forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Локальная root-уязвимость в подсистеме inotify ядра Linux, opennews (??), 04-Авг-17, (0) [смотреть все]

Енжой ёр Си , Аноним (-), 23:02 , 04-Авг-17, (1) –22 //

Не все уязвимости сводятся к переполнению стека массива Гораздо больше логическ, Вареник (?), 23:07 , 04-Авг-17, (4) +17 //

На самом деле желание молодежи меньше работать и больше зарабатывать вполне поня, Аноним (-), 23:10 , 04-Авг-17, (6) +4 //

Офигенный идеал, зачем тогда погромист, платить ему 200 баксов за весь фигак-фиг, Онтон (?), 23:45 , 04-Авг-17, (12) +4

программисты против языков которые упрощают программирование, так как им платить, 564625145 (?), 08:02 , 05-Авг-17, (35) –1

Давайте, все настоящие программисты кодят только на асме и ниже , Анонс (?), 09:10 , 05-Авг-17, (40)
В мои времена программистам платили с доходов компании, и соответственно, чем бо, Старый одмин (?), 20:29 , 05-Авг-17, (65) +1

В мои времена им платили по 120 руб мес Белые халаты бесплатно , Аноним (-), 20:46 , 05-Авг-17, (66) +1

Это сразу после института Тогда верю, kerneliq (ok), 09:48 , 07-Авг-17, (81)

В СССР вообще ИТР-ы получали меньше работяг Глупость - но факт Не везде и не в, _ (??), 16:10 , 08-Авг-17, (87) +1

Написан непограммист Ты забыл третий ключевой пункт в сфере разработки ПО Поск, Аноним (-), 07:53 , 05-Авг-17, (34)

- Что это вы эту кривую двуногую табуретку везде с собою носите - Я её не ношу, , Аноним (-), 20:49 , 05-Авг-17, (67) +4

Это приводит к уменьшению заработка, Аноним (-), 10:53 , 07-Авг-17, (82) –1

А у них негров линчуют , да Здесь речь про race condition и переполнение буфер, Ordu (ok), 10:17 , 05-Авг-17, (41) +2 //

Смогли бы Если пришли к расту, предварительно изучив ассемблер и поработав го, Crazy Alex (ok), 12:24 , 05-Авг-17, (46) +2

Я не могу говорить определённо в силу отсутствия фактов -- раст действительно мо, Ordu (ok), 22:37 , 05-Авг-17, (70) +6

Тут верный способ рассуждений такой а кому ВЫГОДНО вкладываться в развитие Rust, pripolz (?), 17:20 , 11-Авг-17, (91) –1

Не совсем так Выгодно всем, кто хоть немного в теме Вопрос в том, кто вкладыва, Ordu (ok), 19:46 , 11-Авг-17, (92)

i чисто механически, следуя определённым правилам программирования, типа не ис, eganru (?), 15:05 , 05-Авг-17, (50)

Rust не позволить написать код, который одложит указатель в событие inotigy и од, pda (?), 16:03 , 05-Авг-17, (54) +1
Я сейчас потратил полчаса пытаясь изобрести краткое объяснение Мне не удалось э, Ordu (ok), 17:06 , 05-Авг-17, (55) +2

спасибо в общих чертах понял , egan_ru (?), 18:05 , 05-Авг-17, (60)
Это все простейшие примеры А логические гонки, когда, например первое что приш, Аноним (-), 12:33 , 15-Авг-17, (94) –1

При всём при этом, возникает вопрос, придется ли мучится, если реально логикой э, Аноним (-), 12:35 , 15-Авг-17, (95)

gt оверквотинг удален На такие случаи есть RefCell RefCell сам по себе immuta, Ordu (ok), 19:29 , 15-Авг-17, (97) +1

Чем эта гонка логическая Чтобы читать в или писать из File нужна mutable ссыл, Ordu (ok), 19:24 , 15-Авг-17, (96) +1

Что-то по поделкам на пыхе статистика не лучше Пожалуй, даже хуже Эдак на пару, Аноним (-), 23:07 , 04-Авг-17, (5) +8 //

М а с какой версии пых стал многопоточным , Аноним (-), 10:58 , 07-Авг-17, (83)

Давай, расскажи нам, какие языки позволяют избежать гонки , Аноним (-), 23:43 , 04-Авг-17, (11) //

хаскель с STM, анонимус (??), 00:15 , 05-Авг-17, (17) +2
Как ни странно, Rust Концепция владения и заимствования нацелена на разделение , irinat (ok), 00:54 , 05-Авг-17, (21) +5 //

Правильнее было бы сказать, что Rust позволяет предотвратить больше вариантов ra, angra (ok), 03:36 , 05-Авг-17, (26) +3

По идее он только от чего-то совсем тривиального сможет защитить - ценой довольн, Crazy Alex (ok), 15:33 , 05-Авг-17, (51)

Просто не нужно писать Си-код на Rust Так-то программисты могут писать фортран-, irinat (ok), 18:40 , 05-Авг-17, (61)

yet another просто не нужно писать код, если он не идеальный , только со своей , Аномномномнимус (?), 19:58 , 05-Авг-17, (64)

Те, которые многопоточность толкмо не могут, конечно В остальных - в крайнем сл, Crazy Alex (ok), 12:27 , 05-Авг-17, (48)
Тот же D Все обычные переменные локальны для потоков Т е если ты объявишь , Очередной аноним (?), 11:26 , 18-Авг-17, (98)

А что, есть ЯП где гонки невозможно сделать принципиально , Аноним (-), 18:48 , 13-Авг-17, (93) –1

А не слили 32-битный в качестве демки так вот о чём наши ядерщики на этой недел, Michael Shigorin (ok), 23:04 , 04-Авг-17, (2) –5
Не тому человеку дали Pwnie Awards, ой не тому , Аноним (-), 23:04 , 04-Авг-17, (3) //

Линус, помнится, вообще говорил, что уязвимости ничем от других ошибок не отлича, Аноним (-), 23:14 , 04-Авг-17, (7) +1 //

Прям Доктор Манхеттен , Аноним (-), 17:12 , 05-Авг-17, (56) –1

Как хорош все же canonical-livepatch uptime 343 daysА CVE-2017-7533 закрыт, как , Ergil (ok), 23:32 , 04-Авг-17, (9) +1 //

Сейчас бы в 2017 аптаймом меряться P S Недавно без сожалений ребутнул серер точ, Аноним (-), 00:05 , 05-Авг-17, (14) +3
Я в прицнипе не спорю, но аптайм - пофиг Если доступность действительно важна - , Crazy Alex (ok), 00:10 , 05-Авг-17, (16) +7 //

еще бывает банальное - доступность важна, но денег на полноценный резерв нет и , пох (?), 12:19 , 05-Авг-17, (45) +4 //

Это называется админ считает, что доступность важна, менеджер - что нет Бывае, Crazy Alex (ok), 15:39 , 05-Авг-17, (52)

есть еще распространенный вариант - вы же специалисты, сделайте нам бесплатно , пох (?), 13:07 , 06-Авг-17, (73) +1

Я вам просто напомню http www opennet ru opennews art shtml num 36401, asdsdsa (?), 01:50 , 05-Авг-17, (25)

и где ссыль на exploit , Sfinx (ok), 23:50 , 04-Авг-17, (13) –2 //

Сказал же, что уязвимость локальная 8212 вот и ищите на http 127 0 0 1 , Аноним (-), 00:35 , 05-Авг-17, (19) +12 //

Недоступно http hnng moe f T9s, Аноним (-), 00:49 , 05-Авг-17, (20) //

Судя по скриншоту, локализация тоже полетела, так что, похоже, проблемы глобальн, Аноним (-), 00:55 , 05-Авг-17, (22)

Вы не видели ua_UA UTF-8 похоже , Аноним (-), 00:56 , 05-Авг-17, (24) +2

Нет, это кое-кому отказало чувство юмора Не говоря о том, что ru_RU UTF-8 и en_, Аноним (-), 10:36 , 05-Авг-17, (42) –1

А если чувства юмора у человека нет и не было Прошу прощения, но если вы генерир, Аноним (-), 17:29 , 05-Авг-17, (59) +1

Типичный User localhost , Аноним (-), 00:55 , 05-Авг-17, (23) +1

вопрос был не об уязвимости а оссылке на exploit чукча типа писатель , Sfinx (ok), 13:20 , 05-Авг-17, (49) –2 //

а зачем тебе комиттеры в апстрим ядро и мэйнтэйнеры дистрибутивов получили репр, Мегазаычы (?), 15:49 , 06-Авг-17, (75) +1

крутой подход, мейнстримный, денежный, Аноним (-), 00:26 , 05-Авг-17, (18) +1
Пишите плиз корректно Человек делал глобальный cleanup - и случайно зацепил и э, Аноним (-), 08:12 , 05-Авг-17, (36) //

Ничего подобного, в багтрекере Red Hat сведения об уязвимости появились 6 июля, , Аноним (-), 08:29 , 05-Авг-17, (38) +2

Дыра в системе Пустяки, стабильность важнее , Аноним (-), 09:02 , 05-Авг-17, (39) –1 //

у вас просто недостаточно стабильный дебиан - в позапрошлой версии ядро без этог, пох (?), 12:24 , 05-Авг-17, (47) –4 //

действительно, это не rh с тремя сотнями патчейна штатное ядро Debian 8 сейчас и, бедный буратино (ok), 17:22 , 05-Авг-17, (58) //

а не хотите 15к патчей у шапки , Аноним (-), 20:53 , 05-Авг-17, (68) –1

я говорю про целых триста патчей , бедный буратино (ok), 21:15 , 05-Авг-17, (69)

ах простите Это ваш оппонент туфту гонит В 7 3 было 16k патчей - включая цель, Аноним (-), 09:16 , 06-Авг-17, (71)

как и у дебиана, большую часть можно просто выкинуть без вреда для себя Драйвер, пох (?), 13:25 , 06-Авг-17, (74) –1

это у тебя s360x никогда не будет и, возможно, даже юзерского шелла в такую сист, Мегазаычы (?), 15:54 , 06-Авг-17, (76)

ну, необязательно, есть же бесплатный debian systemZ это ж вроде 390 и есть , пох (?), 22:15 , 06-Авг-17, (78) –1

с inotify нельзя указать каталог и получать события при изменении любого подката, anonymous (??), 18:46 , 05-Авг-17, (63) –1 //

вроде была фича наследования флагов и подъема события по каталогам вверх , Аноним (-), 09:16 , 06-Авг-17, (72)
это не плохо, это защита от идиотов -разработчиков представь, что кто-то вешае, Мегазаычы (?), 15:56 , 06-Авг-17, (77) +1 //

Почему вешать inotify на это плохо , Аноним (-), 23:29 , 06-Авг-17, (79) –2 //

Вовсе не плохо Продолжай перебегать улицу на красный свет и вешать inotify на , Led (ok), 01:47 , 07-Авг-17, (80) +2

Почему перебегать улицу на красный свет плохо, мне объясняли Почему вешать inot, Аноним (-), 11:20 , 07-Авг-17, (84)

Учить дураков - тяжкий труд Труд, согласно Конституции, должен быть оплачен Тя, _ (??), 16:51 , 08-Авг-17, (88)
Для будущего асфальторовнятеля в модной оранжевой робе этого достаточно , Led (ok), 21:31 , 08-Авг-17, (89)

вот только ядра с этим коммитом вышли только вчера 4 12 5 и сегодня 4 9 41 4 , Sylvia (ok), 12:15 , 07-Авг-17, (85) –2 //

Так это для гентушников Для остальных давно вышли , Led (ok), 23:21 , 07-Авг-17, (86)

Сообщения [Сортировка по времени | RSS]

45. "Локальная root-уязвимость в подсистеме inotify ядра Linux" +4 +/–

Сообщение от пох (?), 05-Авг-17, 12:19

еще бывает банальное - "доступность важна, но денег на полноценный резерв нет и не будет, есть только аварийные системы".
но вообще-то лучше систем с аптаймами в годы избегать - рано или поздно оно случайно перезагрузится (причем не во время тихое, а в самый неподходящий момент), и тут выяснится, что два года назад что-то руками поправили, но при перезагрузке оно слетает, или наоборот, что-то поменяли, в том числе стартовые скрипты, а оно с ошибкой и ключевой сервис вообще не запускается.
как ни старайся быть аккуратным - все равно что-нибудь упустишь. А поскольку с момента исправления прошли десятки месяцев - не так уже и просто выяснить, кто, чего и зачем там трогал.
и это не говоря уже о том, какие прелестные возможности live patch предоставляет для прятанья следов pwning.

Ответить | Правка | Наверх | Cообщить модератору

52. "Локальная root-уязвимость в подсистеме inotify ядра Linux" +/–

Сообщение от Crazy Alex (ok), 05-Авг-17, 15:39

Это называется "админ считает, что доступность важна, менеджер - что нет". Бывает, ну там там жизнь покажет, кто из них прав (кстати, менеджеры оказываются правы гораздо чаще, чем кажется админам с программистами).
А вот насчёт забытых настроек и подобного - поддерживаю обеими руками. Причём ещё окажется, что владельца тайного знания год как нет. Примерно за это я люблю подход "что-то умерло - снести, врубить резерв" и прочие модные штуки вроде контейнеров, stateless-микросервисов и подобного - очень способствует переносу знаний из головы в конфигурацию.

Ответить | Правка | Наверх | Cообщить модератору

73. "Локальная root-уязвимость в подсистеме inotify ядра Linux" +1 +/–

Сообщение от пох (?), 06-Авг-17, 13:07

> Это называется "админ считает, что доступность важна, менеджер - что нет".
есть еще распространенный вариант - "вы же специалисты, сделайте нам бесплатно".
кто у нас там - банк разрытие вчерась навернулся, поскольку ниасилил резервную опту себе в датацентр (именно вот в момент, когда щисливые клиенты и без того обдумывают житье - то ли снять все вклады не взирая на штрафы, то ли снять все вклады и еще и текущий счет закрыть, и когда любой ценой надо изображать стабильность)?
(на самом деле еще и аван-гад туда же, но те быстро оклемались, часа два только ничего не работало)

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	45. "Локальная root-уязвимость в подсистеме inotify ядра Linux"	+4 +/–
	Сообщение от пох (?), 05-Авг-17, 12:19
	еще бывает банальное - "доступность важна, но денег на полноценный резерв нет и не будет, есть только аварийные системы". но вообще-то лучше систем с аптаймами в годы избегать - рано или поздно оно случайно перезагрузится (причем не во время тихое, а в самый неподходящий момент), и тут выяснится, что два года назад что-то руками поправили, но при перезагрузке оно слетает, или наоборот, что-то поменяли, в том числе стартовые скрипты, а оно с ошибкой и ключевой сервис вообще не запускается. как ни старайся быть аккуратным - все равно что-нибудь упустишь. А поскольку с момента исправления прошли десятки месяцев - не так уже и просто выяснить, кто, чего и зачем там трогал. и это не говоря уже о том, какие прелестные возможности live patch предоставляет для прятанья следов pwning.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	52. "Локальная root-уязвимость в подсистеме inotify ядра Linux"	+/–
	Сообщение от Crazy Alex (ok), 05-Авг-17, 15:39
	Это называется "админ считает, что доступность важна, менеджер - что нет". Бывает, ну там там жизнь покажет, кто из них прав (кстати, менеджеры оказываются правы гораздо чаще, чем кажется админам с программистами). А вот насчёт забытых настроек и подобного - поддерживаю обеими руками. Причём ещё окажется, что владельца тайного знания год как нет. Примерно за это я люблю подход "что-то умерло - снести, врубить резерв" и прочие модные штуки вроде контейнеров, stateless-микросервисов и подобного - очень способствует переносу знаний из головы в конфигурацию.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	73. "Локальная root-уязвимость в подсистеме inotify ядра Linux"	+1 +/–
	Сообщение от пох (?), 06-Авг-17, 13:07
	> Это называется "админ считает, что доступность важна, менеджер - что нет". есть еще распространенный вариант - "вы же специалисты, сделайте нам бесплатно". кто у нас там - банк разрытие вчерась навернулся, поскольку ниасилил резервную опту себе в датацентр (именно вот в момент, когда щисливые клиенты и без того обдумывают житье - то ли снять все вклады не взирая на штрафы, то ли снять все вклады и еще и текущий счет закрыть, и когда любой ценой надо изображать стабильность)? (на самом деле еще и аван-гад туда же, но те быстро оклемались, часа два только ничего не работало)
	Ответить \| Правка \| Наверх \| Cообщить модератору