The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В Linux ядре найдена уязвимость, позволяющая получить права ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от opennews on 04-Ноя-09, 18:43 
Во всех Linux ядрах серии 2.6.x найдена (http://www.securityfocus.com/bid/36901) серьезная уязвимость, позволяющая локальному пользователю выполнить свой код с root-привилегиями. Проблема вызвана возможностью разыменования NULL-указателя при выполнения определенных действий с неименованными каналами (pipe). Уязвимости подвержены большинство Linux дистрибутивов.


В качестве метода защиты можно запретить маппинг страниц по нулевому адресу через установку в отличное от нуля значение переменной /proc/sys/vm/mmap_min_addr.


Уязвимость очень похожа по своей сути на обнаруженную (http://www.opennet.ru/opennews/art.shtml?num=23014) в августе проблему в функции the sock_sendpage() и на представленную несколько дней назад уязвимость (http://www.opennet.ru/opennews/art.shtml?num=24073) в сетевом стеке OpenBSD. Кстати говоря разработчики OpenBSD уже успели обсудить (http://www.pubbs.net/openbsd/200911/4582/) скептическое отношение Линуса Торвальдса к проблемам безопасности, не желающего по ...

URL: http://www.securityfocus.com/bid/36901
Новость: http://www.opennet.ru/opennews/art.shtml?num=24113

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


3. "В Linux ядре найдена уязвимость, позволяющая получить права "  +1 +/
Сообщение от Аноним (??) on 04-Ноя-09, 18:52 
Еще в 30м ядре в одном из патчей к нему (.4 вроде) mmap_min_addr поставили в 4096. В дистрибуьтвах уже год наверно эту опцию форсируют на дистрибутивных ядрах. О чёи новость-то???
cat /proc/sys/vm/mmap_min_addr
65536
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "В Linux ядре найдена уязвимость, позволяющая получить права "  –3 +/
Сообщение от Аноним (??) on 04-Ноя-09, 19:04 
Проверил в последних версиях CentOS и Ubuntu:

cat /proc/sys/vm/mmap_min_addr
0

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "В Linux ядре найдена уязвимость, позволяющая получить права "  –1 +/
Сообщение от anarsoul on 04-Ноя-09, 19:12 
ubuntu 9.10:

cat /proc/sys/vm/mmap_min_addr
65536

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "В Linux ядре найдена уязвимость, позволяющая получить права "  +1 +/
Сообщение от pa23 (??) on 04-Ноя-09, 19:19 
про последнюю версию Ubuntu - вранье! Ubuntu 9.10:
$ uname -r
2.6.31-14-generic
$ cat /proc/sys/vm/mmap_min_addr
65536
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "В Linux ядре найдена уязвимость, позволяющая получить права "  +/
Сообщение от ABATAPA (ok) on 04-Ноя-09, 19:34 
# uname -a
Linux home 2.6.31-14-generic #48-Ubuntu SMP Fri Oct 16 14:05:01 UTC 2009 x86_64 GNU/Linux
# cat /proc/sys/vm/mmap_min_addr
0

Обратите внимание на архитектуру.
Так может, не стОит так категорично обвинять кого-то во вранье?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "В Linux ядре найдена уязвимость, позволяющая получить права "  +/
Сообщение от Alinaki (ok) on 04-Ноя-09, 19:41 
К слову:
alinaki@alinaki-laptop:~$ uname -a
Linux alinaki-laptop 2.6.31-14-generic #48-Ubuntu SMP Fri Oct 16 14:04:26 UTC 2009 i686 GNU/Linux

i686

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "В Linux ядре найдена уязвимость, позволяющая получить права "  +/
Сообщение от sergej email(??) on 04-Ноя-09, 19:52 
$ uname -a
Linux host 2.6.31-ARCH #1 SMP PREEMPT Fri Oct 23 10:03:24 CEST 2009 x86_64 Intel(R) Pentium(R) Dual CPU E2180 @ 2.00GHz GenuineIntel GNU/Linux

$ cat /proc/sys/vm/mmap_min_addr
4096

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "> Обратите внимание на архитектуру."  +/
Сообщение от poige (ok) on 04-Ноя-09, 19:55 
Ubuntu 9.10

$ uname -a
Linux mac-desktop 2.6.31-14-generic #48-Ubuntu SMP Fri Oct 16 14:05:01 UTC 2009 x86_64 GNU/Linux
$ cat /proc/sys/vm/mmap_min_addr
65536
$ grep mmap_min_addr /etc/sysctl.conf
$
$ grep MMAP_MIN_ADDR /boot/config-2.6.31-14-generic
CONFIG_DEFAULT_MMAP_MIN_ADDR=65536
CONFIG_LSM_MMAP_MIN_ADDR=0

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "В Linux ядре найдена уязвимость, позволяющая получить права "  +/
Сообщение от Neoponto on 04-Ноя-09, 19:57 
Ну ваще то дело обстоит так ;-)

user@user-nb:~$ uname -a
Linux user-nb 2.6.31-14-generic #48-Ubuntu SMP Fri Oct 16 14:05:01 UTC 2009 x86_64 GNU/Linux
user@user-nb:~$ cat /proc/sys/vm/mmap_min_addr
65536

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "В Linux ядре найдена уязвимость, позволяющая получить права "  +/
Сообщение от SR (??) on 04-Ноя-09, 20:06 
uname -a
Linux localhost.localdomain 2.6.30.9-90.fc11.x86_64 #1 SMP Sat Oct 17 11:25:35 EDT 2009 x86_64 x86_64 x86_64 GNU/Linux
cat /proc/sys/vm/mmap_min_addr
65536
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

113. "В Linux ядре найдена уязвимость, позволяющая получить права "  +/
Сообщение от Nuke on 07-Ноя-09, 11:17 
$ uname -a
Linux temp 2.6.31-gentoo-r4 #1 SMP PREEMPT Fri Oct 30 19:08:52 YEKT 2009 i686 Intel(R) Pentium(R) 4 CPU 3.00GHz GenuineIntel GNU/Linux

$ cat /proc/sys/vm/mmap_min_addr
4096

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "В Linux ядре найдена уязвимость, позволяющая получить права "  +/
Сообщение от Alinaki (ok) on 04-Ноя-09, 19:36 
Ubuntu 9.10
alinaki@alinaki-laptop:~$ uname -r
2.6.31-14-generic
alinaki@alinaki-laptop:~$ cat /proc/sys/vm/mmap_min_addr
0
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "В Linux ядре найдена уязвимость, позволяющая получить права "  +/
Сообщение от Аноним (??) on 04-Ноя-09, 19:37 
Убунту 9.10
$ uname -a
Linux 2.6.31-14-generic #48-Ubuntu SMP Fri Oct 16 14:05:01 UTC 2009 x86_64 GNU/Linux

$ cat /proc/sys/vm/mmap_min_addr
0

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "В Linux ядре найдена уязвимость, позволяющая получить права "  +/
Сообщение от gb03db on 04-Ноя-09, 19:51 
ubuntu 9.10
~$ cat /proc/sys/vm/mmap_min_addr
0

~$ cat /etc/sysctl.d/wine.sysctl.conf
# Wine needs to access the bottom 64k of memory in order to launch
# 16 bit programs.
vm.mmap_min_addr = 0

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

44. "В Linux ядре найдена уязвимость, позволяющая получить права "  +2 +/
Сообщение от vitek (??) on 04-Ноя-09, 22:04 
точно!
устанавливается именно с wine'ом.
поставил туда 4096.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

49. "В Linux ядре найдена уязвимость, позволяющая получить права "  +/
Сообщение от Michael Shigorin email(ok) on 04-Ноя-09, 22:59 
Хе-хе.  А теперь стоит глянуть соответствующий баг на lp, ну или попробовать попускать wine и сравнить ощущения.  Впрочем, для него вроде какие-то объезды придумывали, вот для dosemu не попадались.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

62. "В Linux ядре найдена уязвимость, позволяющая получить права "  +3 +/
Сообщение от User294 (ok) on 05-Ноя-09, 02:07 
>точно!
>устанавливается именно с wine'ом.

Вот саботажники. Не только среда для запуска вирусов но еще и мелкая но неприятная подлянка... :-\

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

87. "В Linux ядре найдена уязвимость, позволяющая получить права "  +/
Сообщение от Zenitur email on 05-Ноя-09, 13:42 
Насчёт Wine - это касается только того Wine, который для Ubuntu и скачан с сайта winehq.org. Я читал diff-файл оттуда - мейнтейнер этот wine.sysctl.conf сам написал и внедрил в исходный код. А если самому компилировать, то ничего такого нет.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "В Linux ядре найдена уязвимость, позволяющая получить права "  +/
Сообщение от fidaj (ok) on 04-Ноя-09, 20:05 
>Проверил в последних версиях CentOS и Ubuntu:
>
>cat /proc/sys/vm/mmap_min_addr
>0

Вообще-то оно ставиться почти у всех
cat /etc/sysctl.conf|grep mmap
# protect bottom 64k of memory from mmap to prevent NULL-dereference
vm.mmap_min_addr = 65536

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

43. "В Linux ядре найдена уязвимость, позволяющая получить права "  +/
Сообщение от 123456 (??) on 04-Ноя-09, 21:55 
# cat /etc/issue /proc/sys/vm/mmap_min_addr
CentOS release 5.3 (Final)
Kernel \r on an \m

65536

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

61. "В Linux ядре найдена уязвимость, позволяющая получить права "  +/
Сообщение от User294 (ok) on 05-Ноя-09, 02:05 
>Проверил в последних версиях CentOS и Ubuntu:
>cat /proc/sys/vm/mmap_min_addr
>0

Кубунта 9.10 64-бита (ядро 2.6.31-14-generic #48-Ubuntu SMP Fri Oct 16 14:05:01 UTC 2009 x86_64 GNU/Linux):

cat /proc/sys/vm/mmap_min_addr
65536

Стало быть пиндеж.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

79. "В Linux ядре найдена уязвимость, позволяющая получить права "  +1 +/
Сообщение от Антон (??) on 05-Ноя-09, 09:56 
>cat /proc/sys/vm/mmap_min_addr
>65536
>
>Стало быть пиндеж.

Wine поставь, он mmap_min_addr на 0 никого не спрося меняет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

77. "В Linux ядре найдена уязвимость, позволяющая получить права "  +/
Сообщение от дроздилло on 05-Ноя-09, 09:28 
>Проверил в последних версиях CentOS и Ubuntu:
>
>cat /proc/sys/vm/mmap_min_addr
>0

$ cat /proc/sys/vm/mmap_min_addr && uname -r && cat /etc/redhat-release
4096
2.6.18-164.2.1.el5
CentOS release 5.4 (Final)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

105. "В Linux ядре найдена уязвимость, позволяющая получить права "  +/
Сообщение от szh (ok) on 06-Ноя-09, 00:19 
> Проверил в последних версиях CentOS и Ubuntu:
> cat /proc/sys/vm/mmap_min_addr
> 0

# grep mmap /etc/sysctl.conf /etc/sysctl.d/*
/etc/sysctl.d/30-wine.conf: vm.mmap_min_addr = 0

(ubuntu 9.10)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

34. "В Linux ядре найдена уязвимость, позволяющая получить права "  +/
Сообщение от Анон on 04-Ноя-09, 20:24 
хххх@хххх:~$ cat /proc/sys/vm/mmap_min_addr
0
---
Debian 5.0 :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

81. "В Linux ядре найдена уязвимость, позволяющая получить права "  +/
Сообщение от Sw00p aka Jerom email on 05-Ноя-09, 10:03 
cat: /proc/sys/vm/mmap_min_addr: No such file or directory

у сня его почему-то нету ыыыыыыыыыыы (RHEL5.3)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от ike on 04-Ноя-09, 18:53 
Просто одни не говорят об уязвимостях, а другие оповещают о таковых. И еще не известно что лучше...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

63. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +4 +/
Сообщение от User294 (ok) on 05-Ноя-09, 02:10 
>Просто одни не говорят об уязвимостях, а другие оповещают о таковых. И
>еще не известно что лучше...

Лучше - говорить честно и открыто, если уж облажались. Да, признать лажу нелегко но это и отличает опенсорс от проприетари в лучшую сторону. Когда не пытаются надурить и обмануть, а просто делают свое дело - это хорошо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  –1 +/
Сообщение от 4yjoy on 04-Ноя-09, 18:54 
# uname -r
2.6.27.37-0.1-default
# cat /proc/sys/vm/mmap_min_addr
65536
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +2 +/
Сообщение от Аноним (??) on 04-Ноя-09, 19:05 
# uname -r
2.6.31-gentoo-r4
cat /proc/sys/vm/mmap_min_addr
4096
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от Bx email on 04-Ноя-09, 19:09 
~ $ zcat /proc/config.gz |grep MMAP_MIN
CONFIG_DEFAULT_MMAP_MIN_ADDR=65536

config DEFAULT_MMAP_MIN_ADDR
        int "Low address space to protect from user allocation"
        default 4096
        help
          This is the portion of low virtual memory which should be protected
          from userspace allocation.  Keeping a user from writing to low pages
          can help reduce the impact of kernel NULL pointer bugs.

          For most ia64, ppc64 and x86 users with lots of address space
          a value of 65536 is reasonable and should cause no problems.
          On arm and other archs it should not be higher than 32768.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от syeg (ok) on 04-Ноя-09, 19:12 
server % cat /etc/issue.net                                                   ~
CentOS release 5.4 (Final)                                                    
Kernel \r on an \m                                                            
server % uname -r                                                             ~
2.6.18-164.2.1.el5                                                            
server % cat /proc/sys/vm/mmap_min_addr                                       ~
4096      
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от PavelR (??) on 04-Ноя-09, 19:18 
debian:~# cat /proc/sys/vm/mmap_min_addr
0
debian:~# uname -a
Linux debian 2.6.26-1-xen-686 #1 SMP Fri Mar 13 22:30:40 UTC 2009 i686 GNU/Linux
debian:~# cat /etc/deb
debconf.conf    debian_version  debtags/
debian:~# cat /etc/debian_version
squeeze/sid
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от мимопроходил on 04-Ноя-09, 19:25 
cat /etc/debian_version && uname -a && cat /proc/sys/vm/mmap_min_addr
squeeze/sid
Linux desktop 2.6.31-1-amd64 #1 SMP Sat Oct 24 17:50:31 UTC 2009 x86_64 GNU/Linux
65536
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от Аноним (??) on 04-Ноя-09, 19:42 
http://lists.debian.org/debian-security-announce/2009/msg002...

Ъ:
October 22, 2009
CVE-2009-2695

    Eric Paris provided several fixes to increase the protection
    provided by the mmap_min_addr tunable against NULL pointer
    dereference vulnerabilities.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +1 +/
Сообщение от pavel_simple (ok) on 04-Ноя-09, 19:48 
exploit уже кто-то в глаза видел?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

37. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  –3 +/
Сообщение от pavlinux (ok) on 04-Ноя-09, 21:10 
s
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от Dimk (??) on 04-Ноя-09, 19:55 
Ubuntu 9.10 уже поправлена.

cat /etc/debian_version && uname -a && cat /proc/sys/vm/mmap_min_addr
squeeze/sid
Linux ubuntu 2.6.31-14-generic #48-Ubuntu SMP Fri Oct 16 14:05:01 UTC 2009 x86_64 GNU/Linux
65536

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

33. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от Прохожий (??) on 04-Ноя-09, 20:19 
>Ubuntu 9.10 уже поправлена.
>
>cat /etc/debian_version && uname -a && cat /proc/sys/vm/mmap_min_addr
>squeeze/sid
>Linux ubuntu 2.6.31-14-generic #48-Ubuntu SMP Fri Oct 16 14:05:01 UTC 2009 x86_64
>GNU/Linux
>65536

Linux comp 2.6.30-gentoo-r5 #1 SMP PREEMPT Tue Oct 6 00:37:58 MSD 2009 x86_64 AMD Athlon(tm) 64 X2 Dual Core Processor 4200+ AuthenticAMD GNU/Linux
cat /proc/sys/vm/mmap_min_addr
4096


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

32. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от marten email(??) on 04-Ноя-09, 20:16 
cat /proc/sys/vm/mmap_min_addr
cat: /proc/sys/vm/mmap_min_addr: No such file or directory

2.6.18
x86_64

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

73. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от marten email(??) on 05-Ноя-09, 08:09 
да, Debian Etch
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

35. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от Patriot (??) on 04-Ноя-09, 20:24 
Ubuntu Server 8.04 LTS
root@celeron:~# uname -a
Linux celeron 2.6.24-24-server #1 SMP Fri Sep 18 17:24:10 UTC 2009 i686 GNU/Linux
root@celeron:~# cat /proc/sys/vm/mmap_min_addr
65536
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

36. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от Аноним (??) on 04-Ноя-09, 20:29 
Opensuse 11.2
cat /proc/sys/vm/mmap_min_addr
65536
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

38. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от azure (ok) on 04-Ноя-09, 21:10 
cat /proc/sys/vm/mmap_min_addr
4096

uname -a
Linux azure 2.6.31 #2 SMP Sat Oct 17 19:39:33 EEST 2009 x86_64 AMD Athlon(tm) 64 X2 Dual Core Processor 3600+ AuthenticAMD GNU/Linux

Gentoo, vanilla-sources

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

40. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от azure (ok) on 04-Ноя-09, 21:14 
cat /proc/sys/vm/mmap_min_addr
cat: /proc/sys/vm/mmap_min_addr: No such file or directory

uname -a
Linux plaza 2.6.29 #4 SMP Thu Sep 17 00:03:06 EEST 2009 i686 Intel(R) Celeron(R) CPU 2.13GHz GenuineIntel GNU/Linux

gentoo, vanilla sources

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

41. "Linux "  –1 +/
Сообщение от pavlinux (ok) on 04-Ноя-09, 21:23 
[ EXPLOIT ]

http://pavlinux.ru/rk/cheddar_bay.tgz

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

42. "Linux "  +2 +/
Сообщение от i (??) on 04-Ноя-09, 21:48 
а если нет pulseaudio в системе ?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

55. "Linux "  +/
Сообщение от pavlinux (ok) on 04-Ноя-09, 23:52 
>а если нет pulseaudio в системе ?

Ну переделай под что-то другое, Pulseaudio это всего лишь дорога к ядру для юзера.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

46. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от Seppius on 04-Ноя-09, 22:24 
openSUSE 11.1
Linux linux-bi1o 2.6.27.37-0.1-pae #1 SMP 2009-10-15 14:56:58 +0200 i686 athlon i386 GNU/Linux
cat /proc/sys/vm/mmap_min_addr
65536
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

47. "В Linux ядре найдена уязвимость, позволяющая получить права "  +/
Сообщение от i (??) on 04-Ноя-09, 22:35 
ах да:
aquinas / # uname -a
Linux aquinas 2.6.26-hardened #1 SMP Tue Aug 19 19:35:36 MSD 2008 x86_64 Intel(R) Core(TM)2 Quad CPU @ 2.40GHz GenuineIntel GNU/Linux
aquinas / # uptime
22:33:46 up 442 days,  3:05,  3 users,  load average: 1.85, 1.69, 1.53
aquinas / #  cat /proc/sys/vm/mmap_min_addr
0

осталось затестить рабочий exploit :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

48. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от rimidal (ok) on 04-Ноя-09, 22:57 
UbuntuStudio 8.04 (x86-64)
# uname -a
Linux Rimidal-Laptop 2.6.24-25-rt #1 SMP PREEMPT RT Tue Oct 20 08:14:06 UTC 2009 x86_64 GNU/Linux

# cat /proc/sys/vm/mmap_min_addr
65536

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

52. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от Аноним (??) on 04-Ноя-09, 23:16 
Как исправить нулевой mmap_min_addr без патчей ядра?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

53. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +2 +/
Сообщение от i (??) on 04-Ноя-09, 23:44 
echo 4096 > /proc/sys/vm/mmap_min_addr
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

54. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +1 +/
Сообщение от i (??) on 04-Ноя-09, 23:46 
ну или в /etc/sysctl.conf прописать
vm.mmap_min_addr = число

# sysctl -p

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

56. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от debansheg on 05-Ноя-09, 00:45 
Было в Debian Security 22 октября, там же ссылка http://wiki.debian.org/mmap_min_addr
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

75. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от uldus (ok) on 05-Ноя-09, 08:40 
>Было в Debian Security 22 октября, там же ссылка http://wiki.debian.org/mmap_min_addr

http://www.debian.org/security/2009/dsa-1915 - там другие уязвимости были исправлены, про проблему с pipe в том отчете ничего нет. Но видимо слухи в воздухе летали и они предусмотрительно mmap_min_addr включили.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

80. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от Антон (??) on 05-Ноя-09, 09:58 
>том отчете ничего нет. Но видимо слухи в воздухе летали и
>они предусмотрительно mmap_min_addr включили.

Ага, а при установке Wine опять mmap_min_addr в ноль сбрасывает.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

57. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от vkni on 05-Ноя-09, 01:16 
ALT 5:

$ cat /proc/sys/vm/mmap_min_addr
65536

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

60. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +1 +/
Сообщение от vix email on 05-Ноя-09, 01:49 
Linux vixnote 2.6.31.4vixnote #1 SMP Wed Oct 21 14:55:44 MSD 2009 i686 GNU/Linux
vixnote:/home/master# cat /proc/sys/vm/mmap_min_addr
4096
Debian lenny..
:)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

64. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  –4 +/
Сообщение от tr on 05-Ноя-09, 02:48 
>скептическое отношение Линуса Торвальдса к проблемам безопасности, не желающего по умолчанию запретить

И чем оно открытее Windows, если все решает один маразматик...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

65. "'если все решает один маразматик...'"  +/
Сообщение от versus on 05-Ноя-09, 03:16 
тем что можно самому поправить где надо
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

66. "'если все решает один маразматик...'"  +/
Сообщение от tr on 05-Ноя-09, 04:47 
>тем что можно самому поправить где надо

Может оно и так но, Вам не кажется, что, что-то здесь все-таки не совсем ммм... логично?...
Архитектуру целой системы, позиционируемой как тотальная замена Windows на десктопе, решает один!!! человек?! А если у него завтра каприз какой случится, пострадает отрасль?? Или опять будет глобальное отфорковывание?
Что за тоталитарный строй?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

74. "'если все решает один маразматик...'"  +/
Сообщение от Nitay on 05-Ноя-09, 08:25 
Он и решает лишь потому, что надежный.
Будут капризы - будет решать другой.
При этом не нужна ни демократия, ни диктатура - просто свобода, пользователь сам выбирает, кто будет эти вопросы решать, он, Торвальдс, или дядя Вася.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

70. "'если все решает один маразматик...'"  +/
Сообщение от IGX on 05-Ноя-09, 06:12 
>тем что можно самому поправить где надо

и добавить или обрезать, что надо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

110. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от User294 (ok) on 06-Ноя-09, 06:32 
>И чем оно открытее Windows, если все решает один маразматик...

В виндозе вы для начала почти лишены возможности оверрайда решений маразматиков из маркетингового отдела, которые "немного" похуже любого Торвальдса будут. И знаете, ковырять блобы "немного" геморнее чем сорсы. Дизасмом колупаться - долго и медленно, а когда вы запатчите бинарь - апдейтер еще и новый при случае вкорячит забыв вас спросить можно ли заменять вот тот файл. Если вам это нравится - вперед на мины.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

67. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от DFX on 05-Ноя-09, 05:49 
Gentoo Base System release 2.0.1
Linux dfx-laptop 2.6.31-zen5-laptop
zcat /proc/config.gz|grep MMAP_MIN_ADDR
CONFIG_DEFAULT_MMAP_MIN_ADDR=4096

если уж чешутся руки рассказать, как "разработчики OpenBSD" обсудили Линуса, то стоит наверное и показать, как Линус успел обсудить "разработчиков OpenBSD"

http://lkml.org/lkml/2008/7/15/296

и как он видит политику безопасности ядра. http://lkml.org/lkml/2009/6/1/301

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

71. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от Buy email(??) on 05-Ноя-09, 07:14 
Kubuntu 9.04 (по умолчанию)
~$ cat /proc/sys/vm/mmap_min_addr
65536

А в Ubuntu 9.04 (по умолчанию)
0

Вот, вроде бы один проект, а два разных подхода. ИМХО считаю настройку этого параметра должны производить мантайнеры дистров, а их много. Тут у каждого своя политика, зачем Линусу этим заниматься? Потом всеравно переделают.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

72. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от Аноним (??) on 05-Ноя-09, 07:58 
Уже обсудили... Это все wine. :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

78. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от 82500 on 05-Ноя-09, 09:54 
А кому, блин, интересно, сколько у вас в mmap_min? Стадо баранов, чесслово.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

82. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от Антон (??) on 05-Ноя-09, 10:08 
>А кому, блин, интересно, сколько у вас в mmap_min? Стадо баранов, чесслово.

Интересно с точки зрения того, в каком дистрибутиве какое значение стоит по дефолту.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

84. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от 82500 on 05-Ноя-09, 11:52 
Отчет что ли пишете? Тема интересна с точки зрения узнать подвержен ли твой компьютер, не более того.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

89. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от Аноним (??) on 05-Ноя-09, 15:07 
покажите мне форум, где каждый бы писал свою версию сборки винды:)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

108. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от pavlinux (ok) on 06-Ноя-09, 01:39 
>покажите мне форум, где каждый бы писал свою версию сборки винды:)

Любой форум по настройке венды.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

114. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от Loafer (??) on 07-Ноя-09, 21:55 
>А кому, блин, интересно, сколько у вас в mmap_min? Стадо баранов, чесслово.
>

Это точно :) и стадо есть и пастух есть - один как тут выше сказали :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

83. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от dimnix on 05-Ноя-09, 10:46 
$ uname -a
Linux ubuntu 2.6.31-14-generic #48-Ubuntu SMP Fri Oct 16 14:05:01 UTC 2009 x86_64 GNU/Linux
$ cat /proc/sys/vm/mmap_min_addr
65536
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

85. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от KBAKEP (ok) on 05-Ноя-09, 12:44 
# uname -a
Linux computername 2.6.30-gentoo-r5 #1 PREEMPT Tue Oct 6 13:36:09 MSD 2009 x86_64 AMD Athlon(tm) 64 Processor 3400+ AuthenticAMD GNU/Linux

# cat /proc/sys/vm/mmap_min_addr
65536

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

86. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от Zenitur email on 05-Ноя-09, 13:40 
Насчёт Wine - это касается только того Wine, который для Ubuntu и скачан с сайта winehq.org. Я читал diff-файл оттуда - мейнтейнер этот wine.sysctl.conf сам написал и внедрил в исходный код. А если самому компилировать, то ничего такого нет.
openSuSE 10.2 i586
linux-athlonxp:/home/zenitur # cat /proc/sys/vm/mmap_min_addr
0
linux-athlonxp:/home/zenitur # uname -a
Linux linux-athlonxp 2.6.28.2-default #6 SMP Sun Sep 6 03:41:20 KRAST 2009 i686 athlon i386 GNU/Linux
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

92. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от мимо_проходил on 05-Ноя-09, 17:43 
Эксплоит есть?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

93. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от grait email on 05-Ноя-09, 18:08 
Ну и я залиплю ))))) Разные платформы, вайна нет...

# cat /proc/sys/vm/mmap_min_addr && lsb_release -a && uname -rpi
4096
LSB Version:    :core-3.1-ia32:core-3.1-noarch:graphics-3.1-ia32:graphics-3.1-noarch
Distributor ID: CentOS
Description:    CentOS release 5.4 (Final)
Release:        5.4
Codename:       Final
2.6.18-164.el5 i686 i386

# cat /proc/sys/vm/mmap_min_addr && lsb_release -a && uname -rpi
4096
LSB Version:    :core-3.1-amd64:core-3.1-ia32:core-3.1-noarch:graphics-3.1-amd64:graphics-3.1-ia32:graphics-3.1-noarch
Distributor ID: CentOS
Description:    CentOS release 5.3 (Final)
Release:        5.3
Codename:       Final
2.6.18-164.el5xen x86_64 x86_64

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

98. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от Michael Shigorin email(ok) on 05-Ноя-09, 20:13 
>вайна нет...

Дело не в самом wine, а в том, что для обеспечения его работоспособности из коробки у убунтушников не придумалось ничего лучше, как влепить безусловное предоставление этого семейства проблем из коробки же.  Что их неплохо характеризует, впрочем.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

94. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от Pilat (ok) on 05-Ноя-09, 19:15 
OpenVZ Debian Lenny:

# uname -a
Linux Debian-40-etch-64-minimal 2.6.26-2-openvz-amd64 #1 SMP Wed Aug 19 23:15:49 UTC 2009 x86_64 GNU/Linux
# echo 4096 > /proc/sys/vm/mmap_min_addr
-su: /proc/sys/vm/mmap_min_addr: No such file or directory

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

95. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от Michael Shigorin email(ok) on 05-Ноя-09, 19:34 
>OpenVZ Debian Lenny:
> /proc/sys/vm/mmap_min_addr: No such file or directory

Припоминается, что предыдущие уязвимости на ту же тему в ovz как минимум "из коробки" не работали -- OpenVZ-шники много чего чинят по ходу пьесы.  Лучше не полагаться на мой склероз, впрочем -- чтение по этой теме помню совсем смутно, а для их ветки rhel5 как минимум в варианте сборки для ALT 4.0 дефолт точно ненулевой.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

97. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от Pilat (ok) on 05-Ноя-09, 19:40 
>>OpenVZ Debian Lenny:
>> /proc/sys/vm/mmap_min_addr: No such file or directory
>
>Припоминается, что предыдущие уязвимости на ту же тему в ovz как минимум
>"из коробки" не работали -- OpenVZ-шники много чего чинят по ходу
>пьесы.  Лучше не полагаться на мой склероз, впрочем -- чтение
>по этой теме помню совсем смутно, а для их ветки rhel5
>как минимум в варианте сборки для ALT 4.0 дефолт точно ненулевой.
>

После установки последнего обновления ,
# uname -r
2.6.26-2-openvz-amd64
# cat /proc/sys/vm/mmap_min_addr
0
[/QUOTE]

уже лучше, есть что править.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

99. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от Michael Shigorin email(ok) on 05-Ноя-09, 20:14 
>2.6.26-2-openvz-amd64

Мы (и не только мы) отказались от использования .26, .27 и вернулись на .18-ovz по соображениям стабильности и функциональности.  Перелопачивание на CT даром не далось :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

100. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от Pilat (ok) on 05-Ноя-09, 20:23 
>>2.6.26-2-openvz-amd64
>
>Мы (и не только мы) отказались от использования .26, .27 и вернулись
>на .18-ovz по соображениям стабильности и функциональности.  Перелопачивание на CT
>даром не далось :(

Я пока возвращаться не решаюсь - не уверен, что .18 так же поддерживается как .26, а со стабильностью как раз проблем стало меньше.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

103. "(offtopic) ovz 18/26"  +/
Сообщение от Michael Shigorin email(ok) on 05-Ноя-09, 22:14 
>Я пока возвращаться не решаюсь - не уверен, что .18 так же
>поддерживается как .26

А для кого поддерживается .26, не напомните?  .18 имел в виду ветки rhel5.

>а со стабильностью как раз проблем стало меньше.

И то ладно.  Я туда ради -o bind,ro ходил, да это было не столь важно, как предсказуемое поведение и отсутствие зверского отстрела процессов в контейнерах при нагрузке на HN (cpu/io) на машинке, где контейнеры имеют вспомогательную роль, а существенная часть нагрузки именно на железке (которая интранет).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

104. "(offtopic) ovz 18/26"  +/
Сообщение от pavel_simple (ok) on 05-Ноя-09, 22:19 
>>Я пока возвращаться не решаюсь - не уверен, что .18 так же
>>поддерживается как .26
>
>А для кого поддерживается .26, не напомните?  .18 имел в виду
>ветки rhel5.
>

lenny

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

106. "(offtopic) ovz 18/26"  +/
Сообщение от Michael Shigorin email(ok) on 06-Ноя-09, 01:19 
>>>Я пока возвращаться не решаюсь - не уверен, что .18 так же
>>>поддерживается как .26
>>А для кого поддерживается .26, не напомните?  .18 имел в виду
>>ветки rhel5.
>lenny

Не "где есть .26", а "для кого поддерживается .26-ovz".

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

107. "(offtopic) ovz 18/26"  +/
Сообщение от pavel_simple (ok) on 06-Ноя-09, 01:24 
>>>>Я пока возвращаться не решаюсь - не уверен, что .18 так же
>>>>поддерживается как .26
>>>А для кого поддерживается .26, не напомните?  .18 имел в виду
>>>ветки rhel5.
>>lenny
>
>Не "где есть .26", а "для кого поддерживается .26-ovz".

типа этих?

http://security.debian.org/pool/updates/main/l/linux-2.6/lin...

или я всё-же не верно понял требуемое?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

109. "(offtopic) ovz 18/26"  +/
Сообщение от Pilat (ok) on 06-Ноя-09, 02:27 
>>>>Я пока возвращаться не решаюсь - не уверен, что .18 так же
>>>>поддерживается как .26
>>>А для кого поддерживается .26, не напомните?  .18 имел в виду
>>>ветки rhel5.
>>lenny
>
>Не "где есть .26", а "для кого поддерживается .26-ovz".

Для нас, для пользователей OpenVZ. Традиционно глюки в openvz в текущем ядре не исправляются, а откладываются до лучших времён, и 26 - это как раз лучшее из имеющегося и есть. Что такое rhel5 я не знаю, так как пользуюсь debian - может, там и есть свои заморочки, но уверен что 18 никто патчить не будет всерьёз - так как раньше этого не делали.

Вообще OpenVZ - пережиток дорогой памяти...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

117. "(offtopic) ovz 18/26"  +/
Сообщение от Michael Shigorin email(ok) on 15-Ноя-09, 23:44 
[угу]

>Вообще OpenVZ - пережиток дорогой памяти...

Не сказал бы, с администрированием у чрутообразных в ряде случаев тоже куда практичней, чем у полностью прикидывающихся.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

118. "(offtopic) ovz 18/26"  +/
Сообщение от Pilat (ok) on 16-Ноя-09, 13:23 
>[угу]
>
>>Вообще OpenVZ - пережиток дорогой памяти...
>
>Не сказал бы, с администрированием у чрутообразных в ряде случаев тоже куда
>практичней, чем у полностью прикидывающихся.

Очень сложно соблюдать дисциплину при разделении ресурсов, тем более что для OpenVZ практически нет хороших бесплатных панелей управления. Миграция машины на другое оборудование может привести к самым неожиданным эффектам, причём не сразу. Но администрировать действительно удобно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

119. "(offtopic) ovz 18/26"  +/
Сообщение от Michael Shigorin email(ok) on 16-Ноя-09, 16:31 
>Очень сложно соблюдать дисциплину при разделении ресурсов

Вот почему и сказал про 2.6.18/rhel5 branch.  Там ещё не было всё разломано при переезде на linux containers, и --cpus работает, и всё прочее задокументированное (по крайней мере у меня).

>тем более что для OpenVZ практически нет хороших бесплатных панелей управления.

Тут не смотрел -- webvz/easyvz совсем не то?

>Миграция машины на другое оборудование может привести к самым неожиданным эффектам,
>причём не сразу.

По части лимитов, если памяти/процессоров существенно иначе?  Вообще-то мне доводилось таскать и HN+VE, и отдельные VE по совсем разным железкам и как раз был поражён, насколько _мало_ это заняло времени и насколько _не_ породило проблем (в том числе и в дальнейшем).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

120. "(offtopic) ovz 18/26"  +/
Сообщение от Pilat (ok) on 16-Ноя-09, 16:46 
>>Очень сложно соблюдать дисциплину при разделении ресурсов
>
>Вот почему и сказал про 2.6.18/rhel5 branch.  Там ещё не было
>всё разломано при переезде на linux containers, и --cpus работает, и
>всё прочее задокументированное (по крайней мере у меня).
>

в 2.6.18/AMD64 я встретил очень редкий баг с утечкой памяти, который кроме меня на форуме только один пользователь описал.

>>тем более что для OpenVZ практически нет хороших бесплатных панелей управления.
>
>Тут не смотрел -- webvz/easyvz совсем не то?

webvz я даже пытался править - там от меня на каждой странице в последних релизах есть одна строчка. Но принципиально я ruby не использую - слишком много тащить с ним надо, и есть у webvz фундаментальный глюк - долгие операции типа копирования или создания, при прерывании HTTP сеанса, могут окончится плохо, и уж точно я не узнаю о результатах их выполнения, так что это только запускалка скриптов. Машины три я этим оснастил, потом забил.

easyvz смотреть не стал. Такого уровня поделки я могу и сам написать достаточно быстро, но пользы от них мало. proxmos я бы ещё запустил, но он требует аппаратной поддержки, а у меня достаточно машин без оного. hypervm пробовал, круто, но во-первых слишком круто, во-вторых требует real ip, во-вторых он всё равно спёкся.

>
>>Миграция машины на другое оборудование может привести к самым неожиданным эффектам,
>>причём не сразу.
>
>По части лимитов, если памяти/процессоров существенно иначе?  Вообще-то мне доводилось таскать
>и HN+VE, и отдельные VE по совсем разным железкам и как
>раз был поражён, насколько _мало_ это заняло времени и насколько _не_
>породило проблем (в том числе и в дальнейшем).

Например, живая миграция возможна только на однотипное оборудование, но это мелочи; а вот лимиты на процессор в относительных попугаях - и непонятно, как эти единицы будут пересчитаны.

Несмотря на эти проблемы 5 машин под OpenVZ у меня есть.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

121. "(offtopic) ovz 18/26"  +/
Сообщение от Michael Shigorin email(ok) on 16-Ноя-09, 18:00 
>в 2.6.18/AMD64 я встретил очень редкий баг с утечкой памяти, который кроме
>меня на форуме только один пользователь описал.

Если вдруг попадётся -- может, забросьте ссылочку или слова.  То ли не замечаю, то ли на UP/SMP AMD64 и SMP EM64T не встречал.

>>>тем более что для OpenVZ практически нет хороших бесплатных панелей управления.
>>Тут не смотрел -- webvz/easyvz совсем не то?
>webvz [...]
>easyvz [...]
>proxmos [...]
>hypervm [...]

Благодарю, отложил себе в тематический архив.  Если будет оказия -- гляньте в альтовском Ark Server 5.0 (модуль alterator-mkve).  Правда, предложение непроверенное -- я использовал (и исправлял немного) только alterator-ovz из 4.0: сейчас до дистрибутивов руки не доходят особо, отошёл от тематики внедрений покамест.

>Например, живая миграция возможна только на однотипное оборудование, но это мелочи;

До неё собирался, но не добрался за отсутствием необходимости, только "из рук" видел.  Однотипное -- это о x86/x86_64? (у меня большинство контейнеров вне офиса пока 32-битные, в том числе и для большей портативности)

Или о AMD64/EM64T и деталях оптимизации, если что внутри со специфическим -march угораздило собрать? (у меня пакетные системы и в HN, и в VE)

>а вот лимиты на процессор в относительных попугаях - и непонятно, как
>эти единицы будут пересчитаны.

Нуу я тут предпочитаю выстраивать ещё по ioprio и при необходимости зажимать --cpus.

>Несмотря на эти проблемы 5 машин под OpenVZ у меня есть.

У нас ещё посматривают на lxc, сам пока тоже не добрался.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

122. "(offtopic) ovz 18/26"  +/
Сообщение от Pilat (ok) on 16-Ноя-09, 18:36 
>>в 2.6.18/AMD64 я встретил очень редкий баг с утечкой памяти, который кроме
>>меня на форуме только один пользователь описал.
>
>Если вдруг попадётся -- может, забросьте ссылочку или слова.  То ли
>не замечаю, то ли на UP/SMP AMD64 и SMP EM64T не
>встречал.

Уже не могу найти. У меня AMD64 однопроцессорный , на 24 перестала пропадать память.

...
>Благодарю, отложил себе в тематический архив.  Если будет оказия -- гляньте
>в альтовском Ark Server 5.0 (модуль alterator-mkve).  Правда, предложение непроверенное
>-- я использовал (и исправлял немного) только alterator-ovz из 4.0: сейчас
>до дистрибутивов руки не доходят особо, отошёл от тематики внедрений покамест.

Уже, наверно, не смогу - я всё перевожу на VmWare Sphere.


>>Например, живая миграция возможна только на однотипное оборудование, но это мелочи;
>
>До неё собирался, но не добрался за отсутствием необходимости, только "из рук"
>видел.  Однотипное -- это о x86/x86_64? (у меня большинство контейнеров
>вне офиса пока 32-битные, в том числе и для большей портативности)

Нет, там важны даже модели процессоров. Даже Xeon-> Pentium D  не проходит.

>
>У нас ещё посматривают на lxc, сам пока тоже не добрался.

Мне кажется, сейчас серьёзно можно смотреть только на то, чем умеем хорошо управлять. Даже на пяти машинах я столкнулся с неизвестно зачем заведёнными контейнерами. Да и внешние хранилища стали вполне бюджетными, хотя бы iSCSI - хорошо иметь что-то, способное с ними работать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

123. "(offtopic) ovz 18/26"  +/
Сообщение от Michael Shigorin email(ok) on 16-Ноя-09, 19:45 
>>Если будет оказия -- гляньте в альтовском Ark Server 5.0 (модуль alterator-mkve).
>Уже, наверно, не смогу - я всё перевожу на VmWare Sphere.

BTW там kvm в качестве основного варианта.

В любом разе спасибо за обсуждение, интересно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

96. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от 86_64 on 05-Ноя-09, 19:34 
$ uname -a
Linux 2.6.31-14-generic #48-Ubuntu SMP Fri Oct 16 14:05:01 UTC 2009 x86_64 GNU/Linux
$ cat /proc/sys/vm/mmap_min_addr
65536
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

101. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от yantux (??) on 05-Ноя-09, 20:52 
[yan@localhost ~]$ cat /proc/sys/vm/mmap_min_addr
4096
[yan@localhost ~]$ uname -a
Linux localhost.localdomain 2.6.30-std-def-alt10 #1 SMP Mon Aug 17 17:08:11 UTC 2009 i686 GNU/Linux


О чём это говорит?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

102. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от Michael Shigorin email(ok) on 05-Ноя-09, 22:11 
>О чём это говорит?

Что этой дыркой на этом хосте воспользоваться не получится.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

111. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от Octopus (??) on 06-Ноя-09, 12:06 
openSUSE 11.1

# uname -a
Linux linux-3gep 2.6.27.37-0.1-default #1 SMP 2009-10-15 14:56:58 +0200 x86_64 x86_64 x86_64 GNU/Linux
# cat /proc/sys/vm/mmap_min_addr
65536

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

112. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от asd (??) on 06-Ноя-09, 17:54 
!!!!!!!!!!!!!!!

/etc/sysctl.d/30-wine.conf

# Wine needs to access the bottom 64k of memory in order to launch
# 16 bit programs.
vm.mmap_min_addr = 0

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

115. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от tor email(??) on 08-Ноя-09, 01:50 
Он работает только с /usr/bin/pulseaudio или есть другие опасные суидные программы ?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

116. "В Linux ядре найдена уязвимость, позволяющая получить права ..."  +/
Сообщение от cat_pusher on 09-Ноя-09, 12:54 
Эксплоит на Debian Etch:

[gw-lower:remote]# uname -a
Linux gw-lower 2.6.24-etchnhalf.1-686 #1 SMP Tue Dec 2 07:56:33 UTC 2008 i686 GNU/Linux

~/cheddar_bay$ ./exploit
[+] MAPPED ZERO PAGE!
[+] Resolved tun_fops to 0xd0b56da0
[+] Resolved nf_unregister_hooks to 0xc0275cd5
[+] Resolved sel_read_enforce to 0xc01c67e0
[+] *0xd0b56dcc |= 1
[+] b00m!
[+] Disabled security of : nothing, what an insecure machine!
[+] Failed to get root :( Something's wrong.  Maybe the kernel isn't vulnerable?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру