Обнаружена очередная local root уязвимость в ядре Linux 3.8

для админа локалхоста

речь про сложность написания реализации, а не про проблемы админов

Linux 3.8

ядро свежее
много нового кода
это нормально

речь про сложность написания реализации, а не про проблемы админов

вообще-то ipv6 придумали для решения проблем админов.

можно ещё пару пунктов?

Да хотя бы то же самое обнаружение шлюза и генерацию адреса, раз уж про dhcp заговорили. Механизмы также очень просты.

вообще-то ipv6 придумали для решения проблем админов.

ipv6 придумали для решения проблемы дефицита адресов. То, что его изначально грамотно продумали и вызывает побочный эффект в виде решения проблем админов и программистов.

в большом количестве систем корень и домашний раздел находятся на одном и том же разделе

А где пруф что в большинстве?

Да хотя бы то же самое обнаружение шлюза и генерацию адреса, раз уж про dhcp заговорили.

А разве они чем-то сильно отличаются от того что было в dhcp? Я не понимаю зачем это надо было пихать в ядро если до конца всё равно оно не продумано. Если хочешь чтобы кто-то поправил resolv.conf всё равно нужен user-space демон. Кроме того, по dhcp можно очень много чего передать, начиная от хостнейма и заканчивая ээээ много чем. В ipv6 это всё не был предусмотрено и теперь мы имеем

1) Волну новых rfc, причём когда дойдёт до софта абсолютно не ясно

2) нам нужны и radvd и dhcpcd в одной сетке чтобы получать все настройки сети и обеспечить ddns. Это же дебилизм.

Начиная с некоторого момента ты начал отвечать совершенно не в попад. Мы тут реализацию обсуждаем, а не что-либо ещё.

И это хорошо! Важно не количество уязвимостей, а своевременность их обнаружения.

что такое «своевременность обнаружения уязвимости»? получил я доступ к шеллу, и тут бац как-раз уязвимость нашли, я и воспользовался, очень своевременно — так?

/usr отдельный в свете последних веяний моды лучше не делать.

т.е. если охота развлечься - то /usr отдельным разделом.

вообще по-хорошему /var отдельно, /tmp в tmpfs, /home отдельно

Ой, залез в сорец, а там написано как компилять >_<

[vova7890@localhost ~]$ ./a.out 
[**] clown-newuser -- CLONE_NEWUSER local root (C) 2013 Sebastian Krahmer

[+] Found myself: '/home/vova7890/a.out'
[*] Parent waiting for boomsh to appear ...
[*] Setting up chroot ...
[+] Done.
[*] Cloning evil child ...
[-] clone: Invalid argument
^C

А что неясно? Как обнаружить шлюз в сети неясно? Он и без dhcp-сервера обнаружится. :) radv обеспечивает любой граничный роутер. А resolv.conf — архаизм и не нужен в сетях ipv6-only.
Волна новых rfc всегда сопровождает какое-то значимое событие. Посчитай те же ipv4-related rfc.
В общем, меня tailgunner уже убедил, что сложность кода практически одинаковая, что у ipv4, что у ipv6. Так что вал ошибок будет скорее всего в пределах статистической нормы.

Вова, здесь уже выяснили, что нужно специально заточенное ядро. Никто компилировать не стал — ни у кого не работает. Не боянь попусту.

./a.out [**] clown-newuser — CLONE_NEWUSER local root (C) 2013 Sebastian Krahmer

[+] Found myself: '/home/usrname/a.out'

• Setting up chroot ...
• Parent waiting for boomsh to appear ... [-] link: Invalid cross-device link

  и на этом зависает. Ну ок, чо

что такое «своевременность обнаружения уязвимости»? получил я доступ к шеллу, и тут бац как-раз уязвимость нашли, я и воспользовался, очень своевременно — так?

да. А теперь найди мне сервер в продакшене с ядром 3.8. СЕЙЧАС, а не через год, когда об этой дыре все забудут, ибо закрыто давно.

тред не читал, да.

А подсветку клавиатуры завел? Ну и сканер отпечатков пальцев, самая важная фича. Сколько от батареи держит? (Напиши пожалуйста, какой процессор и hdd или ssd)

1. лучше в жабе на эту тему пообщаться (я добавил)
2. да. она на уровне bios.
3. да.
4. acpi показывает 8 часов на 6ячеечной. с нагрузками вытягивал часов 5
i7-3520m
hdd hitachi стоит

А resolv.conf — архаизм и не нужен в сетях ipv6-only.

Я не понимаю юмора, ты серьёзно утверждаешь что от ДНС пришло время отказаться?

Ты настоящий Ъ :)

Нет, что ты, просто фантазирую. :)

В корпоративной локалке как стояли демоны и dhcp и dns, так они никуда и не денутся, а в сохо с этим отлично справятся граничные маршрутизаторы. Поэтому dns будет работать прекрасно не взирая на количество дополнительных rfc.

Что же касается /etc/resolv.conf, то его можно успешно заменить ссылкой на /proc/resolv.conf, а может быть даже и /proc/self/resolv.conf... вот нисколечко не вижу никакой необходимости хранить эту информацию в файле статически для ipv6-only. От /etc/mtab избавились, надеюсь и от этого архаизма также успешно избавятся.

PS: а что, хорошая идея-то. Надо бы Ленарду подкинуть. :)

Если /tmp - это симлинк на /var/tmp, будет

... эпичный фейл systemd :-)

вот нисколечко не вижу никакой необходимости хранить эту информацию в файле статически для ipv6-only.

так никаких подвижек по этому нету. Я и пишу что недоработали. Пока народ хотел через netlink к userspace-демону передавать инфу.

Впрочем, нужно ли всё подряд тащить в ядро тоже не понятно. По-сути, если из user-space это не управляется то это оочень плохо.

Не надо язвить. Я имел в виду сервера работодателя, которые состоят в инфраструктуре согласно политикам безопасности предприятия со всеми мерами предосторожности, включая аппаратные фаерволы, маршрутизаторы, шифрование. На этом сайте не только школьники и студенты.

что такое «своевременность обнаружения уязвимости»?

Не притворяйся, здесь нет никакой двусмысленности. Praemonitus praemunitus.

Кто знает, сколько продлится переходный период и как будут обеспечивать совместимость с приложениями. Хотя, если будут в /proc экспортировать дополнительную переменную (всё-равно она в служебных структурах стека есть), ничего плохого не будет.

Они не торчат, потому что в другой подсети за аппаратным фаерволом. Не нужно всех вокруг считать школьниками. Не все здесь такие, какими ты их себе представляешь.

Кто тебя знает. Может быть ты и есть работодатель. На этом сайте же не только школьники и студенты.

в 18 федоре не работает :)

А у меня работает, 3.8.2-206.fc18.x86_64. Каталог создал в корне, как показал анонимус на первой странице, ибо хомяк на отдельном разделе. А у тебя похоже тоже так, но ты этого не сделал, потому и не работает.

Нет. для работодателя я мордой не вышел.

у меня нет федоры :)

Неважно, отставить, это я туплю. У меня тоже ошибка clone:

[pid  8908] clone(child_stack=0x7bceb0, flags=CLONE_FS|CLONE_NEWUSER|SIGCHLD) = -1 EINVAL (Invalid argument)

В мане clone есть похожее, но флаг CLONE_NEWUSER у меня там вообще не упоминается:

       EINVAL Both CLONE_FS and CLONE_NEWNS were specified in flags.

ещё вопросы?

кто именно тебя хочет взломать?

Стоп, т.е. можно вешаться даже если / и /tmp на одном разделе?

3.9.0-2-desktop
ну все равно не работает, яхз

а с чего бы ему работать?

бинго!

Ну, отлично. Сначала поломали API, потом драйвера, а теперь ещё и root-уязвимость. Fedora 18 должна была использовать именно это ядро %)

(в большом количестве систем корень и домашний раздел находятся на одном и том же разделе).

Расписывайтесь только за себя. Кстати, еще один аргумент в пользу разбиения на разделы/ФС.

Так вот зачём леннарт затеял слияние / и /usr. Сегодня /usr, завтра /home. Это саботаж.

Кстати, только что вышел 3.8.3, в котором уязвимость закрыта.

РЕШЕТО!

А как вообще динамика, уязвимостей все меньше? Например, касаемо браузеров

По словам участвовавших в конкурсе исследователей из компании Vupen, из-за задействования дополнительных механизмов защиты, разработка эксплоитов стала занимать заметно больше времени, например, если для прошлых конкурсов, эксплоит удавалось написать за неделю, то сейчас на поиск уязвимости и написание эксплоита было потрачено несколько месяцев. Отдельно отмечаются положительные сдвиги компании Adobe в плане укрепления безопасности Flash-плагина и оперативности выпуска обновлений: если раньше эксплуатация уязвимостей во Flash являлась основным источником распространения вредоносного ПО, то теперь лавры перешли к плагину Java.

http://www.opennet.ru/opennews/art.shtml?num=36328 Т.е. веб-песочницы все безопаснее, а в отношении линукса можно сказать что-то подобное?

хорошо, что она в паблике всплыла, а не лежала в темных закоулках злоумышленников

Т.е. веб-песочницы все безопаснее, а в отношении линукса можно сказать что-то подобное?

нельзя, к сожалению

Да, ты известный специалист по безопасности линукса.

а теперь ещё и root-уязвимость

ты так говоришь как будто она первая или вторая

аргументируй, что ли

Т.е. веб-песочницы все безопаснее, а в отношении линукса можно сказать что-то подобное?

От chroot до виртуалок.

Чем больше уязвимостей тем меньше уязвимостей.

А добавлено, добавлено-то сколько.