Кристиан Браунер (Christian Brauner), лидер проектов LXC и Incus, один из сопровождающих glibc и участник разработки systemd, обнаружил в коде подсистемы ядра Linux VFS (Virtual File System) проблемы, которые могут привести к краху, повреждению данных или проблемам с безопасностью....Подробнее: https://www.opennet.dev/opennews/art.shtml?num=61620
Сейчас местные объяснят, что это всё из-за нвидиевских блобов. И вообще неймспейсы надо сразу отключать, а то что они нужны песочницам, так под рутом удобнее работать, зачем ещё какие-то песочницы суперпользователю?
Ну нет же сейчас прибегут скажут виновата сишка.
Не передергивай, сишка (сишкопрогеры) виновата в 70% ошибок. Если кто-то в коде перепутал ">" и "<", сишка, конечно, не виновата и раст тоже такого не исправит. Но зато подавляющее большинство именно критических уязвимостей, имхо, значительно больше 90% из них, вызвано как раз этими самыми 70-тью процентами ошибок работы с памятью, а не "логическими" ошибками, подобными сабжу. Хотя конечно бывает и из-за "логических", типа когда запутывались с игрищами с "../../" в песочницах и т.п, но их значительно меньше среди причин критических уязвимостей.
> Не передергивай, сишка (сишкопрогеры) виновата в 70% ошибокне дописал "... которых можно было избежать"
> не дописал "... которых можно было избежать"Хруст и от логических ошибок помогает? Это видимо на манер "comet и микробов убивает - если #$%нуть посильнее!"
Про пространства имён ты прав. Сейчас в эпохувиртуализации без них не обойтись. А вот к чему ты Невидию приплёл к VFS? Тем более, что у полрвины анонимов AMD Video.
Там блоб повреждение в btrfs недавно вызывал на рк ядрах, из того, что я понял по описаниям. Теперь это любимая тема. Насчёт половины не уверен, в половину с интелом я ещё поверю.
> Невидию приплёл к VFS? Тем более, что у полрвины анонимов AMD Video.Нвидия прославилась тем что грохала файлухи, разрушая память толи левыми обращениями ядерного модуля, толи кривым DMA.
Я видел несколько тушек у которых XFS и EXT4 резко и внезапно сдохли. А потом какой-то btrfs'ник вывел этот треш на чистую воду, заметив что с модулем нвидии ор про csum error, а без - нет. Ну и вот тут уже и ежику понятно "почему дохнут файлухи". Ну а нвидии поюс в карму за такое, соответственно.
Это так, к вопросу о пользе чексум в ФС. Иногда они отлавливают очень странные вещи.
> Сейчас местные объяснят, что это всё из-за нвидиевских блобов. И вообще неймспейсы
> надо сразу отключать, а то что они нужны песочницам, так под рутом удобнее работать,
> зачем ещё какие-то песочницы суперпользователю?Как ни странно - одно другому не мешает. В этой лотерее вы проигрываете от ЛЮБОГО из факапов :). И так то хорошо быть казино - но в этом случае вам оно не светит.
любой адекватный анон знает что ядро надо переписать на Rust! всё остальное полумерыи никто не будет боятся блобов нвидии, если их будут писать на Rust
Желательно силами местных экспертов в погромировании и исключительно в тетрадке для пущей секурности.
Потенциально в лабораторных условиях, никогда не эксплуатировалась. Но переписать на сами знаете что надо. Это музыка будет вечной.
На Electron
Надо на сами знаете что, а получается на Electron...
А ведь Шишкин им говорил...
> А ведь Шишкин им говорил...Шишкин ничего не говорил. Он максимум лишь сказал, что "если название ФС не равно РейзерФС, то это плохая ФС". Больше ничего конкретного не сказал. А, ну еще назвал школьниками тех, у кого стабильно работает не-РейзерФС файлуха.
> А ведь Шишкин им говорил...Что Шишкин мог кому-то сказать - про VFS? И вообще какой смысл там что-то говорить? Talk is cheap, show us code.
Почему ещё не написали Systemd Virtual File System, куда смотрит Леонид?
> В подсистеме Linux VFS обнаружены проблемы, которые могут привести к повреждению данных и уязвимостямА в чём новость-то? Новостью это было когда в VFS такое впервые заметили, а это штатная ситуация.
> разработчик Сет Форши (Seth Forshee) из компании Digital Ocean исправил ошибку,Это не та ли компания, формальным главным в которой "отставной" старший офицер, и на площадках которой базируется львиная доля ботнетов?
> Это не та ли компания, формальным главным в которой "отставной" старший офицер,
> и на площадках которой базируется львиная доля ботнетов?Не, конечно, ботнетчики иногда покупают и "белые" хостинги - но вот Digital Ocean далеко не хучший из - и виноват только тем что относительно дешевый и попсовый.
...но это вы просто не видели абузоустойчивые хостинги, где может и CNC того самого ботнета весьма почтенное время жить - при всеобщем пофигизме такого хостера. Потому что за 300% прибыли бизнес готов и рискнуть сломать себе шею, все по Карл Марксу.
Мне, чесно, глубоко фиолетово, как там у них внутри. По попыткам атак океан если не первый, то уж в тройке точно.
> Мне, чесно, глубоко фиолетово, как там у них внутри. По попыткам атак океан
> если не первый, то уж в тройке точно.Да все просто: толпа долбоклюев покупает недорогие виртуалки на попсовом хостере. Ставят там суперсложные пароли типа admin123 (простите кто узнал свой пароль, придется его поменять).
Боты неспешно сканят все и вся, зная что это хостерский IP range. И конечно находят вон тех долбоклюев. Не сразу так чуть попозже, машины никуда не торопятся. А как угадали пароль - заливают копию себя и туда. И он теперь тоже один из них. И процесс продолжается.
Это не специфично для Digital Ocean. А как это нашествие выглядит знает любой кто сетапил сервак с ssh на 22 порту. Вы его еще нарулить не успели - а лог уже на мегабайта два отрос. Вот, уже проверяют - не подойдет ли admin123 или что там еще столь же умное.
А вот, оказывается, почему Btrfs падает с концами.