forum.opennet.ru

Составление сообщения

Исходное сообщение

"Уязвимость в VFS ядра Linux, позволяющая повысить свои приви..."
Отправлено Аноним, 21-Янв-22 14:23

Рут не юзер? Ещё какой юзер. Ты можешь зайти рутом в неймспейсе только при наличии админских прав (выставленные права суид или сисадмин у файла), далее ты можешь сбросить права в нейпспейсе. При этом система на хосте будет воспринимать все действия от имени пользователя и предоставлять изолированного админа, откуда и сбегают до хоста. Если же прав нет и не было (а для user-ns они не нужны), прав админа из ниоткуда не появится. Скажем даже если ты попробуешь прикинуться рутом, ты будешь рутом, но ядро тебя обламает. Я только что проверил, unshare -r setcap cap_sys_admin+ep выставляет права на файл, а unshare -c setcap cap_sys_admin+ep ожидаемо обламывается и ничего ты с ним не сделаешь. Зачем кто-то будет мапить себе рута в неймспейсе, когда целью стоит изоляция песочницы? Хотя там несколько видов изоляции. Скажем при изоляции сети может быть необходимо поднять локалку и тут проверяет права на хосте. Придётся сначала делать файл админом опять же и перезапускать. Если порезать setcap в неймспейсе, то такой уязвимости и не будет. В случае с песочницей браузера, мапиться в неё рутом выглядит контрпродуктивно, именно эти случаи и обсуждаются когда говорят об уязвимостях в user_namespace.

Исходное сообщение
"Уязвимость в VFS ядра Linux, позволяющая повысить свои приви..." Отправлено Аноним, 21-Янв-22 14:23
Рут не юзер? Ещё какой юзер. Ты можешь зайти рутом в неймспейсе только при наличии админских прав (выставленные права суид или сисадмин у файла), далее ты можешь сбросить права в нейпспейсе. При этом система на хосте будет воспринимать все действия от имени пользователя и предоставлять изолированного админа, откуда и сбегают до хоста. Если же прав нет и не было (а для user-ns они не нужны), прав админа из ниоткуда не появится. Скажем даже если ты попробуешь прикинуться рутом, ты будешь рутом, но ядро тебя обламает. Я только что проверил, unshare -r setcap cap_sys_admin+ep выставляет права на файл, а unshare -c setcap cap_sys_admin+ep ожидаемо обламывается и ничего ты с ним не сделаешь. Зачем кто-то будет мапить себе рута в неймспейсе, когда целью стоит изоляция песочницы? Хотя там несколько видов изоляции. Скажем при изоляции сети может быть необходимо поднять локалку и тут проверяет права на хосте. Придётся сначала делать файл админом опять же и перезапускать. Если порезать setcap в неймспейсе, то такой уязвимости и не будет. В случае с песочницей браузера, мапиться в неё рутом выглядит контрпродуктивно, именно эти случаи и обсуждаются когда говорят об уязвимостях в user_namespace.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Рут не юзер? Ещё какой юзер. Ты можешь зайти рутом в неймспейсе > только при наличии админских прав (выставленные права суид или сисадмин у > файла), далее ты можешь сбросить права в нейпспейсе. При этом система > на хосте будет воспринимать все действия от имени пользователя и предоставлять > изолированного админа, откуда и сбегают до хоста. Если же прав нет > и не было (а для user-ns они не нужны), прав админа > из ниоткуда не появится. Скажем даже если ты попробуешь прикинуться рутом, > ты будешь рутом, но ядро тебя обламает. Я только что проверил, > unshare -r setcap cap_sys_admin+ep выставляет права на файл, а unshare -c > setcap cap_sys_admin+ep ожидаемо обламывается и ничего ты с ним не сделаешь. > Зачем кто-то будет мапить себе рута в неймспейсе, когда целью стоит > изоляция песочницы? Хотя там несколько видов изоляции. Скажем при изоляции сети > может быть необходимо поднять локалку и тут проверяет права на хосте. > Придётся сначала делать файл админом опять же и перезапускать. Если порезать > setcap в неймспейсе, то такой уязвимости и не будет. В случае > с песочницей браузера, мапиться в неё рутом выглядит контрпродуктивно, именно эти > случаи и обсуждаются когда говорят об уязвимостях в user_namespace.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру