The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Ошибка в LSM-модуле Landlock позволяла заново получить сброшенные привилегии

29.07.2024 07:50

Янн Хорн (Jann Horn) из команды Google Project Zero, в своё время выявивший уязвимости Spectre и Meltdown, нашёл логическую ошибку в реализации модуля безопасности Linux (LSM) Landlock, позволяющую программе получить обратно уже сброшенные привилегии, в случае наличии у программы доступа к системным вызовам fork() и keyctl().

Механизм Landlock позволяет непривилегированным программам сбрасывать ненужные для работы привилегии, добровольно ограничивая свой дальнейший доступ к системе в целях повышения безопасности, например, для защиты в случае попыток эксплуатации уязвимостей в программе. Например, программа может запретить себе доступ к файлам за пределами рабочего каталога.

Как обнаружил инженер Google, некоторые ситуации были не предусмотрены разработчиками модуля и это позволяет программе получить сброшенные привилегии заново при определённых условиях. Ошибка существует во всех версиях ядра с LSM-модулем Landlock, так как присутствует в изначальной реализации данного модуля. Исправление с устранением выявленной проблемы включено в состав сегодняшнего тестового выпуска ядра 6.11-rc1, но пока не перенесено в стабильные ветки.

  1. Главная ссылка к новости (https://www.phoronix.com/news/...)
  2. OpenNews: В кодовой базе xz выявлено изменение, мешавшее включению механизма защиты Landlock
  3. OpenNews: В состав ядра Linux 5.13 включён LSM-модуль обеспечения изоляции приложений Landlock,
  4. OpenNews: Состояние гонки в сборщике мусора ядра Linux, способное привести к повышению привилегий
Автор новости: Аноним
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/61619-landlock
Ключевые слова: landlock, kernel
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (48) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, полуржавчина (?), 07:57, 29/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    не прокатила закладка, кто там авторы?
     
     
  • 2.2, Аноним (2), 08:06, 29/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Сервисмены ограниченные жопаруки. Не надо выдавать каждую глупость за хитрый плпн.
     
     
  • 3.4, Аноним (4), 09:13, 29/07/2024 [^] [^^] [^^^] [ответить]  
  • +5 +/
    О да Jin Tan тоже допустил глупость, чего сразу миллион новостей по ней выпустили?
     
     
     
     
    Часть нити удалена модератором

  • 6.19, Аноним (2), 13:56, 29/07/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 4.18, Аноним (-), 13:51, 29/07/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > О да Jin Tan тоже допустил глупость, чего сразу миллион новостей по ней выпустили?

    Как раз то что расследование инцидента показало что - это не глупость а злонамеренный мутный код. Откуда и фурор.

     
     
  • 5.20, Аноним (4), 14:31, 29/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это тебе в новостях так сказали, а сам головой подумать ты не пытался. В сабже никто ничего не расследовал, значит можно расслабиться?
     
     
  • 6.25, Аноним (-), 15:15, 29/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Это тебе в новостях так сказали, а сам головой подумать ты не
    > пытался. В сабже никто ничего не расследовал, значит можно расслабиться?

    Что мне в новостях сказали? Что некий х..рен попробовал нечто левое - засыпался - и - treason uncloaked? Оок, и это плохо, недостоверно, и проч - потому что что? :) И что я должен придумать головой? Что энные типы могут и бэкдор внедрить? Ну а вот для этого и нужны тысячи глаз, чтобы это все неповадно было.

    И хотя тут кто-то пиндит что опенсорс благодатное поле, по логике вещей пропреитарь намного благодатнее - там случайные васяны в код не смотрят и шансы палива - ниже. По логике вещей.

     
     
  • 7.31, Fyjy (-), 16:06, 29/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Это тебе в новостях так сказали, а сам головой подумать ты не
    >> пытался. В сабже никто ничего не расследовал, значит можно расслабиться?
    > Ну а вот для этого и нужны тысячи глаз, чтобы это все неповадно было.

    Прошло пять лет и наконец-то тысячный глаз смог заметить что-то неладное!

    > И хотя тут кто-то пиндит что опенсорс благодатное поле, по логике вещей пропреитарь намного благодатнее - там случайные васяны в код не смотрят и шансы палива - ниже. По логике вещей.

    Неа. Проприетарь хоть как-то отвечает, за то что делает.
    Так к мелкомягким могут прийти люди в черном и спросить "какого собственно буя из-за вашего овнокода (сертифицированного кстати) у нас прон с сенатором в сеть утек?".
    А в попенсорсе тут анархия и никто, никому, ничего не должен.
    Ну что ты возьмешь с васяна который закоммитил выход за пределы буфера? Уволишь?
    А он и так бесплатно работает как умеет.

    В некоторых случаях, как в примере с ХЗ, разработчики вообще хз с кем они работают.
    Паспорт же на входе не проверяют)

     
     
  • 8.36, Секьюрити Сру Наулице (?), 19:04, 29/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Прошло пять лет и этой функцией решили воспользоваться, и заметили неладное Ник... текст свёрнут, показать
     
     
  • 9.37, Аноним (-), 19:17, 29/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ха, ты просто не видел контракты которые не для плебса Там тебе будет и SLA г... большой текст свёрнут, показать
     
     
  • 10.38, Аноним (38), 19:45, 29/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, банкам что-то не сильно помогло Наверное, недостаточно патрициальными оказ... большой текст свёрнут, показать
     
     
  • 11.40, Аноним (-), 21:49, 29/07/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 10.46, User (??), 13:25, 30/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Да-да, а ответственность сторон при этом - сюрприиз Вот ровно тот же as is Н... текст свёрнут, показать
     
  • 8.41, noc101 (ok), 21:52, 29/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    По правде говоря, что те, что те, не несут прямой ответственности Всё на свой с... текст свёрнут, показать
     
  • 8.42, Аноним (-), 22:18, 29/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну дык А вон у той проприетарщины ntfs sys как летал в бсод так и летает Начин... большой текст свёрнут, показать
     
     
  • 9.50, Онанимб (?), 07:20, 31/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Познания в винде начала 2000-х годов Ни разу за десятки лет, ни в одной из вер... текст свёрнут, показать
     
     
  • 10.52, Аноним (-), 21:28, 31/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Попробуйте зацепить рушеный том - после например битой RAM У хомячков очень инт... текст свёрнут, показать
     
  • 2.17, Аноним (-), 13:50, 29/07/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > не прокатила закладка, кто там авторы?

    Вот конкретно сабж - очень странная штука для именно закладок. Это опциональный модуль, где программы могут добровольно (!!!) скинуть прва которые не считают нужными, для улучшения безопасности.

    И пихать бэкдор в вот имнено такую штуку - вообще странная идея. Это дополнительное средство укрепления безопасности, не более. Автыри просто продолбались в сложных взаимодействиях, и уйдя в лес - заблудились, продолбав пару вариантов как это может быть, и оказалось что они несколько вариантов взаимодействий тупо не предусмотрели. И программа может получить сброшенные права назад. Заметьте: эти права у программы уже были. Просто "sandboxing fail" получился.

     
     
  • 3.21, Аноним (4), 14:32, 29/07/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Не приходила в голову мысль что дополнительную безопасность будут делать только для очень специальных задач и иметь именно там дыру это лакомый кусочек?
     
     
  • 4.24, Аноним (-), 15:12, 29/07/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Не приходила в голову мысль что дополнительную безопасность будут делать только для
    > очень специальных задач и иметь именно там дыру это лакомый кусочек?

    Нет, не приходило - сейчас это делают вообще все нормальные люди. Это уже давно - best practices. Даже какой-нибудь дебиан seccomp'ом и не только отпиливает системные сервисы - по дефолту. А это еще 1 приблуда на эту тему. Сейчас вам не 1990.

     
     
  • 5.44, AKTEON (?), 02:33, 30/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну раз все делают, то и место для закладки удобное, популярное ...Хе-хе
     
     
  • 6.48, Аноним (48), 01:35, 31/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну раз все делают, то и место для закладки удобное, популярное ...Хе-хе

    Landlock относительно нишевая штука, топовые дистры им по дефолту не пользуются. Хотя я так смотрю, у вас удобная позиция - какой вариант не выбери, а всегда только ваша точка зрения правильная. Так бэкдор - потому что попса. А так - потому что не попса. Вау.

    Манипулятивные паттерны - это как-то так. И кстати как вы уже заметили, в эту игру могут играть и двое. Treason uncloaked :)

     
  • 3.23, Аноним (23), 15:11, 29/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    что-то объяснять местному анонимосу бесполезно, признавать ошибки, узнавать что-то новое, учится на конец, это не про них
     

  • 1.5, Аноним (4), 09:14, 29/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что характерно исправлено, но не бекпортироапно, поче у? Опять случайность и никто на виноват?
     
     
  • 2.7, Аноним (-), 09:46, 29/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Хм, а разве бекпортом не должны заниматься васяны, которые до сих пор сидят на некроверсии?
    Ну типа "я у себя исправил, а если вам сильно надо - то вот код, сами сидите и бекпортите".
    Потому что ну его, бекпортить во все древние версии.
     
     
  • 3.8, Аноним (4), 09:54, 29/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну как тебе сказать. Если бы они действительно хотели безопасности то бекпортировали. Не по все, но хотябы в дом и туда где есть поддержка.
     
     
  • 4.11, Аноним (11), 10:43, 29/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну такое.
    Это же не просто нужно код перенести. Это надо еще протестировать.
    И я думаю что этим должны заниматься все-таки создатели-мейнтенеры компонента.
    Т.к их экспертиза скорее всего больше.
     
  • 4.28, Аноним (23), 15:29, 29/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Кто они? Ян Хорн просто закоммитил исправление ошибки в дев ветку ядра.  Остальные пока не в курсе за “уязвистоть”, оно ещё за уязвимость ни кем кроме анонов с опеннета не признано. Замечу, исправление не критичных багов в старые ядра не бэкпортят.
     
     
  • 5.32, Аноним (4), 16:13, 29/07/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.54, Dima (??), 04:14, 02/08/2024 [^] [^^] [^^^] [ответить]  
  • +/
    а ты когда сразу в продакшен хреначешь? :)
     

  • 1.6, Анониим (?), 09:33, 29/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    заново?
     
  • 1.9, Аноним (4), 09:56, 29/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я понял обнаружил один васян. А тот который вставил уязвимость для отчёта поправил в мейнлайне и все с его стороны пуля вылетела. Будет делать новый выход с прогибом.
     
     
  • 2.34, дохтурЛол (?), 17:58, 29/07/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    не нужны не только запятые но и точки и заглавные буквы просто пишешь всё как есть и пусть там сами разбираются кому где надо а кому не надо пусть не разбираются у нас же не принудиловка всё таки васян васяну рознь и всё такое мало ли кто насколько грамотен или не очень с той стороны то будет другой человек у него же тоже свой уровень грамотности
     

  • 1.10, Соль земли (?), 10:29, 29/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Видимо так закладки и добавляют. Прикидываются плохими программистами. В OpenSource для этого раздолье.
     
     
  • 2.13, AKTEON (?), 12:13, 29/07/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А это -идейа - строго спросить с создателей всякой  Astra Linux почему не предотвратили и провести большой процесс программистов-вредителей.
     
     
  • 3.14, Аноним (-), 12:59, 29/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >  почему не предотвратили

    Потому что были в сговоре с буржуинами-шпийонами!
    Возможно это тянет как минимум на сотрудничество с иностранными агентами. А как максимум на госизмену!

     
     
  • 4.16, Аноним (4), 13:48, 29/07/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 3.47, User (??), 13:28, 30/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Как только касперский свой "большой полосатый мух" выпустит - вот так сразу и.
    Ну или не касперский, а "любая-другая-альтернатива-не-на-вашем-линуксе". Ну, примерно как с VK и блокировкой тытрупа, ага.
     

  • 1.26, Аноним (23), 15:19, 29/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    да какая же это уязвимость! у неё да же CVE’гки нет! так, бага, не более.
     

  • 1.29, Аноним (29), 15:48, 29/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это ещё что! Я вот обнаружил, что firejail сбрасывает apparmor-профиль на свой стандартный вместо того, чтобы накладывать свой стандартный поверх сконфигурированного в apparmor.d, усиливая защиту, как от неё ожидается (я крайне удивлён что она работает не таким образом).

    Также:
    1. якобы имеется поддержка landlock, но есть нюанс
    2. вообще по идее firejail должна сама конвертировать свои профили в профили apparmor и landlock


    Также прошу знающих товарищей объяснить объяснить, нафига вообще придумали отдельный landlock, если могли бы расширить apparmor всеми нужными фичами (в частности неотменяемостью) и позволить приложениям добавлять дополнительный профиль поверх системного для своего процесса и его детей?

     
     
  • 2.30, Аноним (30), 15:54, 29/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    apparmor - кривое поделие, применяется в таких убогих дистрибутивах Linux как Ubunru и SUSE

    нафига нужен apparmor, когда есть божественный SELinux от американского правительства!

     
  • 2.35, Секьюрити Сру Наулице (?), 18:41, 29/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вот это открытие Автомобиль в студию AppArmor работает с путями by design В ... большой текст свёрнут, показать
     
     
  • 3.43, Аноним (29), 23:23, 29/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Selinux использует метки в файловой системе, а не в бинарниках Программа изоляц... большой текст свёрнут, показать
     
     
  • 4.51, Аноним (51), 20:31, 31/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, ок Мой дистр не поддерживает, почему-то был уверен, что программы пересборк... большой текст свёрнут, показать
     
     
  • 5.53, Аноним (53), 02:00, 01/08/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Так она сама под aa-профилем запущена, смена профиля будет после, как она установит атрибут и породит дочь.

    Ну допустим да, и что? Запуск программы и назначение ей её прифиля из apparmor.d - это абсолютно обыденное событие.

    >Под профилем обычно понимают отдельный файл, управляющий поведением программы для каждого особого случая. Например, команда 'bwrap --args 33 -- bash' профилем (для bash) не является, а /dev/fd/33 - да.

    Ну профили firejail эквивалентны аргументам командной строки напр. Я под профилем подразумеваю любой набор данных, который указывает средствам разграничения доступа как ограничить программу.

     

  • 1.45, n00by (ok), 11:56, 30/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ошибка не в модуле, а в самом подходе. Вместо белого списка применяется чёрный, да ещё и с самостоятельным занесением. Но кого это волнует, когда настала эпоха замены блэк на блок.
     
     
  • 2.49, Аноним (-), 01:40, 31/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Ошибка не в модуле, а в самом подходе. Вместо белого списка применяется
    > чёрный, да ещё и с самостоятельным занесением. Но кого это волнует,
    > когда настала эпоха замены блэк на блок.

    Дык выкатите свои модули - покажите как надо было. Заодно посмотрим найдется ли хоть 1 мазохист который это еще и использовать в таком виде будет.

    Простите, но если для когфигурации для пары программ надо тр@хаться неделю - на такую секурити все просто забьют. Ибо можно например виртуалку скроить - и ломайте ее наздоровье хоть целиком со всеми ее сисколами, у нее доступа в вон ту систему - мизер. А зачем тогда ваша секурити нужна, если можно - вот так?

    Те кто поумнее уже это поняли - и сделали вещи типа Qube OS. Куда как лучше соотношения в этом плане.

     
     
  • 3.55, n00by (ok), 12:30, 02/08/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> Ошибка не в модуле, а в самом подходе. Вместо белого списка применяется
    >> чёрный, да ещё и с самостоятельным занесением. Но кого это волнует,
    >> когда настала эпоха замены блэк на блок.
    > Дык выкатите свои модули - покажите как надо было. Заодно посмотрим найдется
    > ли хоть 1 мазохист который это еще и использовать в таком
    > виде будет.

    Кому выкатить и зачем это надо мне? Да, нашлись те, кто сам нашёл и развивал мои "модули".

    > Те кто поумнее уже это поняли - и сделали вещи типа Qube
    > OS. Куда как лучше соотношения в этом плане.

    Для меня показательно, что создатель "пилюль" не захотел принимать участие в этой деятельности.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру