В подсистеме ядра Netfilter выявлена уязвимость (CVE-2022-1972), похожая на проблему раскрытую в конце мая. Новая уязвимость также позволяет локальному пользователю получить права root в системе через манипуляции с правилами в nftables  и требует для проведения атаки доступа к nftables, который можно получить в отдельном пространстве имён (network namespace или user namespace) при наличии прав CLONE_NEWUSER, CLONE_NEWNS или CLONE_NEWNET (например, при возможности запуска изолированного контейнера)...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=57305

• Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 09:44 , 06-Июн-22
  • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,какая разница, 09:53 , 06-Июн-22
    • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 12:58 , 06-Июн-22
      • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Кочегар, 08:47 , 07-Июн-22
        • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 13:36 , 09-Июн-22
  • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 09:54 , 06-Июн-22
    • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,какая разница, 09:56 , 06-Июн-22
      • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 10:12 , 06-Июн-22
        • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 10:22 , 06-Июн-22
          • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 10:27 , 06-Июн-22
            • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,i, 00:31 , 07-Июн-22
    • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 10:06 , 06-Июн-22
    • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 11:13 , 06-Июн-22
      • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Попандопала, 11:19 , 06-Июн-22
        • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 08:25 , 07-Июн-22
      • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,какая разница, 15:20 , 06-Июн-22
        • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 08:29 , 07-Июн-22
        • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 08:39 , 07-Июн-22
  • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,какая разница, 09:54 , 06-Июн-22
  • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 11:53 , 06-Июн-22
• Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Прохожий, 10:18 , 06-Июн-22
  • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 10:22 , 06-Июн-22
    • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 11:53 , 06-Июн-22
  • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 10:25 , 06-Июн-22
    • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 11:44 , 06-Июн-22
      • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Бывалый смузихлёб, 12:28 , 06-Июн-22
        • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 17:11 , 06-Июн-22
          • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 17:45 , 06-Июн-22
            • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 12:36 , 07-Июн-22
              • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,fi, 17:07 , 07-Июн-22
    • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 22:17 , 08-Июн-22
  • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,_hide_, 13:24 , 06-Июн-22
  • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 16:12 , 06-Июн-22
  • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 00:35 , 07-Июн-22
    • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,какая разница, 05:38 , 07-Июн-22
• Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 10:22 , 06-Июн-22
  • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 10:22 , 06-Июн-22
    • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 11:47 , 06-Июн-22
      • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 12:59 , 06-Июн-22
  • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,ИмяХ, 13:32 , 06-Июн-22
    • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 16:15 , 06-Июн-22
      • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 17:12 , 06-Июн-22
        • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 18:21 , 06-Июн-22
• Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 11:55 , 06-Июн-22
• Ещё одна уязвимость в подсистеме ядра Linux Netfilter,hohax, 12:30 , 06-Июн-22
  • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Бывалый смузихлёб, 12:36 , 06-Июн-22
  • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 13:05 , 06-Июн-22
    • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,hohax, 13:14 , 06-Июн-22
      • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 13:29 , 06-Июн-22
• Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Бывалый смузихлёб, 12:34 , 06-Июн-22
  • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 12:47 , 06-Июн-22
    • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,какая разница, 15:24 , 06-Июн-22
• Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 13:03 , 06-Июн-22
  • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 13:06 , 06-Июн-22
  • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 13:08 , 06-Июн-22
    • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,наноим, 13:39 , 06-Июн-22
      • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 14:02 , 06-Июн-22
    • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 13:43 , 06-Июн-22
      • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 14:25 , 06-Июн-22
        • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 17:10 , 06-Июн-22
          • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 07:57 , 08-Июн-22
      • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 14:43 , 06-Июн-22
        • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 17:08 , 06-Июн-22
  • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 14:44 , 06-Июн-22
    • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 15:33 , 06-Июн-22
      • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 15:46 , 06-Июн-22
        • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 16:03 , 06-Июн-22
          • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 17:13 , 06-Июн-22
            • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 19:17 , 06-Июн-22
      • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Аноним, 16:22 , 06-Июн-22
  • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,microsoft, 21:37 , 06-Июн-22
• Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Ананоним, 13:49 , 06-Июн-22
  • Ещё одна уязвимость в подсистеме ядра Linux Netfilter,Тыква, 15:03 , 06-Июн-22
• Ещё одна уязвимость в подсистеме ядра Linux Netfilter,псевдонимус, 15:45 , 06-Июн-22

Хотя бы не заметают под ковёр, когда закладки находят, как это делают с проприетарщиной.

>sysctl: cannot stat /proc/sys/kernel/unprivileged_userns_clone: No such file or directory

о чём это говорит?

И подтверждение словам имеется?

CVE-2022-1972 - Какое тебе ещё подтверждение?

2022-1972... Нифига себе, ровно полвека замалчивали!

Первые 20 лет Linux тоже замалчивали. Высокосекретный проект рептилоидов.

А есть какие-то примеры? Я не отрицаю наличие таких, просто лучше раз увидеть чем... Я вот могу с два десятка накидать примеров где в открытых проектах или не чинят уязвимость годами (порой десятилетиями), или не признают уязвимость уязвимостью или вообще пытаются столкнуть ответственность на другой проект. Мол, это не наша софтина дырявая, а используемая нами либа, и неважно что программы других разработчиков с этой же либой подобных проблем не имеют.

А такие программы есть?
Если что, то я не подкалываю..

Пошерсти здешние новости по ключевым словам, я о ~60% всех случаев узнал отсюда. Из того что помню, очень "медленной реакцией" на уязвимости отметилась Canonical и Apache, переводом стрелок разрабы 7zip'а (по-моему тоже здешняя новость), об уязвимостях нефикшеных десятилетиями писала OSSRA (самой старой вроде 30 лет). Я могу расписать нормально, но только ближе к вечеру, когда дома буду.

Примеры так себе, было бы тоже интересно послушать о настоящих. И 7zip это разве не та гпл программа, для которой автор годами не даёт исходники? Но вообще, имеет смысл обсуждать только приличные проекты. Могильник и Убунта тоже не особо приличные организации, чтобы принимать их во внимание. Стоит смотреть на конкретный софт и его разрабов, вряд ли они свой денвер оставили бы дырявым в продакшене.

Не переживай примеров там хватает, я просто большей половины уже не помню, или помню частично те нужно удостоверится что я ничего не путаю, память уже не та. Доберусь до домашнего компьютера накидаю нормальный список со ссылками.

Про чувака, который аудит безопасности делал, и подписывал не разглашение на 10 лет, а через 10 лет угадайте что, никто ничего не исправил, как его звали...

Так заметают, это сказывается на стоимости акций знаете ли. Знаю, что у Адобы было много приколов в своё время, вряд ли с тех пор много изменилось. МС всегда старательно прячет детали и максимально отстранённо упоминает исправления эпических дыр, и если ты не тусуешься в тех кругах, то и не узнаешь никогда. Деньги, деньги…

В открытых проектах ты можешь сам просто взять и переписать всё подсебя и без уязвимостей. В отличии от проприетарного говнища, который ты даже если захочешь не сможешь форкнуть.

Инженеры с высшим образованием пишут с нуля,как я тут читал. Таким проприетарщина нестрашна от слова совсем. И плакаться по  чужому коду такие спецы не станут.D Берите пример.

> Инженеры с высшим образованием пишут с нуля,как я тут читал. Таким проприетарщина нестрашна от слова совсем.

Точно, тут только так и принято. Сначала вышеуказанные инженеры машинными кодами (байтиками, битиками - ноликами и единичками) набирают себе ассемблер - транслятор программы из текста на языке ассемблера в программу на машинном языке. Затем на ассемблере себе пишут компилятор под язык Ы (чтобы никто не догадался и не диктовал как должен выглядеть "правельный изык!"). Главное чтобы язык был как сишка, а не "новомодное типа безопасТное гуано - мы ошибок и так не допускаем". Потом переписывают этот компилятор на самом языке Ы. Ну а потом уже по мелочи - прошивки для мамки и железок, загрузчики ОС, саму ОС, драйвера. Последними пишут какой-нибудь MyOffice и "бровзер". Главное нескучные обои не забыть наваять в самописном Гимпе/Фотошопе, а то не оценят...

> ты можешь сам просто взять и переписать всё подсебя и без уязвимостей

А все у нас программисты?

Он у нас как та сова в анекдоте про сову и мышей - "Я не тактик, я - стратег !"

Ну и раз он ВСЁ может переписать "подсебя" (да еще без уязвимостей!) то у него похоже времени куча и всё остальное сделано (кроме не мешающей переписыванию основной работы доставщиком пиццы еще и дом воспитан, дерево построено, сын посажен...). По логике - бессмертный он, выходит: сотню человеколет туда вбрость, один человековек сюда... - г.вно вопрос.

> как это делают с проприетарщиной.

Я об этом..

>> sysctl: cannot stat /proc/sys/kernel/unprivileged_userns_clone: No such file or directory
> о чём это говорит?

О том, что у вас не Debian (этот sysctl специфичен для их ядер и производных).

Мышки плакали, мучались, но продолжали есть кактус. Вместо того, чтобы переходить на нормальный язык программирования, из год в год наступаем на одни и те же грабли с памятью.

На Dlang.

+ плюсую

"Нормальный" язык слишком часто падает и паникует, чтобы оставаться сколько-нибудь юзабельным. Ошибки с памятью не исключают 9/10 других ошибок, так что попробуй потоньше накидывать.

Ну да, паника это плохо, лучше молча получать рут))

у него есть какая-то встроенная неспособность получать рут ?

Практически во всех языках, кроме сишки и крестов, с непредвиденным получением рута всё сложно.

Только в языках без джита и ффи, их не так и много.

В языках (на самом деле - интерпретаторах с JIT) дыры из-за кривых рук разработчиков JIT.
В сишке и крестах - дыры из-за кривых рук разработчиков конечных программ. Это на много порядков больше.

LOL!!!

если вспомнить что "интерпретаторах с JIT" пишут с кривыми рука разработчики конечных программ, то теорема сводиться к кривым рукам разработчиков на C

> Ошибки с памятью не исключают 9/10 других ошибок

По статистике гугла, ошибки с памятью при использовании си-подобного добра составляют 70%. Очень-очень полезно было бы избавиться от этих ошибок. Использовать тут слоган - "или ВСЕ ошибки исключить или тогда уже оставить как есть" - глупо.

Не подскажите, каким образом может "нормальный язык" решить проблемы с обращением к памяти в модулях ядра?
Большое спасибо.

Эй Прохожий - проходи..

> Мышки плакали, мучались, но продолжали есть кактус

Ну да. Вянтузятники как сидели в ущербной системе так и сидят.

А вы продолжаете орать этот бред, но wine используете именно для запуска программ для windows..

Это очень хорошая новость. Раз она есть, значит уязвимость нашли. А раз нашли, значит исправят.

Побольше бы таких новостей.

Больше новостей -> больше уязвимостей нашли -> больше уязвимостей было...
Oh, wait!

-> больше исправили

>>А раз нашли, значит

значит энтузиасты уже наклепали сотни эксплоитов, которые крадут конфиденциальные данные.

Разве крадут энтузиасты?

Не важно, кто крадёт, важен сам факт, что крадут.
Или даже - теоретически могут украсть.

Теоретически, я могу вычислить тебя по айпи, прийти к тебе домой и напугать твою канарейку. Но практически делать этого конечно же не буду, у меня есть дела поинтереснее. Так и тут. Мало найти уязвимость, нужно ещё найти чего украсть через неё. А там, где есть чего красть, зачастую практикуют security in depth, так что одной уязвимостью не обойдёшься.

Ну вот, опять...

> убедиться в отключении возможности создания пространств имён непривилегированными пользователями ("sudo sysctl -w kernel.unprivileged_userns_clone=0")

И как понять, что сломается после такого хука?

Это почти как с недавними планами развития перла "обратная совместимость в дальнейшем будет сохраняться за исключением закрытия уязвимостей". Вот и угадай потом, что и когда вдруг отвалится в глубинах кода, который отлично работал многие годы

> И как понять, что сломается после такого хука?

LXD, скорее всего. Он завязан на user namespaces

> On most hosts, LXD will check /etc/subuid and /etc/subgid for allocations for the “lxd” user and on first start, set the default profile to use the first 65536 uids and gids from that range.
> If the range is shorter than 65536 (which includes no range at all), then LXD will fail to create or start any container until this is corrected.

А вот разрабам докера это пилить было лень. Там все понятно: если рут в контейнере - то рут и на хосте.

У меня хост c LXC

sysctl -a | grep -c kernel.unprivileged_userns_clone 
0

давно работает. На LXD еще такое не пробовал.

На lxc это специально включать надо.
А lxd - он "для блондинок", там всё из коробки.

Это, навскидку, и пары недель не прошло с обнаружения прошлой дырени в нэтфилтре
Возможно, даже первая неделя только-только подошла к концу

Респект таким высоколобым гениям, которые наизусть знают все требования к оформлению кода и пишут идеальный код
Разумеется, дырявый не менее куска хорошего сыра, но полностью соответствующий всем формальным критериям, проходящий все осн проверки и потому попадающий в релиз

А вы всё вебмакаки да вебмакаки

Так потому и нашли, что раньше не искали, или даже не знали где искать, а тут всё очевидное повылезало.

Ну если раньше "не знали" где искать, а тут "кавычка все решила", то чем это не закладка?

Лично у меня порой складывается впечатление, что в системном программировании люди вообще не слышали о таком понятии как тестирование🤦 (а если и слышали, то не в курсе какие входные данные нужно при этом использовать)

Сишники, сэр. "Наш код не дыряв, потому что у нас прямые руки!"

Я конечно не мега гуру в Си, но вот например если работа с памятью ведется через стандартный malloc и free, что мешает для защиты тупо написать простейший макрос такого рода:
#define free(p) (free(p), (void)((p) = 0))

ответ на твой вопрос в первом предложении твоего коммента

а вы я так понимаю гуру?

Ты не поверишь, но можно и выход за границы массива проверять и валидность printf-спецификаторов. Но сишники удавятся за каждую лишнюю наносекунду (особенно, как я подозреваю, во всякой embedded'овщине). Поэтому между скоростью и безопасностью, выбирают первое (измеряется в количествах дыр в секунду).

хм... странная логика у сишников конечно!
Помнится ещё Страуструп писал: не важно, как быстро ра­ботает ваша программа, если она выдает неправильные результаты! (ну или в нашем случае если она в конечном итоге дырявая)

На практике немного иначе: неважно, насколько дырява ваша программа, если она написана на трушной, олдовой, правильной сишке.
О безопасности пусть смузи-девляпсы думают.

Девяпсы и думать это антонимы.

Ох, будто в других языках кто-то что-то проверяет. Там удавятся за лишнюю строчку, которая будет что-то там сверять, потому что спринт надо скорей закрыть.

Поэтому в других языках проверки производятся автоматически, без ручной копипасты каждый раз.

Вот тебе способ сделать вклад в опенсорс. Берёшь и тестируешь, если они не умеют.

Я иногда пишу тут в комментариях, про всякие найденные косяки:)
Например, как то нашёл косяк в picolibc, и сказал что если хотите репортите ибо мне оно не надо:), - и нашёлся таки добрый аноним который зарепортил:) Проблема кстати там была такого рода, что при нормальном тестировании данную проблему быстро бы обнаружили, - а это говорит, что там тоже о тестрировании мало что слышали:) Да и вообще в целом качество проекта плохое, ибо это просто сборная солянка из разных проектов, - короче навыхватывали куски кода, да так что порой встречаются функции где сразу видно, что это куски которые написали разные люди! Кроме того, там полный бардак с заголовками, - нет бы взять и вынести одни и теже определения макросов в отдельный заголовок, но нет копипаста на копипасте!)

ПС: Я это к чему, - Опенсорс это конечно хорошо, но как говорится: Если можешь делать что-то и при этом довольно хорошо, то не нужно делать бесплатно!) Корпарасам надо, пускай сами этим и занимаются!

Всё, что не глибц, не для общего применения. Например, в интернет выставлять нельзя. А на встройках баги и дыры, да кто их там найдёт, кому это интересно? Так и живут, программисты, етить.

>>> кому это интересно? <<<

мне:) но как я уже сказал, по-серьезному, бесплатно я таким заниматься никогда не буду!

Значит, не так уж и интересно.

>>>  Значит, не так уж и интересно. <<<

Просто за это мало платят:(

> а это говорит, что там тоже о тестрировании мало что слышали:)

План роста требует жертв: Ничего лишнего, только рост. 😊

И тут ты такой в белом выходишь из-за угла, ииии как начинаешь нам рассказывать и показываиь, как надо это все делать? Что? Нет? Ну вот... всегда так.

Надо было писать на Ada.

Пиши

Опять неймспейс. Вечная дырка.