LINUX.ORG.RU
ФорумTalks

Драма в grsecurity

 , ,


0

1

Я просто оставлю это здесь: https://www.reddit.com/r/programming/comments/4gn0dr/hector_martin_on_twitter...

Кто-то запостил в твиттор способ гарантированного получения кернелпаника в текущем ядре grsecurity. У команды grsecurity случился пердак-бомбей, после чего они побанили не только автора твита, но и тех, кто ретвитнул. Это эпично, я считаю.

Ядро занимается другими вещами. А это просто где-то какой-то счётчик переполнился. Ядро упало. Безопасность не нарушена. Это, конечно плохо, но не настолько плохо, насколько нелепа их реакция.

Stahl ★★☆
()
Ответ на: комментарий от Stahl

Бамболейло

Это, конечно плохо, но не настолько плохо, насколько нелепа их реакция.

Это и называется БРАНДЕНБУРГ. Могли бы просто опубликовать заметку о том что это неприятный недостаток, но не нарушающий безопасность, однако выбрали другой путь.

Camel ★★★★★
()

Удаляют инфу про инсайдерский DOS эксплоит?

nvidia
()

Сколько времени нужно должно пройти прежде чем словишь панику, btw?

slowpony ★★★★★
()

Команда grsecurity получила панику, и при падении затёрла логи. Ничего необычного.

one_more_hokum ★★★
()

In soviet kernel, devs bug you.

Deleted
()

какие еще разработчики, там один один чувак Brad Spengler. причем пердак у него так разворотило, что он забанил чувака по ип адресу на сайте и закрыл твиттор свой.

хотя ничего удивительного, крыша подтекает у многих годных погромистов, лишь бы как Рейзер не кончил.

Novel ★★★★
()
Ответ на: комментарий от Novel

один чувак

Мммммммммаксимум автобус.

like-all ★★
() автор топика

Clarify this, please? A non-privileged user can cause a kernel panic, right? How is that not exploitable?

This is part of the grsecurity approach: panic the kernel instead of allowing an attacker to accomplish anything else. It's quite easy to find similar denial of service bugs in a standard grsecurity build, both deliberately and by accident, and they don't seem to care - so, by that standard, this is no different, and they don't expect people to privately disclose each one of these. They want to fix them but don't seem to consider them CVE-worthy security issues if it's just a DoS.

/0

anonymous_sama ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.