В открытом доступе обнаружены два эксплоита, в которых задействована ранее неизвестная уязвимость в драйвере n_gsm, входящем в состав ядра Linux. Уязвимость позволяет непривилегированному локальному пользователю выполнить код на уровне ядра и поднять свои привилегии в системе. CVE-идентификатор не присвоен. Проблема пока остаётся неисправленной...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=60980
>Уязвимость вызвана состоянием гонки
>use-after-freeКогда уже ядерщики научаться в многопоточный код?
Это сложно... :) Я бы тоже хотел научиться...
А что тут сложно?
Ну просто не читать и писать одновременно с разных потоков. Ну и не допускать дедлоков.
Элементарно же. Нужно просто быть внимательным и понимать что происходит в твоей программе.
Но наверное это не всем дано.
Пока ты веришь что это ошибка это случайность ты так и будешь оставаться не мамонтом.
Ты говоришь как опытный немамонт
Какой тогда смысл в разных потоках, если нельзя делать что-то одновременно?
> Какой тогда смысл в разных потоках, если нельзя делать что-то одновременно?Делать одновременно можно, но не с одними и теми же данными в тех же ячейках памяти.
Слишком толсто
Очень тайное искусство не допускать дедлоков.)))
Мьютекс тяжел, как гора. Креш легок, как перышко...
По крайней мере защита от use-after-free элементарна. Нужно просто имитировать работу shared_ptr. Параллельный доступ к данным на уровне ядра может быть немного сложным, если нет диспетчера потоков. Если он есть, то всё становится элементарным. Просто ждёшь пока мутекс скажет, что пришла твоя очередь доступа к данным. В совсем критических местах, где переключения контекста недопустимы, там и память выделять и освобождать не стоит.
Весело может получится, когда несколько потоков ждут освобождения мутексов,залоченных друг дружке.)))
Ну так нефиг переусложнять код взаимными зависимостями. Блокирующий мутексы код должен быть максимально атомарным.
Типичный репертуар фетишиста-сишника. Нужно «просто» имитировать работу чего-то там. Нужно «просто» не допускать ошибок и «просто» следить за памятью. Идея использовать неблокирующие структуры данных почему-то не рассматривается, как и идея использовать более подходящие инструменты, чтобы поменьше делать «простого» и побольше уделять времени программированию. Лишь бы со своим фетишем няньчиться.
> Идея использовать неблокирующие структуры данных почему-то не рассматривается, как и идея
> использовать более подходящие инструментыНикто не может понять неблокирующие структуры данных, это вотчина гениев, которые напишут один раз для всех, а остальные будут использовать их код без малейших правок. Подходящие инструменты создают иллюзию ложной простоты и больно пинают, когда начинаешь писать код не думая. Тот же GC это отличный пример, который якобы избавляет программиста от необходимости думать об освобождении ресурсов.
даже не Go создать поток не проблема одним словом go, другое дело - состыковать каналы, которые могут зависнуть и бутылочные горлышки-мьютексы
> Драйвер n_gsm предоставляет реализацию протокола GSM 07.10, используемого в GSM-модемах для мультиплексирования соединений к последовательному порту.расходимся, неактуально - на серверах никаких GSM/LTE нет.
а модуль в ядре есть
Модуль надо еще загрузить.
На серверах (нормальных) разрешены только необходимые.
получается, большая часть серверов не нормальная
Модуль n_gsm и для серверных дистрибутивов собирается и автоподгружается при необходимости.
В случае какой необходимости? Если кто-то модем в юсб сервака вставит?
> В случае какой необходимости? Если кто-то модем в юсб сервака вставит?Вообще это забавный способ получить рут :). И не обязательно модему быть - скорее что-то микроконтроллерное с usb которое бахнет кастомным пакетом - и добро пожаловать.
похоже что достаточно правильно открыть pty
Ну ты особо далеко не уходи. Таких уязвимостей десятки, если не сотни в модулях на серверах.
Да лаан уязвимость это только пакет xz нас тут несколько дней подряд пытались в этом убедить. Других проблем не существует. Пусть даже у каждой уязвимости в сабже есть и коммитер и мейнтейнер к ним вопросов нет.
Что это за драйвер такой и что он делает до сир пор в 2024? Это для SIM900 и подобного хлама? Там точно линукс используется а не лютая проприетарщина?
Примерно с 2000 года собираю ядро сам, но не из-за вопросов безопасности, а просто потому что ядра от дистров крайне жирные.А тут ещё и такой плюс, что туча фич, которые я не собираю, периодически приводят к local root exploits. Лепота.
По сути security through obscurity, но я человек маленький - мне приятно :-)
$ ls -la /boot/vmlinuz-6.8-zen3.x86_64
-rw-r--r--. 1 root root 5334016 Apr 12 15:18 /boot/vmlinuz-6.8-zen3.x86_64Чуть больше 5 MB, много чего вшито в ядро, потому что не вижу смысла в модулях, например CPU [frequency] governors, SATA AHCI support и прочее. Загрузка через initrd вообще выключена - многие не знают, что можно грузиться без него. Это не будет работать в случае извратов, типа LVM/LUKS, но я их не использую.
Fedora 40:
14966600 Apr 11 00:00 /boot/vmlinuz-6.8.5-301.fc40.x86_64
Рехнутся можно что они туда напихали.
> Примерно с 2000 года собираю ядро сам, но не из-за вопросов безопасности, а просто потому что ядра от дистров крайне жирные.С 90-х годов собирал сам, эх, slackware, slax… плюнул, перешёл на более стабильную ось.
Неужели plan9? Или beos?
Windows.
> Windows.Маловероятно, он же сказал "стабильную".
>> Windows.
> Маловероятно, он же сказал "стабильную".ntoskrl.exe на порядок стабильнее ядра Ли-нупса.
ntoskrl.exe не убивает ваши данные постоянно, а Ли-нупс делает это до нескольких раз в год.
Сколько косяков было в md, драйверах ФС - не счесть.
Оригинальна BeOS давно ископаемое. А Хайку и Plan9 кто стабилизировал?
> Оригинальна BeOS давно ископаемое. А Хайку и Plan9 кто стабилизировал?MSDOS же, ну. Ему настал окончательный и бесповоротный стабилизец.
Во-первых не MS-DOS, а FreeDOS...
А во вторых драйвера для TCP/IP нет ли у кого-то...
> Во-первых не MS-DOS, а FreeDOS...Ну вот нет! В FreeDOS кто-нибудь может додуматься комитить, так что по критерию "наступил бесповоротный и окончательный стабилизец" он убежденным некромантам не подходит.
> А во вторых драйвера для TCP/IP нет ли у кого-то...
Да зафиг вам там TCP/IP? Там системы прав нет - приходи и бери что хочешь голыми руками. Даже хакать ничего не надо, все для вашего удобства.
Фантом ОС!
Что за зверь такой, Redox что-ли?
>14966600 Apr 11 00:00 /boot/vmlinuz-6.8.5-301.fc40.x86_64
>Рехнутся можно что они туда напихали.Ой да ладно, всего в 3 раза жирнее вашего обрезка.
Влезли б в 1500 кб - можно было бы хвастаться.
Зачем 1500KB? У меня не было сверх задачи уменьшить его до минимума - там только то, что нужно на моём компе. Штук 30 фич ядра встроены, а не модулями, потому что грузятся всегда - можно их убрать, а потом оно без initrd грузиться не будет.Почему всегда в сети надо с кем-то спорить, поддевать, что-то доказывать, показывать превосходство? Я написал, что собираю для себя и порадовался тому, что получилось более оптимально, чем в дистроядре. Всё. Мне плевать на ваши позывы.
Причём моё ядро действительно грузится гораздо быстрее:
[ 0.990374] Freeing unused kernel image (rodata/data gap) memory: 1816KРовно секунда на полную инициализацию ядра, storage (NVMe PCI-E4.0) и монтирование корня. Ядру от Fedora требуется на это секунд 5, если не больше.
Причём в ядре осталась поддержка SeLinux и audit, т.е. я нигде не мухлевал.
> доказывать, показывать превосходство?Пока что это пытаетесь сделать вы, начав мерятся размером ядра.
> Ровно секунда на полную инициализацию ядра
> Ядру от Fedora требуется на это секунд 5, если не больше.Просто интересно... а на что вы тратите это невероятное количество освободившегося времени?
И сколько времени было затрачено на поиск этого оптимума?
Без шуток, "а зачем?"
Разница между 1 и 5 секунд, конечно, 500%, но за это время даже почесаться не успеешь.
Может у вас какая-то специфическая задача типа "создается 1000 виртуалок в секунду" и тут можно нехило выиграть.
Ну и экономия целых 70мб на initrd.. тоже наверное нужно только в каких-то очень специфических условиях.Так вот, если не секрет, какая мотивация всех этих телодвижений?
(ответ "мне просто интересно" тоже принимается))
Вернее спросить "а почему?"
Обычно 2 секунды уходит на калибровку clocksource, когда ядро выбирает само.
> Обычно 2 секунды уходит на калибровку clocksource, когда ядро выбирает само.Иногда букмарки надо апдейтить. В более-менее свежих ядрах таки - намного меньше. А ваши клевые знания по x86-32 и прочим ядрам 2.6.32 - это замечательно, конечно, только неактуально уже. Совсем.
Я не понял, зачем тебе апдейтить букмарки, если ты не можешь выполнить dmesg|grep clocksource и показать, что на твоём localhost всё именно так.И открою тебе секрет - я понятия не имею, что такое x86-32. Но кое что слышал о x86 и IA32.
> Так вот, если не секрет, какая мотивация всех этих телодвижений?Я другой аноним, но вставлю свои пять копеек. Вроде очевидно, зачем стоит делать подобные телодвижения. Не для выигрыша во времени загрузки. И размер образа ядра не столь уж важен. Важно другое: выкинул все лишние, ненужные модули -> значительно сократил площадь атаки на ядро. Ибо ошибок там еще дохренищщща. Человек же сразу написал - его радует, что он именно этой проблеме, из новости, не подвержен, а вы прицепились к размеру и времени загрузки ядра, что для товарища просто приятный бонус.
> Почему всегда в сети надо с кем-то спорить, поддевать, что-то доказывать, показывать
> превосходство?И действительно -- зачем было вбрасывать заведомо ложную инфу, что SDL3 по умолчанию отключили Wayland?
Ну и теперь -- рассказывать о чудесах "облегчения" ядра, не указывая алгоритм сжатия? ;)
Почему всегда в сети надо с кем-то споритьЧтоб день рабочий быстрей прошёл, продукт-то всё равно импортонезамещённый в эксплуатации?
У меня ядро 20М, но при этом я в него еще и initram запихал, с необходимыми мне скриптами и бинарями. Мерятся размером ядер - это так себе затея ))) Гораздо важнее то, что собрав свое ядро, я уже не смогу кивать в сторону мантейнеров, типа "криворукие уроды", и беру ответственность за безопасность и функциональность своей машины, на себя!
> ядра от дистров крайне жирныеКексперту конечно же непонятно почему. Ядро дистра всего в 3 раза жирнее и при этом оно может запускаться на практически любом железе, а не только на коре два дуо админа локалхвоста.
> Ядро дистра всего в 3 раза жирнее и при этом оно может запускаться на практически любом железе, а не только на коре два дуо админа локалхвоста.Моё ядро ничего не требует, ядру федоры нужен еще initrd, который распакованный весит больше 70MB.
"На любом железе", тьфу ты. Да ядро федоры вообще нигде не запускается, потому что там даже внутри драйвера AHCI нет.
Мощно обос-рался, НяшМяш
> Моё ядро ничего не требуеткроме того самого core2duo с единственноверным набором платок, под который героически собрано.
А когда он у тебя сгорит - выяснится что на другой матери ты загрузиться и не можешь - вообще.А федора, как и любой нормальный дистрибутив - загрузится. Не смотря на ужос-ужос что "внутри драйвера ahci нет". Потому что может вообще никакого ahci на какой-то коробке и не быть (ну или не подключено к нему ничего), а быть какой-нибудь lsi или perc.
Мощно обгадился - ты.
> initrd, который распакованный весит больше 70MB
эксперт опеннета и лора не в курсе что после pvot_root эти 70mb (о ужас для владельца... я уж даже не знаю... их и на моем core2 в лупу не разглядеть, что у тебя там - one-true pentium mmx о восьми мегабайтах?) - просто освобождаются?
Ну и да, для сесурити хрю абскурити необходимо и достаточно - rm /lib/modules/*/kernel/drivers/tty/n_gsm.ko (ну и опционально пересобрать initrd, хотя вряд ли он имеет шансы туда попасть если только вручную не добавить)
И не надо часами греть воздух и др-ть на бегущие строчки каждой новой версии ведра. Вообще.
>> Моё ядро ничего не требует
> кроме того самого core2duo с единственноверным набором платок, под который героически собрано.
> А когда он у тебя сгорит - выяснится что на другой матери
> ты загрузиться и не можешь - вообще.
> А федора, как и любой нормальный дистрибутив - загрузится. Не смотря на
> ужос-ужос что "внутри драйвера ahci нет". Потому что может вообще никакого
> ahci на какой-то коробке и не быть (ну или не подключено
> к нему ничего), а быть какой-нибудь lsi или perc.
> Мощно обгадился - ты.осспади, похнах, что ты несёшь вообще? ну выберет в грубе загрузка с дистрибутивного ядра федоры в случае если его ядро слишком спартанское. чо так поджегся-то? травма с коре2дуо? :-D
> достаточно - rm /lib/modules/*/kernel/drivers/tty/n_gsm.ko (ну и опционально пересобрать initrd
> ... И не надо часами греть воздух и др-ть на бегущие строчки каждой новой версии ведра. Вообще.лол, советы юниксоида нахапоха. удали файлы трекаемые пакетником, пересобери инитрд, и не надо ничего делать. вообще! :-D
Это ж местный сумасшедший, забей )
> ну выберет в грубе загрузка с дистрибутивного ядра федорытак оно ж небось удалено, как же ж такой кексперт может позволить аж лишним семнадцати мегабайтам и огромному инитрды захламлять его диски?!
К тому же ж в нем - увизгвимостя!!!! Нет, нет. Не надо ТАК обесценивать ведущего эксперта лора и опеннета. Не мог он такое допустить! Конечно нет у него никакого дистрибутивного ядра. Будет с live cd какого-нибудь страдать (жаль что у федоры его нет) и героически превозможет!
> удали файлы трекаемые пакетником,
kokokokoкой ужос?! Мир рухнет если удалить файлик! Ты будешь навеки проклят! Его (с придыханием) трекает пакетник!
> пересобери инитрд, и не надо ничего делать. вообще!
оооо! Вот это особенно сложно! Это прям высшая магия, доступная лишь избратым! Одна лишь подготовка к ритуалу - месяц поститься требует.
time mkinitrd initrd `uname -r`
Creating: target|kernel|dracut args|basicmodules
13.451u 2.355s 0:08.55 184.7% 0+0k 105560+68256io 110pf+0wНу разумеется, это намного, намного дольше, чем печальное наблюдение за бегущими строчками при пересборке ведра при любом minor update.
(Кстати что местные эксперты умеют такое ведро запихать в пакет, чтобы хотя бы не пропустить следующий minor update - сомневааааюсь. make install, да, birdie?)
> (Кстати что местные эксперты умеют такое ведро запихать в пакет, чтобы хотя бы
> не пропустить следующий minor update - сомневааааюсь. make install, да, birdie?)Ээ... а что birdie не умеет даже в "make bindeb-pkg" - ну или что там у него уместно?
>> ну выберет в грубе загрузка с дистрибутивного ядра федоры
> так оно ж небось удалено, как же ж такой кексперт может позволить
> аж лишним семнадцати мегабайтам и огромному инитрды захламлять его диски?!так это ж федора. будь ему интересно удалять весь шлак - удалил бы федору. а так, ядро на случаи факапов с конфигом и переноса, сам на самосборе. Типичный сетап такой, если не устраивает дистрибутивное ядро.
> К тому же ж в нем - увизгвимостя!!!! Нет, нет. Не надо
> ТАК обесценивать ведущего эксперта лора и опеннета. Не мог он такое
> допустить! Конечно нет у него никакого дистрибутивного ядра. Будет с live
> cd какого-нибудь страдать (жаль что у федоры его нет) и героически
> превозможет!дык какая проблема раз в 10 лет с заменой железа или сдохшей материнкой накатить лайв с убунтой?
нет, блин, удалять модули rm -rf, и пересобирать инитрд с каждым обновлением ядра. Что ты несёшь вообще? :-D>> удали файлы трекаемые пакетником,
> kokokokoкой ужос?! Мир рухнет если удалить файлик! Ты будешь навеки проклят! Его
> (с придыханием) трекает пакетник!ты предлагаешь стоя в гамаке, потому что бёрди (видимо здесь что-то личное) посмел собрать своё ядро? :-D
>> пересобери инитрд, и не надо ничего делать. вообще!
> оооо! Вот это особенно сложно! Это прям высшая магия, доступная лишь избратым!
> Одна лишь подготовка к ритуалу - месяц поститься требует.
> time mkinitrd initrd `uname -r`
> Creating: target|kernel|dracut args|basicmodules
> 13.451u 2.355s 0:08.55 184.7% 0+0k 105560+68256io 110pf+0wну, пересобирай с каждым обновлением ядра, не забудь удалять модули с каждым обновлением.
это же так несложно. :-D
> ты предлагаешь стоя в гамакеКоманда rm выполняющаяся долю секунды - это стоя в гамаке.
Вот ведро пересобирать - это да, это копеечные затраты.> ну, пересобирай с каждым обновлением ядра
ты не поверишь...
> не забудь удалять модули с каждым обновлением.
напиши себе скрипт.
Ах, нет, это опять слишком сложно и ниправильно с рилигиозной точки зрения.Вот то ли дело ведро каждый раз целиком пересобирать. И когда модуль все же понадобится, чтобы подключить неожиданно новую железку - снова.
Что в головах местных экспертов кроме дерьма?
>> ты предлагаешь стоя в гамаке
> Команда rm выполняющаяся долю секунды - это стоя в гамаке.а ты только выполнить команду rm предложил? rm --help небось, да? прекращай шланговать. :-D
> Вот ведро пересобирать - это да, это копеечные затраты.
обычные затраты. git pull && make ...
>> ну, пересобирай с каждым обновлением ядра
> ты не поверишь...не поверю что ты реально такой предприимчивый, а не траллишь? не, не поверю. скорей ты на венде сидишь, отсюда и rm /lib/modules/* и прочие о%уительные советы из мира виндузятников.
>> не забудь удалять модули с каждым обновлением.
> напиши себе скрипт.лол, rm долю секунды.
> Ах, нет, это опять слишком сложно и ниправильно с рилигиозной точки зрения.
а скрипт который соберёт ядро это правильно с твоей рилигиозной точки зрения или уже нет?
> Вот то ли дело ведро каждый раз целиком пересобирать. И когда модуль
> все же понадобится, чтобы подключить неожиданно новую железку - снова.старость? не собирает он с модулями. :-D
> Что в головах местных экспертов кроме дерьма?
сделай себе трепанацию у зеркала, узнаешь.
> а ты только выполнить команду rm предложил?да. Ну и при желании - еще одну, time которой тебе показал.
> обычные затраты. git pull && make ...
безусловно это гораздо быстрее
(особенно вот в варианте git pull и разбирательствах что ж там сегодня в стабильном нонсенсе поменялось)
В общем, ты феноменально т-пой. Все что требовалось знать о местных пересобирателях ведер. (Причем судя по процитированному - и это тебе только во сне снилось)
>> а ты только выполнить команду rm предложил?
> да. Ну и при желании - еще одну, time которой тебе показал.и initrd. и записать эту мантру в скрипт. и выполнять после каждого обновления ядра.
я записываю твой генеративные советы, похнах. буду рассказывать линуксоидам во дворе. :-D>> обычные затраты. git pull && make ...
> безусловно это гораздо быстреемне без разницы что на фоне выполняется: компиляция или рассчеты. я в отличие от тебя, не дуплюсь в экран, и жалусь потом на форуме на плохой линукс.
> (особенно вот в варианте git pull и разбирательствах
а если качаешь тарчик разбирательства не нужно? а если удаляешь из пакетированного ядра файлы, разбирательства не нужны? скажи, а ты все модули удаляешь, или только n_gsm? самбу удаляешь, ммм? или как виндузятник, ты будешь стродать, плакать, колоца, но нет, низашо! святое! :-D
> что ж там сегодня в стабильном нонсенсе поменялось)
и что же?
> В общем, ты феноменально т-пой.
а ты феноменально умный, я серьезно. ради тебя и тебе подобных тока и хочу на опеннет. почитать копинг стратегии вчерашних виндузятников в линуксе. они обалденны.
> удали файлы трекаемые пакетникомХЗ, как в Федоре, а у нас, в Арче, добавляется строчка в pacman.conf, чтобы не распаковывать какие-то отдельные файлы по маске пути, а после переустанавливается содержавший файлы пакет. И этих файлов в системе больше нет и не будет.
> кроме того самого core2duo с единственноверным набором платок, под который героически собрано.
> А когда он у тебя сгорит - выяснится что на другой матери ты загрузиться и не можешь - вообще.Ему нравится экспериенс в стиле опеннет - это когда ты с мылом в ... носишься по всему городу, пытаясь найти ИМЕННО ТАКОЙ СЕРВЕР С ТАКОЙ МАМКОЙ - ибо супер-допиленый мега-кастом работает только на вот таком. А то что оно уже десять лет как не в фаворе - отлично, вот вам и квест "попробуйте-ка это вообше найти" подвалил. Зато сразу жизнь намного менее серая и скучная.
> Потому что может вообще никакого ahci на какой-то коробке и не быть (ну или не
> подключено к нему ничего), а быть какой-нибудь lsi или perc.Блин зачем тому алмину локалхоста этот твой lsi?!
> one-true pentium mmx о восьми мегабайтах?) - просто освобождаются?
Единственный реальный минус от них - ну вот на распаковку этой байды время таки - уйдет. Но с LZO или LZ4 его не заметно даже на хилых железках будет.
> Ну и да, для сесурити хрю абскурити необходимо и достаточно - rm /lib/modules/*/
Можно такде запретить грузить новые модули после загрузки. Или вкатить usb девайсам untrusted режим по умолчанию.
> И не надо часами греть воздух и др-ть на бегущие строчки каждой новой версии ведра. Вообще.
А таки если ты не заметил, до уьунты более 10 лет допирало что хороший кернел это dynticks+nohz full+1000Hz таймеры. А я вот >10 лет наслаждался линухом который не лагает, low latency и вообще. Так прикольнее было. А целый 1 % профака перфоманса - не стоит угроханой латенси и жора электричества, особенно на десктопах, лаптопах и проч.
Просто видишь, у некоторых есть - ритуалы. Ради ритуалов. А у некоторых - рациональное осмысленное движение к цели.
> Блин зачем тому алмину локалхоста этот твой lsi?!я например в него диски втыкаю. А тому не знаю - может украшает им жилище...
> Единственный реальный минус от них - ну вот на распаковку этой байды время таки - уйдет.
ох уйдьоооооттт...
PS> (get-date) - (gcim Win32_OperatingSystem).LastBootUpTime
Days : 103
Hours : 22
Minutes : 3(а линOOпсям неповезло и у них батареи не пережили шестичасовое отключение электричества две недели назад)
> Можно такде запретить грузить новые модули после загрузки.
и попытавшись подключить новый могильник (или кстати просто новый хуавейский модем) - пойти перезагружаться, вот, кстати, и суперпупероптимизации пригодились... но проще и быстрее было бы модуль загрузить.
> линухом который не лагает, low latency и вообще
fstrim /
... %"!%, wtf? ^Z ... %";%" wtf? Заход с соседней консоли...аааа...оно так работает, все в порядке."Ну что, сынку, помогли тебе твои бесконечные пересборки?"
> я например в него диски втыкаю. А тому не знаю - может украшает им жилище...Мне кажется что хомячки таки предпочитают что-то более хомячковое. Даже если и пытаются иногда косить под гордого суслика.
И кстати его бла-бла, кажется, имеют некие проблемы с факт-чеком. В частности билдить кастомные, и особенно - свежие - ядра с нвидиядрайвером - такое себе счастье.
>> Единственный реальный минус от них - ну вот на распаковку этой байды время таки - уйдет.
> ох уйдьоооооттт...Ну да, сколько-то миллисекунд аж. Хотя если сдуру там gzip или тем более xz какой вкатить, вот там уже заметно будет. Одна из причин популяризации zstd - жмет лучше gzip, а распаковывается быстрее и gzip и тем более xz.
> Days
> : 103Я и год аптайма видел - при том на систеках лично моего разлива, на основе демьяна. На мой вкус это более прикольная ачивка по целому ряду пунктов ;)
> (а линOOпсям неповезло и у них батареи не пережили шестичасовое отключение электричества
> две недели назад)Мелочь хороша тем что ее при желании можно на пару суток подпереть не разорившись особо :).
> и попытавшись подключить новый могильник (или кстати просто новый хуавейский модем) -
> пойти перезагружаться, вот, кстати, и суперпупероптимизации пригодились...Ну тут уж кому что. Зато и хаксор с badUSB с этой дилеммой столкнется, и рестарт все же довольно заметная штука для многих систем, вызовет вопросы.
> но проще и быстрее было бы модуль загрузить.
Ну так атакующему тоже проще. И тут вопрос что в приоритете. Системы и приоритеты разные бывают.
>> линухом который не лагает, low latency и вообще
> fstrim /У меня на таких вещах btrfs с async discard. Там тримать в больших объемах чисто технически нечего. Поэтому на моих системах данный класс проблем просто не существует. Сюрприз!
> "Ну что, сынку, помогли тебе твои бесконечные пересборки?"
Умение скилла системщика проверяется просто: если он хотя-бы себе сдать карты в масть может, это нормальный чувак. А если он только плюется и жалуется... ну вы поняли! Надеюсь это объясняет почему я не воспринимаю тебя всерьез как эксперта по линухам.
> И кстати его бла-бла, кажется, имеют некие проблемы с факт-чеком. В частности билдить кастомные,
> и особенно - свежие - ядра с нвидиядрайвером - такое себе счастье.полагаю, он однажды собрав свое 4.18, больше ничего уже не собирает
> Ну да, сколько-то миллисекунд аж. Хотя если сдуру там gzip или тем более xz какой вкатить, вот
> там уже заметно будет.несколько миллисекунд аж будет. Не, не заметно.
>> Days
>> : 103
> Я и год аптайма видел - при том на систеках лично моего разлива, на основе демьяна. На мой вкус
> это более прикольная ачивкана мой вкус это misachivement - год без обновлений... такое себе. Я тут не аптаймом меряюсь, д-лы б-ть, а мягко намекаю что экономия аж целых пятнадцати минут раз в три месяца никому нафиг не нужна.
>>> линухом который не лагает, low latency и вообще
>> fstrim /
> У меня на таких вещах btrfs с async discard.опять двадцать пять - уминянетименнотакойже ноги. (у xfs типа тоже он async, но почему-то именно здесь - вот... опять... пришлось вручную)
У тебя найдется двадцать других возможностей нагрузить диск чем-то таким что будешь вспоминать древний анекдот про "настоящую операционную систему" со всеми своими low latency. (поскольку проблема не на уровне fs вообще ни разу)
> Умение скилла системщика проверяется просто: если он хотя-бы себе сдать карты в масть может,
> это нормальный чувак.нет. Это др-р с локалхостом и единственным экземпляром умных ворот. Потому что на втором чуточку отличном экземпляре вся его экспертиза рассыплется. Оне то не проходили, это им не задавали.
А скил системщика - уметь починить любую (любую а не из списка с одним пунктом) сложную хреновину, повертев ее некоторое время в руках. Мне вот в очередной раз удалось.
+1, за дефолтные ядра. уязвимость играет роль на сотне серверных инсталах, а там birdie ядро вручную собирать не будет.
чего ет не будет?Как то есть не собирать?! А где же гордость экспертными знаниями и собственная незаменимость?
Ну и оказывается это еще и ldisc, с ентим все хуже - его наверное даже для pty можно попросить.
На "практически любом" железе оно может запускаться потому, что initramfs размером эдак с 20 Мбайт имеется.
>Рехнутся можно что они туда напихали.ну вот в дебиане 7.9МБ, разница невелика. Зато я не называю LUKS извратом, а наоборот мастхэв. Даже если у тебя не ноутбук. Вот представь у диска электроника вылетает. Как ты его по гарантии отдашь, если он не зашифрован ЗАРАНЕЕ?
про ноуты молчу...
> Вот представь у диска электроника вылетает. Как ты его по гарантии отдашь, если он не зашифрован
> ЗАРАНЕЕ?да так и отдаст - какая печаль что гарантийному ремонтнику станет виден его самобытный аналогов не имеющий vmlinuz? Ничего ценного у таких деятелей на диске-то и нет.
> security through obscurity\Где здесь obscurity? Просто уменьшение поверхности атаки, часто только гипотетическое
(чтобы загрузить тот самый уязвимый код может понадобиться рут).
> ls -laЕсли речь еще про модули, то du -sh /lib/modules/$(uname -r) или как там у вас.
> zen3Почему так? Патчите Makefile под какие-то мутные march флажки? Кажется это не рекомендуемо
и даже может стрельнуть
> (чтобы загрузить тот самый уязвимый код может понадобиться рута может не понадобиться. Это ж вообще-то обычный tty.
Походя воткнуть имитирующую его флэшку в чужой серверок в соседней с моей стойке - точно-точно ведро автоматом чего не загрузит?> Почему так?
надеюсь что это CONFIG_LOCALVERSION - надо же ж как-то различать свои аналогов не имеющие ведра. Они ж у него под каждую железяку - отдельно.
Стрельнуть у него с гораздо большей вероятностью может тот факт, что кастрированное ведро просто не взлетит на другой железке, когда сгорит рабочая.
> Загрузка через initrd вообще выключена - многие не знают, что можно грузиться без него.По моим ощущениям подавляющее большинство не видит смысла в initrd и готово убить Поттеринга за то, что тот сделал initrd необходимой вещью. Или что-то в этом роде, я не вникал.
Я использую initrd ради бизибоха, который доступен даже тогда, когда рут не смонтирован. Всякие загрузочные флешки у меня не доживают до момента, когда они понадобятся, но вот initrd очень полезен. Несколько пересекается с функционалом grub, но у grub крайне ограниченная командная строка, и нет возможность слазать в гугл и почитать там о своей проблеме.
Хотя, наверное, гугл сегодня не важен, потому что всегда есть другой девайс, типа смартфона, с которого можно загуглить. Но мне всё равно с initrd спокойнее.
>> Загрузка через initrd вообще выключена - многие не знают, что можно грузиться без него.
> По моим ощущениям подавляющее большинство не видит смысла в initrd и готово
> убить Поттеринга за то, что тот сделал initrd необходимой вещью. ИлиПодавляющее большинство местных кекспертов не переросли уровень детсада.
> Хотя, наверное, гугл сегодня не важен, потому что всегда есть другой девайс,
> типа смартфона, с которого можно загуглить. Но мне всё равно си если в гугле после пятой попытки уточнить запрос находится только твой же вопрос заданый каким-то латиносом три года назад на какой-то полумертвой борде и оставшийся без ответа - такой кексперт куксится и разводит ручонками.
P.S. что-что а вот писькинбокс встроенный в initrd мне за тридцать лет с линуксом не понадобился вот ни разу
Без SATA AHCI support ? Жить на PATA так себе
как обычно мой дебиан с 4.19 ведром не уязвим! это же надо так.... даже не интересно...
Наверное уязвим , проверь ядро на видюхе от nvidia колом ещё и встанет. Пока только хордкор 5.6.0
хорошо.
присылай видюху, а я проведу столь увлекательный и важный эксперимент.
Самое забавное что любой npm build, или cmake запускает произвольный код (зависимостей зависимостей и т.д.) от своего пользователя, который может получить root.Куда-то не туда linux свернул в плане безопасности. Зато новый инсталлятор в Ubuntu!
Поддерживаю мысль.
Всё больше людей пользуется всем "из коробки", даже не разбираясь, что в ней.
Откровенно проигрышная стратегия. Да, не завтра, но, к сожалению, обязательно.
>Всё больше людей пользуется всем "из коробки", даже не разбираясь, что в ней.Представляешь, всё больше людей управляют автомобилем "из коробки", даже не разбираясь в зажигании, свечах, коробке передач и т.п. Максимум их знаний: бензин, долив масла и омывайки, а о плановом ТО напиминает сам.
>Откровенно проигрышная стратегия
Это называется прогресс.
Ну хорошо, что такие хоть про бензин-то знают. Вспомнился эпизод из "Не родись красивой", как там секретарша Вика купила себе новую тачку :)
И гибнут. То от глюков ПО автомобиля. То от взломов. Так себе прогресс
Ты, видимо, прошивки для своего авто сам пишешь?
А как, интересно, защитит тебя от кражи автомобиля знание того, где находятся свечи зажигания?
Напомню, что контекст был такой, что каждый человек просто обязан знать, что происходит внутри его автомобиля. Иначе, типа, ездить невозможно.
> Ты, видимо, прошивки для своего авто сам пишешь?
> А как, интересно, защитит тебя от кражи автомобиля знание того, где находятся
> свечи зажигания?хха! Он свечи вывернул, в карман сложил и домой пошел! А вот попробуй теперь укради!
(жаль что его дедушкина копейка уже даже армянам на рынок не нужна, а у субары чтобы открутить свечи надо сперва...открутить двигатель....б-ть... Поэтому без подъемника там делать нечего.)
Правильно! Вот я, такой нехороший, пошел купил чашку, достал из коробки и пью чай с попкорном.
А мог бы пойти на речку, накопать глины, замесить ее, обжечь в печке (которую еще нужно построить).Я уже молчу что хлеб я не сажаю и картоху не копаю.
Это до той поры, пока чашку не взломают по сети и не заставят её мышьяка в кофе подсыпать удаленно
вычислят по ip?
Если коробка выполняет строго определённый набор функций и неможет его изменить - эта стратегия выглядит приемлимой. Правдо с ПК такая стратегия выглядит опасной.
> Самое забавное что любой npm build, или cmake запускает произвольный код (зависимостей зависимостей и т.д.)Какой еще произвольный код? Когда запускает? И как это относится к новости?
Ну я разработчик (или не дай бог админ или релиз-инженер). У меня всяких ключиков от репозиториев с кодов, паролей в chrome, ssh ключей просто куча.И я начинаю собирать софт. Вот во время сборки зависимостей выполняется произвольный код.
А часто ещё много утилит и программ из сорцов приходится собирать.Вот подсадить ко мне троянчика или keylogger от рута милое дело. Там можно читать память chrome где лежать все остальные ключи.
Т.е. это не просто эта уязвимость. Она умножается тысячекратно с текущей безопасностью в linux и мире IT (и всего где есть IT отдел - и танкеры, и нефтебазы, и т.п.)
> И я начинаю собирать софт. Вот во время сборки зависимостей выполняется произвольный код.Какой еще произвольный код? Почему именно при сборке зависимостей, а не основных сорцов? Как Линукс тебе тут должен помочь?
Извини, но это все какой-то бред...
> Ну я разработчик (или не дай бог админ или релиз-инженер). У меня всяких
> ключиков от репозиториев с кодов, паролей в chrome, ssh ключей просто куча.Если ты не научился за столько времени юзать виртуалки или контейнеры, может, ты должностью ошибся и переоценил свои скиллы? Не? А с вот этой виртуалки где я с тобой треплюсь - что ты упрешь? Даунлоады браузера? А они и так из интернета скачаны, ну и смысл канителиться с взломом, если можно просто скачать?! :)
> И я начинаю собирать софт. Вот во время сборки зависимостей выполняется произвольный код.У меня для тебя хреновая новость - в том самом софте (даже если у него нет зависимостей вовсе) - тоже произвольный кот. Более того - возможно часть его ты сам сознательно потом исполняешь от рута, потому что, кто бы мог подумать, для того и собирал.
(хотя чтобы спереть пароли из твоего чрома, рут не требуется)
Ну и да, добрый совет - не храни все ключики от всего под ковриком.
> Ну я разработчик%р3н0вый ты разработчик, Витюшка.
> (или не дай бог админ или релиз-инженер).
не дай бог, да.
> У меня всяких ключиков от репозиториев с кодов, паролей в chrome, ssh ключей
> просто куча.
> И я начинаю собирать софт.Витюш, софт собирают как минимум от другого пользователя с урезанными правами. Это самая базовая гигиена, Витюш. Мой руки перед едой, на всякий случай говорю.
> Т.е. это не просто эта уязвимость. Она умножается тысячекратно с текущей безопасностью
> в linux и мире IT (и всего где есть IT отдел
> - и танкеры, и нефтебазы, и т.п.)Ой Витюш, ну его на, эти рассуждения о мире ИТ, танкерах и нефтебазах. Го в кс го, я создал.
> Витюш, софт собирают как минимум от другого пользователя с урезанными правами. Этопрости, а запускать потом этот софт - ты вообще не собираешься?
> самая базовая гигиена, Витюш. Мой руки перед едой, на всякий случай
"вы вот руки после сортира - моете? - Да! - А надо - до." (с) венеролог
> И я начинаю собирать софт.Clean chroot.
> Вот подсадить ко мне троянчика или keylogger от рута милое дело. Там можно читать память chrome где лежать все остальные ключи.
Зачем так сложно? Память Хрома проще читать из самого Хрома. Как и подсаживать троянчика и кейлоггер. И, главное, без мороки и следов в публичных репозиториях. В браузере же любой произвольный код, загруженный из Интернета, выполняется. Подкинул ссылку на плохой сайт, заразил посетителей, удалилд сайт, разделегировал домен. Милое дело.
> Т.е. это не просто эта уязвимость.
Чтобы она сработала нужно иметь подходящее оборудование. Произвольный модуль ядра сам-собой не загрузится, а ручная загрузка требует привилегий.
> Чтобы она сработала нужно иметь подходящее оборудование. Произвольный модуль ядра сам-собойнет
> не загрузится, а ручная загрузка требует привилегий.как много же открытий чудных ждет кекспертов опеннета...
впрочем, нет, не ждет. Они даже не узнают.
> Вот подсадить ко мне троянчика или keylogger от рута милое дело. Там можно читать память chrome где лежать все остальные ключи.Так украдут твою кредитку и пароль от аккаунта на опеннете, на что всем пофиг. Репозитории даром никому не нужны: код любой дурак написать может, так что ценность его околонулевая за редким исключением (и это исключение не ты). SSH-ключ от твоего подкроватного локалхоста тоже интерес представляет только комический. Что ты там на локалхосте собираешь тоже никому не интересно, в прод это попасть не может, да и произвольного доступа к проду у тебя тоже нет и быть не может. Так что проблема актуальна только для подвальных шараг, где всё делается на отъ€бись. Приличные люди zero trust у себя внедряют. Можешь посмотреть на примере недавней попытки взлома CloudFlare — нашли дырку, залезли, потыкались по углам и ничего в итоге сделать не смогли.
Зачем вообще драйвер модема - в ядре?
Надо переходить на микроядерную архитектуру.
> Надо переходить на микроядерную архитектуру.Правильно. Нет драйверов - нет вулнов в них. HURD и прочие миниксы - подтвердят! Попробуй их воообще с теми GSM модемами подружить?! Вот то то и оно!
Драйверы есть, и, во-первых, инкапсулируются в выделенном адресном пространстве, во-вторых, в значительной степени изолированы от другого кода операционной системы, и в-третьих, закрыты IOMMU.
Я имел ввиду ядра Фантом ОС или L4, а не такие старые. Драйвер портируется за день из дружественного Линукса.
Например, huawei-ый LTE (4G) "свисток". Там двухядерный ARM. На одщном ядре --- какой-нибудь VxWorks (уже rip), на втором --- Linux; общаются между собой по serial поверх usb. Вот тут им мультиплексировать хочется. Ну, и в сторону хоста тоже может быть.
и что работа с /dev/ttyX теперь только из ядра возможна?
Меня конечно искренне восхищает уровень сегодняшней минитюаризации, когда в копеечной "флешке" не то что микроконтроллер с простецкой ртос может быть, а вполне себе микрокомпьютер с настоящим линуксом
Покажи такое людям лет 40-50 назад - решили бы что с ума сошли, или в пришельцев/машину времени поверили бы)
> Меня конечно искренне восхищает уровень сегодняшней минитюаризации, когда в
> копеечной "флешке" не то что микроконтроллер с простецкой ртос может быть,
> а вполне себе микрокомпьютер с настоящим линуксомТам и то и другое. Нечто типа Cortex M3 для начальной инициализации, power mgmt и быстрых низкоуровневых вещей. Cortex A ядро VxWorks - для реалтайм части GSM стека. И еще Cortex A ядро (другое) - для Linux как юзеринтерфейса к всему этому, ворочает эмуляцию AT команд, usb-ethernet абстракцию, или там что еще, в том числе и вон ту вебморду управления.
Пару DSP ядер для heavy lifting типа крипто и сжатия голоса вообще не стоят упоминания ибо врядли вы их увидите и тем более станете выполнять там код. Но они есть. Современный чип по сложности - как небольшой город.
В двухголовый бы ещё поверил, но это оверкилл.
А так - пример бредовый. Чей MMU-то?
а в гугле тебя забанили?Он именно двухядерный. Но ооочень странной архитектуры. Чей там mmu (и есть ли он в 64 мб вообще) - не знаю, но на каждом ядре там действительно своя ос. Можешь даже в ее шелл залезть, на некоторых анлокнутых модельках. Помимо свистков, такое использовалось в китайских экшнкамерах. Ну и наверное не только.
(впрочем, после слишком близкого знакомства с big.LITTLE мне уже никакие чудеса армовской архитектуры не кажутся особо уж странными)
> Чей там mmu (и есть ли он в 64 мб вообще)Однозначно есть. И линуховое ядро без MMU не обойдётся. Там скорее всего двухголовая SoC с независимой памятью, но тогда получится что это не два ядра, а по сути два арма.
Тем более, что если на это завязать один чип DRAM - они будут мешать друг другу, что для реалтаймной части, ну, ты понял.
ты не поверишь, но таки он там один. И чип один.
> ты не поверишь, но таки он там один. И чип один.Да почему не поверю-то, поверю, там SoC. Но вот в дуальный линух-RTOS в конфигурации именно на два _ядра_ ARM, которые комбинированные с одним MMU - не верю, это даже не изврат, а просто гиблое дело.
>> ты не поверишь, но таки он там один. И чип один.
> Да почему не поверю-то, поверю, там SoC. Но вот в дуальный линух-RTOS
> в конфигурации именно на два _ядра_ ARM, которые комбинированные с одним
> MMU - не верю, это даже не изврат, а просто гиблое
> дело.Самый обычный двухядерный ARM. MMU, естественно, у каждого свой. Включают ли на ядре с VxWorks MMU --- я не знаю, мне это было не интересно. Поскольку mailbox'ом там никто не озаботился, они и общаются через внешнюю периферию. Может, оно и целесообразно --- mailbox денег стоит, а пропускная способность/латентность их устраивала. Типовое железо, дёшево.
Свой MMU у каждого ядра - это уже не двухядерный арм, а по факту два арма. Разница есть.
> продемонстрировано в Fedoraи главное неясно, зачем этот "супер нужный" модуль для десктопа у первой встречной домохозяйки, лежит в kernel-modules.x86_64, а не в kernel-modules-extra.x86_64 который по умолчанию не ставится), а лучше вообще в какомнить kernel-modules-extra-extra.x86_64
В openSUSE этот драйвер вообще в kernel-default.
в чем прикол, ведь модуль может только рут загрузить?
А дергать ioctl может кто угодно и в итоге стать рутом
Прикол в том, что если он у вас загружен, мы получаем отличный хз ссш (простите).
> Через манипуляции с ioctl можно добиться обращения к памяти после её освобождения (use-after-free).ha-ha, classic!
> начиная с 5.15
т.е с 31 октября 21 года и до августа 23го
любой процесс мог получить рута..Прелесно, просто прелесно!
Ядро просто превосходит все мои ожидания.
На что спорим ты бы даже такое дырявое ядро не написал?
> На что спорим ты бы даже такое дырявое ядро не написал?Он вообще не умеет в программирование, иначе бы такие глупости не писал.
> 0-day уязвимость в драйвере n_gsmПрошло всего 11 дней с предыдущей новости про дыряшечную уязвимость, и тут новенькая, причем 0-day!
Это даже круче чем бэкдор в сетевых хранилищах D-Link!
Там хотя бы г̶о̶л̶о̶й̶ ̶ж̶о̶п̶о̶й̶ портом в инет светить нужно было, а тут любая аппа может апнуться до рута!Ну а фикс как всегда поражает воображение - просто перепутали порядок инициализации.
Не, ну бывает, там же такие необъятные объемы кода, целые 7 (семь) строк с 3045 по 3051. Это очень сложно для таких продвинутых погромистов...
Нам всем тоже это не очень нравиться, но пока у нас неполучается сделать ядро лучше Линукса или хотябы на том же уроне... :D
> Прошло всегоа че, их когда-то не было? в какой версии?
Судя по дискуссии в почтовой рассылке ядра уязвимость оставлена нарочно "по историческим причинам". Для отказа от "исторической" дыры необходимо добавить в автозапуск команду «sysctl -w dev.tty.ldisc_autoload=0».
Через модпробе не проще выгрузить и обновить инитрамфс и занести в блеклист?
Уязвимость заключается в том что любой пользователь может загрузить в ядро любой драйвер из серии «tty line discipline». Даже дырявые драйвера для устройств из 1980-х.
Ерунда там депенденси мешает это надо измудриться найти и собрать нужный модуль , бинари воруют не хотят собирать , будет кто то голову морочить со сборкой , поехавшии НИИ имени не имени
временная мера:/etc/modprobe.d/blacklist.conf:
blacklist n_gsm
install n_gsm /bin/true
Печально всё это, помню 2000-е.... фанбои виндовса тогда говорили "вот станет ваш линукс чуть популярнее и тоже 100500 дыр найдется". Как в воду глядели.
Меня больше забавляло, да и в общем-то забавляет, как рассказывали:
"Вот, винду пишут какие индусы, там куча багов, они фиксы каждый четверг рассылают.
А вот линукс пишут лучшие из лучших! Тысяча глаз смотрит, чтобы там не было ошибок!"В итоге... ылитка оказалась не такой уж ылиткой, а диды оказались бракоделами.
Нужно было просто присмотреться или пройтись по кодам современными тулами.
Просто тыщща глаз смотрела куда-то не туда все эти годы))
> А вот линукс пишут лучшие из лучших! Тысяча глаз смотрит, чтобы там не было ошибок!"А потом такой через пол-года после релиза скачиваешь 400 апдейтов на пол-гига разом, примерно каждый первый пакет - тоооочна, смотрют!
> Тысяча глаз смотрит, чтобы там не было ошибок!А этот быг ты сам нашел, или всё-таки тысяча глаз?
> диды оказались бракоделами
Просто они были инженерами, самостоятельно решавшими актуальные задачи, а не маркетолухами на всём готовом, торгующими мифической безопафосностью, толком ничего не умеющими, кроме плаканья в Интеренетике, что никто им попку не подтирает, так и ходят с грязной, прикрытой фиговым листком, не забывая набивать себе цену за чужой счёт.
В винде постоянно одни дыры за другой находят. И многие - zero day.
> В винде постоянно одни дыры за другой находят. И многие - zero day."А у вас негров линчуют!"
Ясно-понятно.
В ядре? Или в смеси ядро, набор приложений, графический стек?
>В винде постоянно одни дыры за другой находят. И многие - zero day.Это не так. Я помню смешные времена, когда вантуз (ХР вроде) без фаервола высовываешь в инет на белый IP и через 1-2 минуты там всё в троянах и ботнетах. Такого уже давно нет, ну петя несколько лет назад был, а так особо и не вспомнишь (чего-то работоспособного).
В линуксе, справедливости ради, тоже ещё до такого не дошло. Текущее состояние по ремонтым дырам - паритет (если на линуксе ну хотя бы вебсервер и smb отрыто
А почему вас это интересует? Хотите поговорить об этом? Вас что-то беспокоит?