OpenForum RSS: Уязвимость в ядре Linux, позволяющая обойти ограничения user... https://www.opennet.dev/openforum/vsluhforumID3/115877.html В ядре Linux в коде трансляции uid/gid из пространства имён идентификаторов пользователей (user namespace) в основной набор идентификаторов выявлена (https://www.openwall.com/lists/oss-security/2018/11/16/1) уязвимость (https://bugs.chromium.org/p/project-zero/issues/detail?id=1712) (CVE-2018-18955 (https://security-tracker.debian.org/tracker/CVE-2018-18955)), позволяющая непривилегированному пользователю, имеющему полномочия администратора в изолированном контейнере (CAP_SYS_ADMIN), обойти ограничения безопасности и получить доступ к ресурсам вне текущего пространства имён идентификаторов. Например, при использовании общей файловой системы в контейнере и хост-окружении можно через прямое обращение к i-node прочитать содержимое файла /etc/shadow в основном окружении.<br><br><br>Уязвимость вызвана (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=6397fac4915a) ошибкой в ядре 4.15, внесённой в октябре прошлого года, и исправлена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin Уязвимость в ядре Linux, позволяющая обойти ограничения user... (Sw00p aka Jerom) https://www.opennet.dev/openforum/vsluhforumID3/115877.html#69 Tue, 04 Dec 2018 19:51:46 GMT &gt; одна проблема - jail тоже требует рутовых прав - и не просто <br>&gt; так это делает. А иначе будет: <br>&gt; jail: jail_set: Operation not permitted <br>&gt; никакого тебе userns...<br>&gt; Потому что jail - он как раз об изоляции и безопасности, а <br>&gt; не о том как уйти от dependency hell путем наворачивания слоев <br>&gt; поверх слоев поверх слоев.<br><br>бесит за столько лет нормальный процесс монтирования и отмонтирования не придумали, крешится джейл процесс, а маунты висят, и хрен запустишь если не отмонтируешь.<br> Уязвимость в ядре Linux, позволяющая обойти ограничения user... (Аноним) https://www.opennet.dev/openforum/vsluhforumID3/115877.html#68 Mon, 03 Dec 2018 06:38:30 GMT &gt; sudo с привязкой к паре юзер - прикладуха ?<br><br>И в результате этот юзер потом сможет сисколами по всей системе шариться, в основном namespace. Делая многовато лишнего.<br> Уязвимость в ядре Linux, позволяющая обойти ограничения user... (Аноним) https://www.opennet.dev/openforum/vsluhforumID3/115877.html#67 Mon, 03 Dec 2018 06:37:25 GMT &gt; cap_sys_admin это уже деизоляция.<br><br>Это по задумке фэйковый рут. Карманный. Имеющий полномочия только в своем загончике.<br> Уязвимость в ядре Linux, позволяющая обойти ограничения user... (Аноним) https://www.opennet.dev/openforum/vsluhforumID3/115877.html#66 Mon, 03 Dec 2018 06:36:22 GMT &gt; да мы и линуксы ТАК починить могем - reboot/install/next/next/format - yes!/ok!<br><br>Да нет там никакого next и формата как такового. Придет автоматическая система деплоймента, вкатит данные на диск и уберется восвояси. Так что никто ничего не кликает даже. Когда машин много, клацать next на каждой из них - много чести.<br> Уязвимость в ядре Linux, позволяющая обойти ограничения user... (Аноним) https://www.opennet.dev/openforum/vsluhforumID3/115877.html#65 Mon, 03 Dec 2018 06:33:38 GMT &gt; В контейнере оно покажется 3.2, помнится.<br><br>Я вам на любом ядре покажу любую цифирь. И чего? Как максимум это позволит программам глючить чаще и больше.<br><br> Уязвимость в ядре Linux, позволяющая обойти ограничения user... (Аноним) https://www.opennet.dev/openforum/vsluhforumID3/115877.html#64 Mon, 03 Dec 2018 06:32:13 GMT &gt; виде chroot хватает всем смертным, <br><br>Проблема только в том что безопасность это если и улучшает то очень маргинально. А если сервис, даже работающий под юзером, ломанут - у него как-то многовато доступа получается в типовой системе.<br> Уязвимость в ядре Linux, позволяющая обойти ограничения user... (Аноним) https://www.opennet.dev/openforum/vsluhforumID3/115877.html#63 Mon, 03 Dec 2018 06:30:21 GMT Да кто им мозги эксплойтил с их менеджментом? Такая уверенность фирмы в том что все будут до упора сношаться с их кастомными ядрами, поддерживаемыми абы как - здорово, конечно, но кроме самой этой фирмы такое "счастье" мало кому надо.<br><br>Хостерам как-то проще оказалось на full virt переходить по мере того как гипервизоры становились все быстрее, virtio шел в массы и проч. Так юзеры не трахают мозг саппорту кучей дурных проблем и вообще могут ставить любую ось, за которую сами отвечают. И настраивают сами. Вгружая какие там кому надо модули ядра или что там у них. Без дергания саппортов компании.<br><br>А тем кто контейнеры для изоляции своих компонентов применял, кастомное ядро - как нож в спину. Вот для ovz почти и не осталось юзкейсов. Куда его такой красивый в таком виде девать?<br> Уязвимость в ядре Linux, позволяющая обойти ограничения user... (Аноним) https://www.opennet.dev/openforum/vsluhforumID3/115877.html#62 Mon, 03 Dec 2018 06:24:35 GMT &gt; Контейнеры-то? Ну сломайте мне ovz.<br><br>Погуглите "openvz exploit", чего уж там. Другое дело что бесплатно вам это никто не даст, хакеры тоже видите ли хотят чтобы копание в чужом гуано как-то компенсировалось. Да и если нашару или сильно массово отдать - школьники мигом положат хостинги, админы офигеют, эксплойт очень скоро перестанет работать. И все дружно пролетят.<br> Уязвимость в ядре Linux, позволяющая обойти ограничения user... (Аноним) https://www.opennet.dev/openforum/vsluhforumID3/115877.html#61 Mon, 03 Dec 2018 06:19:28 GMT Так чтоб оно дырявым не было - ядро изнавально должно было писаться с учетом таких хотелок. Но кто ж на момент начала написания реально существующих ОС о таком задумывался? А когда это потом сбоку на проволоку и скотч примотано...<br>