forum.opennet.ru

"Уязвимости в networkd-dispatcher, позволяющие получить права root"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

"Уязвимости в networkd-dispatcher, позволяющие получить права root"	+/–
Сообщение от opennews (ok), 27-Апр-22, 13:46
Исследователи безопасности из компании Microsoft выявили две уязвимости (CVE-2022-29799, CVE-2022-29800) в сервисе networkd-dispatcher, получившие кодовое имя Nimbuspwn и позволяющие непривилегированному пользователю выполнить произвольные команды с правами root. Проблема устранена в выпуске networkd-dispatcher 2.2. Информации о публикации обновлений дистрибутивами пока нет (Debian, RHEL, Fedora, SUSE, Ubuntu, Arch Linux)... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57093
Ответить \| Правка \| Cообщить модератору

Оглавление

Уязвимости в networkd-dispatcher, позволяющие получить права root, opennews, 27-Апр-22, 13:46 [смотреть все]

Уязвимости в NM никого ничему не научили Необучаемые Хорошо, что у нас есть пр, Аноним, 27-Апр-22, 13:46 (2) //
- А чему они должны были научить Что в софте бывают уязвимости , Аноним, 27-Апр-22, 13:57 (13) //
  - Тому, что в таком софте будут подобные уязвимости вполне вероятно, десятилетиям, Аноним, 27-Апр-22, 14:01 (15) //
    - Чем плох dbus Начните ответ с того, за что отвечает dbus и какие есть альтернат, kai3341, 27-Апр-22, 16:50 (43)
      - dbus плох довольно тормозной реализацией из-за этого в частности kdbus продвига, Аноним, 28-Апр-22, 05:54 (91)
    - Чем тебе не угодил dbus , Кекстор, 27-Апр-22, 17:32 (44)
      - Тем, что его сделали обязательным в таких вещах как xorg и wayland, 2 года назад, Аноним, 27-Апр-22, 17:37 (45)
        
        Он не обязателен для работы иксов, Аноним, 27-Апр-22, 18:41 (46)
        
        Уже обязателен стараниями РХ Раньше был патч, но в последний раз там всё перекр, Аноним, 27-Апр-22, 18:55 (47)
        
        И чем бы было лучше, если бы вместо dbus это был какой-нибудь сокет со своим про, ilyafedin, 27-Апр-22, 20:30 (59)
        
        networkd-dispatcher, если что, написан на Python, Аноним, 27-Апр-22, 22:38 (67)
        
        временами , ilyafedin, 27-Апр-22, 22:39 (68)
        
        Безвременно - спасибо кривым рукам и дырявым головам , Аноним, 27-Апр-22, 22:43 (71)
        
        Не очень понимаю, что ты хотел донести, ilyafedin, 27-Апр-22, 22:44 (72)
        
        Достаточно простую мысль если не включать голову, дырявый код получится на любо, Аноним, 27-Апр-22, 22:46 (74)
        
        Но на некоторых более вероятно, чем на других, ilyafedin, 27-Апр-22, 22:48 (75)
        По-моему, это больше зависит от соотношения IQ автора и порога вхождения в язык , Аноним, 27-Апр-22, 22:59 (81)
        Тонны уязвимостей на сишке доказывают, что не важно каков IQ автора, люди ошибаю, ilyafedin, 27-Апр-22, 23:01 (82)
        То есть убрать людей , ыы, 28-Апр-22, 08:39 (95)
        А ты знаешь другой путь , nvidiaamd, 28-Апр-22, 21:14 (121)
        
        И демонстрирует характерное качество кода и продуманность безопасности, давая до, Аноним, 29-Апр-22, 06:18 (126)
      - Зачем долбиться в ДИБАС, когда можно пользоваться hurd ipc , Аноним, 28-Апр-22, 15:31 (104)
- И эти профессионалы из самойц большой софтверной конторы используют это негодное, Аноним, 27-Апр-22, 13:59 (14) //
  - Вопрос экономической целесообразности , Аноним, 27-Апр-22, 14:03 (16) //
    - Вот и здесь тоже самое В открытых проектах часто экономят на опеннет-аналитиках, Аноним, 27-Апр-22, 14:07 (18)
      - Экономят на просто аналитиках за счет опен аналитиков , ыы, 27-Апр-22, 14:10 (20)
        
        И это работает Данную уязвимость нашли за долларовый счёт M , Аноним, 27-Апр-22, 14:15 (22)
        
        Сумму не назовете , ананим.orig, 27-Апр-22, 16:13 (39)
  - Они его не используют Они на нем зарабатывают Разницу чувствуешь , ыы, 27-Апр-22, 14:08 (19) //
    - Нет, не чувствую разницу Они его используют для заработка , Аноним, 27-Апр-22, 14:13 (21)
      - Вот есть например у тебя лопата За копание лопатой платят деньги Если ты копае, ыы, 27-Апр-22, 15:39 (29)
      - Если пример с лопатами слишком сложный- представь вместо лопаты - шлюху Выясни, ыы, 27-Апр-22, 15:43 (30)
        
        Индивидуалки еще бывают , Аноним, 27-Апр-22, 16:02 (37)
    - Не знаю, как сейчас, но ещё несколько лет назад, примерно во времена get the fac, yurikoles, 27-Апр-22, 21:35 (61)
      - Ну и где сейчас эти лулзы , ыы, 28-Апр-22, 08:19 (93)
- да мы с б-жественной десяточки никуда и так не слазим Поскольку в юникс-системах, пох., 27-Апр-22, 19:46 (56)
- Твои умудреные из МС небось сами написали уязвимость Благо в Виндах их полно,, Alex, 28-Апр-22, 03:02 (90)
Никогда такого не было и вот опять , Аноним, 27-Апр-22, 13:48 (3) //
- Потеринги опять постарались , Аноним, 27-Апр-22, 19:10 (50) //
  - А каким местом тут Поттеринг Нет, я понимаю, что он - основной виновник инфляции, Аноним, 27-Апр-22, 22:53 (79)
Не дыра, а техническое отверстие , Аноним, 27-Апр-22, 13:50 (6) //
- Отверстие это результат отворота лишнего материала инструментом Т е тщательно , Ананоним, 27-Апр-22, 14:46 (26)
- Это портал для Сержанта Бритые Шары, который ему сделал Капитан Б Дик Через не, Аноним, 27-Апр-22, 19:30 (51) //
  - Ничего не понял, но на всякий случай встал и спел Звёздное знамя , Аноним, 27-Апр-22, 22:44 (73) //
    - Отсылка на Gayniggers from Outer Space , anonymous, 28-Апр-22, 18:11 (114)
дальше не стал читать , Аноним, 27-Апр-22, 13:50 (7) //
- Они уже посоветовали довести systemd до своего идеала svchost exe - идеал syste, Аноним, 27-Апр-22, 13:52 (10) //
  - Майкрософтовский идеал инита - сисвинит, походу Судя по тому, что виндузятники и, Аноним, 27-Апр-22, 22:56 (80) //
    - Какие плохие виндузятники, тыкают тебе в лицо философией UNIX и смеются Не дают, Аноним, 28-Апр-22, 15:34 (105)
      - Так ведь svchost exe самый что ни на есть юниксвейный Простая программа, решающ, Аноним, 28-Апр-22, 16:03 (112)
        
        Какое хорошее передёргивание, двигайтесь к своему идеальному юниксвею svchost e, Аноним, 28-Апр-22, 19:46 (118)
    - И на шелле заставляют писать и rc-файлы использовать, а то бы ты разом ууух , Аноним, 28-Апр-22, 15:35 (106)
      - На Могучем Шелле PowerShell, то есть , Аноним, 28-Апр-22, 15:57 (109)
        
        Существующие инитскрипты на твоей любимой померщели в студию В том, что ты пише, Аноним, 28-Апр-22, 19:44 (116)
        
        Нет уж, я за вас работать не буду, пишите их сами Для СВОЕЙ любимой поверщели , Аноним, 29-Апр-22, 11:44 (129)
- держи в курсе, Аноним, 28-Апр-22, 00:12 (86)
networkd-dispatcher разве используется в Arch Linux https wiki archlinux org t, Аноним, 27-Апр-22, 13:54 (11) //
- Если вы не устанавливали его из AUR, то очевидно не используется Да и systemd-n, Аноним, 27-Апр-22, 14:06 (17) //
  - И у тебя конечно же есть результаты статики по результатам опроса у репрезентати, yurikoles, 27-Апр-22, 14:39 (25) //
    - Это совершенно не так Конкретно systemd-networkd, если не вру, в репах отключен , Аноним, 27-Апр-22, 15:01 (27)
      - Ты как истинный анонимный специалист по ArchLinux судишь о нём по Archiso, котор, yurikoles, 27-Апр-22, 21:26 (60)
        
        Почти Но для сети у них исключение, по умолчанию используется отточенный векам, Аноним, 27-Апр-22, 22:31 (64)
        В systemd есть множество методов неявной активации сервисов, сокетная активация,, Аноним, 28-Апр-22, 10:32 (100)
    - можно глянуть статистику по установленным пакетаместественно systemd-networkd от, Аноним, 27-Апр-22, 15:55 (34)
      - отсюда https pkgstats archlinux de api packages linux можно оценить количест, Аноним, 27-Апр-22, 16:16 (40)
        
        По-моему, вообще нет смысла париться из-за Информации о публикации обновлений д, Аноним, 27-Апр-22, 23:04 (83)
А вот если systemd использовал system registry, такого не было бы , Аноним, 27-Апр-22, 13:54 (12) //
- Можно было бы просто переписать всё на Rust, ИмяХ, 27-Апр-22, 15:48 (32)
- А при чём здесь systemd, если не секрет , Аноним, 27-Апр-22, 22:48 (76) //
  - При том, что скоро мы увидим systemd-cat Или catd , Аноним, 28-Апр-22, 15:37 (107) //
    - У вас на виндах - вряд ли У нас на линуксах - уже давно https freedesktop org , Аноним, 28-Апр-22, 16:01 (111)
      - На FLOS На любой unix-подобной оси, недоинит с линукса так и не смог в кроссплат, Аноним, 28-Апр-22, 19:43 (115)
        
        А зачем вам на винде линуксовый недоинит Вы же типа за unix way топите Один , Аноним, 29-Апр-22, 11:46 (130)
О, там и такие есть Думал, про дупла в их поделиях они из новостей узнают , ryoken, 27-Апр-22, 14:18 (23) //
- Они опционы имеют за каждую ненайденную фичу которыми нашпигован софт И чем бо, ыы, 27-Апр-22, 15:50 (33) //
  - Ты главное скажи, власти-то что Неужто СКРЫВАЮТ , Аноним, 27-Апр-22, 16:24 (41) //
    - Намерения потеснить на рынке Едва ли Всегда работали над этим , А, 27-Апр-22, 19:05 (48)
      - На рынке десктопных ОС - им разве что Apple теснить Мимо рынков мобильных и серв, Аноним, 27-Апр-22, 22:49 (77)
Черт опять нашли нашу закладку с Товарищ майор, Аноним, 27-Апр-22, 14:35 (24) //
- При спонсировании лучшим другом майора, корпорацией MS Что-то в этой истории не, Аноним, 27-Апр-22, 16:03 (38)
Софт от редгада или при его участии всегда отличался низким качеством, Аноним, 27-Апр-22, 15:24 (28) //
- Это фичи хорошо спрятанные Вон чуваков из университета зачморили а этим хот, ыы, 27-Апр-22, 15:46 (31) //
  - Чуваки из университета сами признались, буратины , Аноним, 27-Апр-22, 22:51 (78)
- Какой такой редгада Это делал чувак по имени Clayton Craft, разработчик Postma, Аноним, 27-Апр-22, 16:48 (42)
Ух ты, DHCP-эксплойт баша, теперь банановый, через DBUS Правда, кажется, не рем, Аноним, 27-Апр-22, 16:01 (36) //
- Ремотный к следующей версии запилят Через какой-нибудь нескучный rest api в coc, пох., 27-Апр-22, 19:34 (54) //
  - Олдскульщики из ISC прекрасно справились и без rest в свое время , Аноним, 27-Апр-22, 22:26 (62)
Ыыы, зато быстро запускается , Аноним, 27-Апр-22, 19:09 (49) //
- Так проблема то не в нём, а в убогом механизме символических ссылок, Аноним, 27-Апр-22, 19:31 (53) //
  - Они даже не пытались , Аноним, 27-Апр-22, 22:30 (63) //
    - Теперь пытаютсяhttps gitlab com craftyguy networkd-dispatcher - commit 41e1d0f, Аноним, 28-Апр-22, 16:06 (113)
- Таки да, DHCP там очень быстр, по сравнению с dhclient И дыра не в нём если про, Аноним, 27-Апр-22, 22:41 (69) //
  - Логично, кэп, если б системда состояла только из дыр, это было бы фиаско Где-, Аноним, 27-Апр-22, 23:18 (84) //
    - но дыры в системде везде вокруг, где нету пока дыр , Аноним, 27-Апр-22, 23:19 (85)
      - А покажите, пожалуйста, где именно Вот сабжевая дыра, например - она как-то к с, Аноним, 28-Апр-22, 14:15 (102)
        
        Да Как-то относится , Аноним, 28-Апр-22, 22:05 (124)
        
        И как, если не секрет , Аноним, 29-Апр-22, 11:41 (127)
А это нормально что обычный юзер может заменить файл, принадлежащий root , Аноним, 27-Апр-22, 19:30 (52) //
- Это CVE-2022-0847, да , Аноним, 27-Апр-22, 19:51 (57)
- Можно, если у юзера есть права на каталог , Аноним, 27-Апр-22, 22:31 (65)
И снова системГ От архитектуры и до реализации одно Г , Аноним, 27-Апр-22, 20:02 (58) //
- Как только видишь где-то имена редхат и потеринг - ни в коем случае нельзя э, Аноним, 27-Апр-22, 22:33 (66) //
  - о, крупнейший специалист по локалхостам высказался, мое почтение, Аноним, 28-Апр-22, 00:15 (87)
- Опять обиженные виндузятники кудахчут Даже не удосужились новость прочитать , Аноним, 27-Апр-22, 22:42 (70) //
  - Но согласитесь, ведь кудахчут или нет, но в винде такого самообсираемого Г нету, ыы, 28-Апр-22, 08:27 (94)
Artix неуязвим , Аноним, 28-Апр-22, 00:40 (88)
Ну вот А ведь я говорил , Аноним, 28-Апр-22, 01:21 (89)
А кто-то вообще проводил независимый аудит кода подсистем systemd Судя уязвимо, AntonAlekseevich, 28-Апр-22, 08:09 (92) //
- Нужно собрать деньжат на этодело и провести , ыы, 28-Апр-22, 09:14 (96) //
  - Деньги-то они собрать могут, но есть нюанс , Аноним, 28-Апр-22, 09:48 (98)
  - Независимый от деньгодателей в том числе А значить без IBM, Google, Yandex, VK, AntonAlekseevich, 28-Апр-22, 21:13 (120)
171 networkd-dispatcher 187 не является частью systemd Это какое-то изобрет, Аноним, 28-Апр-22, 09:22 (97) //
- Systemd-networkd - часть Systemd , Аноним, 28-Апр-22, 10:28 (99) //
  - Да Но так как автор новости был пьян или не выспался, он написал фигню systemd-, Аноним, 28-Апр-22, 14:21 (103) //
    - Он бы ещё на жабе написал , Аноним, 28-Апр-22, 15:39 (108)
      - А что, java тоже unix way Тормозит, память жрёт, всё как надо Не какое-нибудь у, Аноним, 28-Апр-22, 15:59 (110)
        
        С WONTFIX Откуда такие берутся Сначала не понимают юниксвей, а потом лепят ярлы, Аноним, 28-Апр-22, 19:48 (119)
        
        WONTFIX is suckless , Аноним, 29-Апр-22, 11:42 (128)
отличная архитектура, что сказать, Аноним, 28-Апр-22, 11:29 (101) //
- Потеринг и его последователи стараются , Аноним, 28-Апр-22, 22:02 (122) //
  - выкинуть скриптописателей с такой замечательной архитектурой куда подальше , Аноним, 29-Апр-22, 11:48 (131)
Всегда грохал эту куету, у меня целый список чего надо грохнуть сразу же после у, Аноним, 28-Апр-22, 19:44 (117) //
- Я его один раз посмотрел - и грохнул Теперь только сам собираю нужный линух без, Аноним, 28-Апр-22, 22:03 (123)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру