В ядре Linux выявлена уязвимость (CVE-2022-3977), которая потенциально может использоваться локальным пользователем для повышения своих привилегии в системе. Уязвимость проявляется начиная с ядра 5.18 и устранена в ветке 6.1. Появление исправления в дистрибутивах можно проследить на страницах: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=58136

• Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Аноним, 13:29 , 17-Ноя-22
  • Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Аноним, 13:33 , 17-Ноя-22
    • Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Аноним, 15:37 , 17-Ноя-22
    • Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Аноним, 08:36 , 19-Ноя-22
      • Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Аноним, 08:37 , 19-Ноя-22
  • Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Аноним, 15:35 , 17-Ноя-22
    • Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Аноним, 18:43 , 17-Ноя-22
      • Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Аноним, 21:57 , 17-Ноя-22
        • Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Аноним, 13:20 , 18-Ноя-22
    • Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Аноним, 20:47 , 20-Ноя-22
• Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Герострат, 13:30 , 17-Ноя-22
  • Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Аноним, 21:21 , 17-Ноя-22
  • Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Вы забыли заполнить поле Name, 22:58 , 17-Ноя-22
• Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Аноним, 13:49 , 17-Ноя-22
  • Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Аноним, 16:37 , 17-Ноя-22
    • Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Вы забыли заполнить поле Name, 23:00 , 17-Ноя-22
      • Уязвимость в реализации протокола MCTP для Linux, позволяюща...,анонна, 23:47 , 17-Ноя-22
        • Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Вы забыли заполнить поле Name, 00:33 , 19-Ноя-22
      • Уязвимость в реализации протокола MCTP для Linux, позволяюща...,pashev.ru, 19:37 , 19-Ноя-22
        • Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Аноним, 20:47 , 20-Ноя-22
• Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Аноним, 13:51 , 17-Ноя-22
  • Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Аноним, 00:01 , 18-Ноя-22
• Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Шарп, 14:00 , 17-Ноя-22
  • Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Без аргументов, 18:11 , 17-Ноя-22
    • Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Аноним, 18:47 , 17-Ноя-22
      • Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Без аргументов, 22:14 , 17-Ноя-22
      • Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Без аргументов, 22:17 , 17-Ноя-22
        • Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Аноним, 00:35 , 18-Ноя-22
          • Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Без аргументов, 10:22 , 18-Ноя-22
            • Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Аноним, 19:15 , 18-Ноя-22
              • Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Без аргументов, 21:02 , 18-Ноя-22
                • Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Аноним, 00:30 , 19-Ноя-22
              • Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Без аргументов, 21:03 , 18-Ноя-22
                • Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Аноним, 00:38 , 19-Ноя-22
          • Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Без аргументов, 10:24 , 18-Ноя-22
            • Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Без аргументов, 10:30 , 18-Ноя-22
• Уязвимость в реализации протокола MCTP для Linux, позволяюща...,iPony129412, 14:00 , 17-Ноя-22
  • Уязвимость в реализации протокола MCTP для Linux, позволяюща...,ryoken, 14:05 , 17-Ноя-22
    • Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Аноним, 19:50 , 17-Ноя-22
    • Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Аноним, 19:51 , 17-Ноя-22
    • Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Аноним, 20:34 , 17-Ноя-22
      • Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Аноним, 21:21 , 17-Ноя-22
        • Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Аноним, 13:10 , 21-Ноя-22
  • Уязвимость в реализации протокола MCTP для Linux, позволяюща...,Аноним, 21:19 , 17-Ноя-22
• Уязвимость в реализации протокола MCTP для Linux, позволяюща...,kusb, 22:34 , 17-Ноя-22

Таким протоколом наверно пользуются 3,5 анонима. Не опасно.

> Таким протоколом наверно пользуются 3,5 анонима. Не опасно.

А им и не обязательно пользоваться, для атаки достаточно чтобы модулем было собрано, который сам подгрузится при обращении.

> сам подгрузится при обращении

Сам?! Это где такое?

install mctp /bin/false > /etc/modprobe.d/block-mctp.conf

echo install mctp /bin/false > /etc/modprobe.d/block-mctp.conf

> Уязвимость проявляется начиная с ядра 5.18

Опять "начиная с ...". Прекратите принимать код от современных вебмакак!

Местным экспертам надо больше комитить в ядро и тогда не придется принимать код от "современных вебмакак"

У тебя самопротиворечивое предложение.

Ты просто не умеешь в иронию.

> Опять "начиная с ...". Прекратите принимать код от современных вебмакак!

И используйте олдскульное 2.4, да? Там уж точно mctp не было - и вулнов в нем тоже. Логично же, да? А если вообще без ядра! Попробуйте, вон, арифмометр по сети хакнуть. Слабо?

Очередное сишное ситечко

На расте будет ещё хуже, чекайте.

Пишешь из под redox? Ой не верю.

Астрологи объявили день уязвимостей.

> It was created in the 1970s by Dennis Ritchie

Астрологи объявили век уязвимостей.

Следующий век будет самым безопасным веком, потому что все будут писать на самом безопасном языке, который безопасно позволит обезопасить от самых опасных ошибок с небезепасной работой с небезопасной памятью. Но что это за язык я вам не скажу, потому что это небезопасно на этом опасном форуме.

давайте вообще выпилим языки позволяющие управлять оборудованием вашего компьютера. и отдадим это все "безопасным" языкам корпорастов, которые решат за вас)) и чтоб вы вообще не могли обратьиться к железу никак))

> давайте вообще выпилим языки позволяющие управлять оборудованием вашего компьютера. и
> отдадим это все "безопасным" языкам корпорастов, которые решат за вас)) и
> чтоб вы вообще не могли обратьиться к железу никак))

Вы приняты!

COBOL? APL?

Астрологи провозгласили неделю некромансии на опеннете.

> [bullseye] - linux <not-affected> (Vulnerable code not present)
> [buster] - linux <not-affected> (Vulnerable code not present)

¯\_(ツ)_/¯

дебиановцы как всегда красавчики
ваш дистрибутив слишком стар для этих уязвимостей.
в моем stretch'e тоже этой уязвимости нет... какая досада

>обращению к уже освобождённой области памяти (use-after-free)

Rust.

Ладно соседние новости, но такое, это результат кропотливого поиска и постов обиженок-растофилов. Типа информвойна.

Очевидно что растофилы закомитили в ядро уязвимостей чтобы очернить си.
Но на местных экспертов, знающих что такое шина адреса, их гнусные уловки не подействуют.

Нет конечно, просто лучше бы делали свои самбы и прочее вместо очернения существующего, обиженно преследуя.

Я ничего не имею против фич раста. Но слишком уж активно насаждают. Под предлогом безопасности втюхивать несвободу - это классика. В данном случае, централизованная власть над cargo/crates, в другом случае, над npm и github.
P.S. я был рад перейти на Го, т.к. он был проще и читабельней, чем Си для бэкенда. Но Раст усложнили, а фича только одна.

> Под предлогом безопасности втюхивать несвободу - это классика. В данном случае, централизованная власть над cargo/crates

Народ вроде при нужде создает себе "airgapped"-окружение (без связи с инетом, если боятся). Что надо выкачивают с инета (с "центрального хранилища"), а потом переносят в изолированное от инета окружение. Если надо то и проверяешь и патчишь перенесённое по своему разумению. И в этом окружении на крейты ссылаешься уже в локальной системе. С обновлениями - сам понимаешь как будет. Чем это отличается от того, что ты чужие си/сиплюсовые опенсосрные проекты будешь по всему инету выкачивать себе локально ("чтобы независеть") и впендюривать зависимостями в свое поделие? И куда там делась "централизованная власть" над чужими сишными проектами, например, при разработке ядра? Там любой баклан сразу исходники патчами правит наперегонки с другими или всё-таки там кто-то модерирует присылаемые патчи?

> чужие си/сиплюсовые опенсосрные проекты будешь по всему инету

оно не закрыто двухфакторными авторизациями, чтобы только правильные закладчики работали, в случае блокировки страны есть варианты.

>> чужие си/сиплюсовые опенсосрные проекты будешь по всему инету
> оно не закрыто двухфакторными авторизациями,

Чё-то у меня чужие крейты с интернетов выкачивались без двухфакторной авторизации. Даже без регистрации и смс

> в случае блокировки страны есть варианты.

в случае блокировки страны таки есть варианты - через випиэн скачиваешь нужные крейты из "центрального хранилища", проверяешь, если есть время и способности и переносишь в своё локальное хранилище. Дальше всё окружение работает с твоим оффлайн-хранилищем.

не для скачки, для коммита же!

> не для скачки, для коммита же!

так не про коммит же, а про использование чужих проектов в своих говорилось.

а ниже было же понятно сказано что коммиты в сишный/сиплюснутый опенсорс ты тоже обычно не сможешь сделать без чьего-то дозволения. Местами с двухфакторной авторизацией. Там тоже есть ответственные за "пущать/не пущать" люди, а не ты наперегонки с другими анонимами меняешь код как тебе вздумается, как статьи в ранней википедии. Никакой существенной разницы с растом нет, как ты ее описывал. Я себе локально выкачивал чужой крейт, а потом локально же патчил как мне нужно было. Дописывал рест-метод и необходимые мне конструкции. Конечно со слиянием  обновлений потом была бы морока, но точно такая же как если бы я себе в сишный проект откуда-то чужие куски кода засовывал и патчил их локально.

не знаю как с карго, но с npm люди даже известные пакеты не успевают обновлять до поддержки LTS версии. (щаз вот encore/sass не тянет ноду 18 LTS, хотя уже 19 вышла)

> не знаю как с карго, но с npm люди даже известные пакеты не успевают обновлять до поддержки LTS версии

Ну значит там бурно разработка идет, а не как в каких-то полузабытых сишных проектах. Тем более для таких случаев ссылка на "центральное хранилище" и онлайн-обновление будет актуальнее, конечно в ущерб безопасности, если тебе некогда проверять всё что втягивается. При такой же бурной смене версий кода тебе и в си/плюсах будет так же геморно обновляться. И в любом другом языке. К тому же в карго ты можешь указать строго нужную тебе версию крейта и плевать можешь на все последующие обновления, если багов не боишься.

> при разработке ядра

лично мне анонимусу пофиг на закладки в ПО. я больше о доступности, т.к. я разработчик

а кому не пофиг, должны иметь спецов по закладкам

Уже всех сейчас отпенетрируют на линуксах с таким Мега паком уязвимостей.

Предлагаете съезжать на Опёнок?

опеннетраторы уже там

На хакинтош. Или вообще хром ос

Семейство BSD, illumos дистрибутивы, бывший OpenSolaris.

Спасёт только Plan 9. На днях для него hare портируют, так что уже можешь начинать писать свой аццкий код.

А что даёт Hare? Hare ни разу не безопасный.

Нет фирменного смайлика. Это позор.

Сколько оказывается есть интересных протоколов. И прямо в ядре.