| 1.6, Аноним (6), 22:25, 31/05/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
> Для проведения атаки требуется наличие доступа к nftables, который можно получить в отдельном сетевом пространстве имён (network namespaces) при наличии прав CLONE_NEWUSER, CLONE_NEWNS или CLONE_NEWNET (например, при возможности запуска изолированного контейнера).
Как всегда, чтобы получить рута, нужен рут.
(То, что рут в контейнере равен руту на хосте, все и так давно в курсе)
| | |
| |
| 2.9, Аноним (9), 22:47, 31/05/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
Проблема в том, что достаточно и "виртуального" рута, который в контейнерах непривилегированным пользователям в Ubuntu и Fedora даётся.
| | |
| |
| 3.10, Аноним (6), 22:49, 31/05/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
kernel.unprivileged_userns_clone=0 (обычно следующая строка после kernel.unprivileged_bpf_disabled=1)
| | |
| 3.27, Онаним (?), 18:14, 01/06/2022 [^] [^^] [^^^] [ответить]
| +/– |
Ну, извините, это проблема контейнеров.
Вообще как-то следует ожидать, что рут в контейнере в любой момент может стать рутом в головной системе.
Слишком много переусложнённого везде.
| | |
|
|
| 1.7, Аноним (7), 22:37, 31/05/2022 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– | |
Опять namespaces :-)
Кажется, это уже 105 уязвимость.
И, как сказали выше, оно само по себе требует рута - короче, стоит беспокоиться только хостерам, которые используют ns виртуализацию.
// b.
| | |
| |
| 2.8, Аноним (9), 22:46, 31/05/2022 [^] [^^] [^^^] [ответить]
| +/– |
В Ubuntu и Fedora вроде создание user namespaces по умолчанию включено всем пользователям (user.max_user_namespaces != 0).
| | |
| |
| |
| 4.16, пох. (?), 00:52, 01/06/2022 [^] [^^] [^^^] [ответить]
| –2 +/– | |
slackware 3.1 хватит всем!
(этот твой bleeping age уже лет семь как настал. В школу его отправь!)
| | |
|
|
| 2.25, Аноним (-), 17:39, 01/06/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> Опять namespaces :-)
Что поделать, Торвальдс в своем первом релизе не додумался это сразу накодить, пришлось прикручивать к тому что есть. С понятным результатом - иногда усы все же отклеиваются.
| | |
|
| |
| 2.15, пох. (?), 00:51, 01/06/2022 [^] [^^] [^^^] [ответить]
| –2 +/– |
Не, ну в целом-то - эта дыра у нас у большинства "в безопасТносте".
(И вовсе не 105 а всего одна. Вечная.)
В смысле, кто включил userns тот должен понимать что теперь у него все юзеры - руты, для того ведь и userns.
А что изоляция построенная на бесконечных проверках на каждый чих "точно этот рут совсем рут?" работать никогда и не будет - казалось бы, очевидно.
| | |
| |
| 3.23, Аноним (23), 17:13, 01/06/2022 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> казалось бы, очевидно
С твоим даром предвидения можно было бы огромные бабосы зашибать, но ты весь талант потратил на мытьё полов в ДЦ и газификацию комментов на опеннете. А мог бы быть богатым, сытым и жить в приличном районе.
| | |
|
| 2.17, Аноним (17), 00:54, 01/06/2022 [^] [^^] [^^^] [ответить]
| +/– |
Вообще-то, это уязвимость, просто, как я понял, вектор атаки подразумевает, что у тебя уже есть полноправный пользователь и возможность исполнять любой код. Если кто-то рассчитывает на то, что виртуальный рут не так опасно, то что ж. Но, похоже, сбежать из нормальной изоляции, когда ты не unshare -r с правом ставить setcap cap_sys_admin+ep любому файлу (даже при отсутствии такого права у запустившего пользователя), бояться нечего?
| | |
| 2.29, Аноним (-), 21:08, 01/06/2022 [^] [^^] [^^^] [ответить]
| +/– | |
А может виртуальный рут дается именно потому что не хотят давать реальный? И пользователь не ожидает такого подвоха?) Та не, фигня какая-то...
| | |
|
| 1.18, нонейм (?), 01:26, 01/06/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Вубунте пофиксили уже оперативно
May 31 13:19:24 cc canonical-livepatch.canonical-livepatchd[812]: System contains non-livepatch tainted modules.
May 31 14:34:15 cc canonical-livepatch.canonical-livepatchd[812]: module "livepatch_Ubuntu_5_15_0_33_34_generic_86" already inserted
$ sudo ls -l /var/snap/canonical-livepatch/common/payload/
total 544
-rw------- 1 root root 545 May 31 13:19 changelog
-rw------- 1 root root 1771 May 31 13:19 copyright
-rw------- 1 root root 634 May 31 13:19 cvelist.yaml
-rwx------ 1 root root 536628 May 31 13:19 livepatch_Ubuntu_5_15_0_33_34_generic_86.ko
-rw------- 1 root root 45 May 31 13:19 meta
| | |
| |
| 2.22, Аноним (6), 11:08, 01/06/2022 [^] [^^] [^^^] [ответить]
| +/– |
У них там просто график такой - раз в неделю ядро пересобирать (правда, едет регулярно, потому что раздолбаи).
Не факт, что они именно эту дыру пофиксили.
| | |
|
| 1.24, Аноним (23), 17:15, 01/06/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> use-after-free
Вот так новость! Никогда такого не было, и вот опять. Или это снова неправильные сишники писали?
| | |
| 1.26, Аноним (26), 17:56, 01/06/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
По теме: cloudflare-warp при установке сам меняет правила nftables, не спрашивая даже!
| | |
|
