрубил какаху в ядре и все
    > хорошо.

    Вот fuckt.
    Тот же OVH IPv6 даёт супплементарно, по 1 адресу на впсочку. Видимо клиентов настолько много (нет), что решили вообще не заморачиваться.

     
  • 4.101, Аноним (101), 11:49, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это только "благодаря" Роскомпозору в Рассеюшке IPv6 практически отсутствует.
     
     
  • 5.108, Аноним (-), 13:17, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Это только "благодаря" Роскомпозору в Рассеюшке IPv6 практически отсутствует.

    гребаная рука кремля.

     
  • 2.98, Аноним (101), 11:42, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Nftables, как и iptables, не позволяет обычному юзеру правила грузить.
     

  • 1.34, Аноним (34), 23:14, 12/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Название EbPF как бы символизирует
     
  • 1.35, Аноним (35), 23:22, 12/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ну и где этот ваш палец Линуса, когда он нужен?
     
     
  • 2.36, yet another anonymous (?), 23:43, 12/01/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ему этот палец открутила кодла, которая поттеринга явила миру.
     
  • 2.40, Аноним (40), 00:36, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Ну и где этот ваш палец Линуса, когда он нужен?

    В интересном месте у Платиновых Спонсоров, из чьих денег ему и платит фоундейшн?


     
     
  • 3.72, Аноним (70), 09:26, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вот NVidia бы заплатила, и Линус палец в ж-пу ещё раньше засунул.
     
  • 2.76, Аноним (78), 09:42, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >  Ну и где этот ваш палец Линуса, когда он нужен?

    Показывает направление для путешествия всем, кому не нравится eBPF.

     
  • 2.100, Анонка (?), 11:47, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Линус уже этим пальцем стимулирует любовника своей жены
     

  • 1.42, Аноним (-), 00:56, 13/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Какой-то бред. Зачем вообще нужен этот ваш eBPF, если netfilter его не использует?
     
  • 1.47, Аноним (47), 02:41, 13/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    С ентим ЕБиПиФэ обычная история - хотели как лучше, а вышло как всегда.
     
     
  • 2.65, Аноним (63), 07:17, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Эпоха инициативных дебилов началась
     

  • 1.52, Аноним (52), 04:55, 13/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    "В подсистеме eBPF, позволяющей запускать обработчики внутри ядра Linux в специальной виртуальной машине с JIT"

    Все испугались и побежали на виндовс да мякушку , там это хотя бы возведено в норму как и отдача телеметрии на диски облачных овощно хранителей. Докопаться , запужать. Да я в этом ебпф вижу только одни плюсы в виде нативитили и прочих плюшек

     
  • 1.53, Wilem82 (ok), 04:55, 13/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну вот, опять "просто надо уметь" просто не сработало.
     
  • 1.55, lockywolf (ok), 05:42, 13/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Но можно ли этим пользоваться для root'ования андроидных телефонов?
     
     
  • 2.95, Аноним (80), 11:30, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Тебе нельзя!
     
  • 2.124, Аноним (123), 22:03, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Где ж ты найдёшь в Андроиде ядро 5.8? Там обычно что-то древнее, типа 4.19.
     
     
  • 3.125, Аноним (125), 22:58, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Под древние есть пачки све с уже готовыми эксплоитами. Тут вопрос о свежих ведроидах для которых пока нет ничего.
     
     
  • 4.127, Аноним (123), 02:05, 14/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Samsung S20 достаточно свежий для тебя? Вот там как раз ядро 4.19. И, думаю, старые дыры старых ядер там пропатчены. И когда года через 2 выйдёт телефон с каким-нибудь LTS-ядром 5.10, эта eBPF дыра тоже там будет пропатчена.
     

  • 1.67, Аноним (67), 09:03, 13/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Только Web3.0 закалит ядро... Web2.0 расслабляет
     
  • 1.68, Аноним (68), 09:14, 13/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    На самом деле это быдлокод, как и все ядро линукса. В том плане, что монолитное ядро линуха как раз и родилось из желания сделать все проще. Фактически на коленке. Затащить все, что только можно, в монолитное ядро намного проще, чем пилить сложные абстракции, типа HAL в винде. Зачем такие костыли то? В винде вон уже 100500 лет все дрова работают в пространстве ядра. И да, это дыра для вирусни. Но сейчас не 95й год и данная проблема решаема. Например при помощи цифровых подписей.
     
     
  • 2.79, Аноним (80), 09:45, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > при помощи цифровых подписей

    Только правильные вирусы от проверенных производителей вирусов!

     
  • 2.89, Аноним (73), 10:43, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ща анонимы с опенета расскажут как правильные ядра писать.
     
     
  • 3.92, Аноним (80), 10:50, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ты как-то слишком издалека начинаешь
     
  • 3.109, Аноним (-), 13:20, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    ждемс
     
  • 2.128, Аноним (128), 09:42, 14/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А помните как трансмишн с легально цифровой подписью на яблоко все ставили?
     

  • 1.74, Аноним (80), 09:39, 13/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > подсистема eBPF, позволяющая выполнить код на уровне ядра Linux

    Тавтология.

     
  • 1.81, Аноним12345 (?), 09:58, 13/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ebpf используется в чатности для фильтрации сетевого трафика
    но не только фильтрации, но и вообще его маршрутизации
    ebpf может показывать программы, которым ядро по той или иной причине не даёт время на выполнение, при этом утилиту pprof для этой цели использовать бесполезно
    можно взять какой-нибудь язык программирования типа python или php и пересобрать его с опцией trace, после чего можно узнать много нового о выполняемых этими интерпретаторами программах
    ebpf позволяет написать программу, вызов которой - внимание - можно вставить в любую ядерную функцию
    и наваял этот ebpf некто Алексей Старовойтов
     
     
  • 2.82, Аноним (80), 10:08, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > некто Алексей Старовойтов

    Русский(?) след. Надо готовить очередной пакет санкций, ой, tcp.

     
     
  • 3.103, Жироватт (ok), 12:00, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    О нет, опять оперативный псевдоним товарища Боширова спалили
     
  • 3.117, Аноним (125), 16:55, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Иди еще помидоров трактором раздави и успокойся наконец.
     
  • 2.85, Онаним (?), 10:22, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А, ну это многое объясняет.
     

  • 1.83, mos87 (ok), 10:20, 13/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Надёжный раст?
     
     
  • 2.87, Аноним (80), 10:24, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Паническая атака
     
  • 2.90, Аноним (73), 10:45, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ага. Ошибка из серии: заходим с консоли, вводим пароль рута и ... о ужас, делаем что угодно!
     
     
  • 3.91, Аноним (80), 10:49, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.opennet.dev/opennews/art.shtml?num=51591
     
     
  • 4.137, Аноним (-), 20:02, 16/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > ядра Linux 5.4 набор патчей "lockdown", предложенный Дэвидом Хоуэллсом (David Howells, работает в Red Hat) и Мэтью Гарретом (Matthew Garrett, работает в Google) для ограничения доступа пользователя root к ядру.

    Надеюсь там (в Red Hat, в Google) разберутся кому какие права нужны. А самое главное будет документация как с этим жить,и как отключить!

     

  • 1.111, Аноним (111), 14:20, 13/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Что и говорилось. Лин полон закладок, которые еще искать 10 лет. Вот тут одну нашли. Молодцы.
     
  • 1.112, pda (ok), 14:24, 13/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Начинает казаться, что eBPF это не самая хорошая идея. (И реализация.)
    Хм... Может ещё Flash Player в ядро включить до комплекта?..
     
     
  • 2.121, Аноним (101), 20:14, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    V8 от Гугеля до комплекта.
     

  • 1.120, Легивон (?), 20:04, 13/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Когда уже сайты смогут выполнять произвольные eBPF программы в пространстве ядра? Всем понятно: там есть виртуальная машина - значит безопасно!
    Чего они ждут? Мне позарез нужна эта возможность чтобы рисовать менюшку гамбургер и моргающие картинки.
     
  • 1.132, Аноним (133), 15:14, 15/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > В подсистеме eBPF, позволяющей запускать обработчики внутри ядра Linux в специальной виртуальной машине с JIT, выявлена уязвимость

    BPF с Linux можно выкинуть только правками кода ядра. Отключить в конфиге нет возможности.

    Вот и задумайтесь о подарке eBPF с JIT от Microsoft в Linux. Троян явный!

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру