The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Опубликован эксплоит для вызова краха ядра из состава CentOS 6"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Опубликован эксплоит для вызова краха ядра из состава CentOS 6"  +/
Сообщение от opennews on 01-Июл-13, 12:38 
Опубликован (http://seclists.org/oss-sec/2013/q2/642) эксплоит, направленный на поражение ядра Linux из состава RHEL 6, позволяя непривилегированному пользователю вызвать крах ядра. Примечательно, что по утверждению представителей Red Hat указанный эксплоит не действует с оригинальным ядром из RHEL 6, но проявляется для пересборки того же ядра, поставляемого в составе CentOS 6, что заставляет задуматься о методах сборки ядра Red Hat. Работа эксплоита проверена на ядрах -220 и -358. Проблема также проявляется на ядре от проекта OpenVZ, что даёт возможность пользователю изолированного контейнера вызвать крах базовой хост-системы. Обновление пакета с ядром с устранением уязвимости пока недоступно (http://lists.centos.org/pipermail/centos-announce/2013-June/...).


URL: http://seclists.org/oss-sec/2013/q2/642
Новость: http://www.opennet.ru/opennews/art.shtml?num=37316

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Опубликован эксплоит для вызова краха ядра из состава CentOS..."  –5 +/
Сообщение от Анонимус_б6 on 01-Июл-13, 12:38 
>Примечательно, что по утверждению представителей Red Hat указанный эксплоит не действует с оригинальным ядром из RHEL 6, но проявляется для пересборки того же ядра, поставляемого в составе CentOS 6, что заставляет задуматься о методах сборки ядра Red Hat.

логичный вывод следует, что редхат и является автором эксплойта

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Опубликован эксплоит для вызова краха ядра из состава CentOS..."  –3 +/
Сообщение от IMHO on 01-Июл-13, 13:11 
> что редхат и является автором эксплойта

для энтерпрайза они решили еще и свой антивирус запилить

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

22. "Опубликован эксплоит для вызова краха ядра из состава CentOS..."  +4 +/
Сообщение от Аноним (??) on 01-Июл-13, 14:47 
Антивирус придется запилить тому, кто официально начнет распространять софт в бадлах a la *.msi через левые варезники. То есть, убунтовцам.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

8. "Опубликован эксплоит для вызова краха ядра из состава CentOS..."  –5 +/
Сообщение от Sabakwaka (ok) on 01-Июл-13, 13:21 
>> даёт возможность пользователю изолированного контейнера
>> вызвать крах базовой хост-системы

Отличная вещь! :) И опубликован :)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

34. "Опубликован эксплоит для вызова краха ядра из состава CentOS..."  +2 +/
Сообщение от Аноним (??) on 01-Июл-13, 16:42 
> Отличная вещь! :) И опубликован :)

Крах системы конечно плохо. Но помнится кой-кого с 20-летием поздравили посимпатичнее - вывалив сплойт где подъем прав до рута, что как-то куда функциональнее.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

43. "Опубликован эксплоит для вызова краха ядра из состава CentOS..."  –1 +/
Сообщение от Andrey Mitrofanov on 01-Июл-13, 16:49 
>> Отличная вещь! :) И опубликован :)
> Крах системы конечно плохо. Но помнится кой-кого с 20-летием

Во-первых, у Анонима косоглазие, он не видит локал-рутов в линуксе? Во-вторых, как наглядное пособие к "chroot - не средство безопасности" на новом витке, очень ничего.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

45. "Опубликован эксплоит для вызова краха ядра из состава CentOS..."  +/
Сообщение от Аноним (??) on 01-Июл-13, 17:00 
> как наглядное пособие к "chroot - не средство безопасности"

Так к любому средству безопасности можно наглядное пособие сделать.
Перенес из контейнеров в полноценную виртуалку - в xen и kvm дыры наверняка найдутся.
Перенес из виртуалки на выделенный физический хост, отключенный от сети - придет толпа отморозков с битами.
И т.д.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

75. "Опубликован эксплоит для вызова краха ядра из состава CentOS..."  –3 +/
Сообщение от Sabakwaka (ok) on 01-Июл-13, 23:02 
>> как наглядное пособие к "chroot - не средство безопасности"

Восспидя :)
Тут косяк при сборке. При чём там "chroot"??
Это такой ассемблерный киндер матт :)

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

85. "Опубликован эксплоит для вызова краха ядра из состава CentOS..."  +3 +/
Сообщение от Аноним (??) on 02-Июл-13, 00:15 
> Восспидя :)
> Тут косяк при сборке. При чём там "chroot"??
> Это такой ассемблерный киндер матт :)

Спамбот увидел ошибку в своем бинарнике и впал в экзистенциальный кризис? Ну-ну.

Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

97. "Опубликован эксплоит для вызова краха ядра из состава CentOS..."  –2 +/
Сообщение от Аноним (??) on 02-Июл-13, 03:01 
> наверняка найдутся.

Хм, покажите мне дыры в KVM? А то теоретически все так, практичкски - их прямо как-то подозрително мало.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

86. "Опубликован эксплоит для вызова краха ядра из состава CentOS..."  +/
Сообщение от Аноним (??) on 02-Июл-13, 00:16 
> Крах системы конечно плохо. Но помнится кой-кого с 20-летием поздравили посимпатичнее -
> вывалив сплойт где подъем прав до рута, что как-то куда функциональнее.

Напомни, кого это так повеселили?

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

98. "Опубликован эксплоит для вызова краха ядра из состава CentOS..."  +1 +/
Сообщение от Аноним (??) on 02-Июл-13, 03:04 
> Напомни, кого это так повеселили?

Это разработчик эксплойта фрибсд с 20-летием так поздравил. Сообщение с поздравлением начиналось недвусмысленным сабжем: Happy Birthday FreeBSD! Now you are 20 years old and your security is the same as 20 years ago... :)

Ну в общем подробнее - в сорце сплойта приаттаченом к http://seclists.org/fulldisclosure/2013/Jun/161 :). Так что блеяние линуксрипа мне вообще не понятно. Крах ядра конечно ай-яй-яй, но подъем прав до рута - интереснее, пожалуй.

Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

96. "Опубликован эксплоит для вызова краха ядра из состава CentOS..."  –1 +/
Сообщение от Sabakwaka (ok) on 02-Июл-13, 02:18 
>>> даёт возможность пользователю изолированного контейнера
>>> вызвать крах базовой хост-системы
> Отличная вещь! :) И опубликован :)

Апрель 2011
https://access.redhat.com/security/cve/CVE-2012-3552

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

4. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  –5 +/
Сообщение от Аноним (??) on 01-Июл-13, 12:48 
Это к вопросу сверки бинарников и исходников...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  –6 +/
Сообщение от Аноним (??) on 01-Июл-13, 13:07 
+ кое кто продолжает затягивать гайки на шее своих клонов.
Заявление редхат как бы намекает, что они все предусмотрели у себя, но патч не покажут, обойдетеся.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

38. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +2 +/
Сообщение от Аноним (??) on 01-Июл-13, 16:48 
> + кое кто продолжает затягивать гайки на шее своих клонов.

Оракл у клонов солярки? Там не просто затягивание гаек, там прямое удушение.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

65. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +/
Сообщение от Аноним (??) on 01-Июл-13, 20:29 
Познавательно. Ну а в данном случае пока только гайки
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

70. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +/
Сообщение от Аноним (??) on 01-Июл-13, 21:52 
не, в суде это чревато кучей исков.
плюс недавно и ЕС и США - приняли ряд законов - Обязывающих публиковать и фиксить в отведенный срок, вендоров.
в дополнении к ранее существовашим, генерализованным, за которые также пороли их.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

81. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +/
Сообщение от Аноним (??) on 02-Июл-13, 00:10 
> + кое кто продолжает затягивать гайки на шее своих клонов.
> Заявление редхат как бы намекает, что они все предусмотрели у себя, но патч не покажут, обойдетеся.

Гражданин, вы о чем вообще? Какие клоны? Что предусмотрели?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

21. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +/
Сообщение от Аноним (??) on 01-Июл-13, 14:44 
> Это к вопросу сверки бинарников и исходников...

Скорее, флагов компиляции.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

53. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  –1 +/
Сообщение от Аноним (??) on 01-Июл-13, 18:10 
А они в srpm-ке не задаются, что ли?
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

67. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  –1 +/
Сообщение от Аноним (??) on 01-Июл-13, 21:27 
Есть такая концепция - unix way.
Она позволяет даже из предельно простого и прозрачного механизма сделать обфусцированную лапшу.
В спеках SRPM она проявляется в виде макросов.
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

120. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +1 +/
Сообщение от Аноним (??) on 02-Июл-13, 13:45 
> Есть такая концепция - unix way.
> Она позволяет даже из предельно простого и прозрачного механизма сделать обфусцированную
> лапшу.
> В спеках SRPM она проявляется в виде макросов.

Вот трындеть только не надо, ладно? Дай дураку стеклянный х.й - он его сломает и руки до костей порежет.

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

82. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +2 +/
Сообщение от Аноним (??) on 02-Июл-13, 00:11 
> Это к вопросу сверки бинарников и исходников...

Каким боком оно здесь?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +1 +/
Сообщение от бедный буратино (ok) on 01-Июл-13, 12:55 
ох уж эти рет хат чили пеперц
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

121. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +1 +/
Сообщение от Аноним (??) on 02-Июл-13, 13:45 
> ох уж эти рет хат чили пеперц

Заткнись, пожалуйста. Ладно? В каждой бочке затычка.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +/
Сообщение от Аноним (??) on 01-Июл-13, 13:34 
Работает на i386 и x86_64 CentOS из под непривилигированного пользователя:

$ uname -a
Linux server 2.6.32-358.11.1.el6.x86_64 #1 SMP Wed Jun 12 03:34:52 UTC 2013 x86_64 x86_64 x86_64 GNU/Linux
$ cat /etc/redhat-release
CentOS release 6.4 (Final)
$ gcc hemlock.c -o hemlock
$ ./hemlock
[+] giving ourselves some poison...
[+] polluted kernelspace with more crap
[+] polluted kernelspace with more crap
[+] polluted kernelspace with more crap
[+] polluted kernelspace with more crap
............ и kernel panic

$ uname -a
Linux server 2.6.32-358.11.1.el6.i686 #1 SMP Wed Jun 12 01:01:27 UTC 2013 i686 i686 i386 GNU/Linux
$ cat /etc/redhat-release
CentOS release 6.4 (Final)
$ gcc hemlock.c -o hemlock
$ ./hemlock
[+] giving ourselves some poison...
[+] polluted kernelspace with more crap
[+] polluted kernelspace with more crap
[+] polluted kernelspace with more crap
............ и kernel panic

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

63. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +/
Сообщение от Аноним (??) on 01-Июл-13, 19:54 
Что-то не понял:
[g@localhost ~]$ uname -r -s -p
Linux 2.6.32-279.el6.x86_64 x86_64
[g@localhost ~]$ cat /etc/redhat-release
CentOS release 6.3 (Final)
[g@localhost ~]$ ./hemlock
[+] giving ourselves some poison...
[+] polluted kernelspace with more crap
[+] polluted kernelspace with more crap
[+] polluted kernelspace with more crap
[+] polluted kernelspace with more crap
[+] polluted kernelspace with more crap
.......................................
[+] polluted kernelspace with more crap
[+] polluted kernelspace with more crap
[-] failed.
Никакого kernel panic.Не работает?
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

87. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +/
Сообщение от Аноним (??) on 02-Июл-13, 00:18 
> Никакого kernel panic.Не работает?

Приобретите лицензионный RHEL. Если и там не будет работать - обратитесь в техподдержку.
А на бесплатных клонах работоспособность сплойтов никто не гарантирует.

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

10. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +/
Сообщение от Аноним (??) on 01-Июл-13, 13:45 
# cat /etc/redhat-release
Red Hat Enterprise Linux Server release 6.4 (Santiago)

# uname -s -r -p
Linux 2.6.32-358.11.1.el6.x86_64 x86_64

Работает из под непривилегированного пользователя !

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

76. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  –4 +/
Сообщение от Sabakwaka (ok) on 01-Июл-13, 23:03 
> Работает из под непривилегированного пользователя !

Ур-ра!!! :)

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

99. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +/
Сообщение от Аноним (??) on 02-Июл-13, 03:06 
> Ур-ра!!! :)

А вот это - http://seclists.org/fulldisclosure/2013/Jun/161 - тоже работает из-под непривилегированного пользователя :)

Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

11. "Опубликован эксплоит для вызова краха ядра из состава CentOS 6"  –1 +/
Сообщение от Аноним (??) on 01-Июл-13, 13:48 
Это заклинание "Уничтожить нежить", точно вам говорю. ;-) Бойтесь, некроманты!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Опубликован эксплоит для вызова краха ядра из состава CentOS 6"  +/
Сообщение от Аноним (??) on 01-Июл-13, 14:48 
> Это заклинание "Уничтожить нежить", точно вам говорю. ;-) Бойтесь, некроманты!

На Debian stable не работает :(

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

77. "Опубликован эксплоит для вызова краха ядра из состава CentOS 6"  –5 +/
Сообщение от Sabakwaka (ok) on 01-Июл-13, 23:03 
>> Это заклинание "Уничтожить нежить", точно вам говорю. ;-) Бойтесь, некроманты!
> На Debian stable не работает :(

Это Си, детка! :)

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

83. "Опубликован эксплоит для вызова краха ядра из состава CentOS 6"  +4 +/
Сообщение от Аноним (??) on 02-Июл-13, 00:12 
>>> Это заклинание "Уничтожить нежить", точно вам говорю. ;-) Бойтесь, некроманты!
>> На Debian stable не работает :(
> Это Си, детка! :)

^^^ А это спамбот, товарищи.

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

12. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  –2 +/
Сообщение от Zenitur (ok) on 01-Июл-13, 13:57 
[+] polluted kernelspace with more crap
[-] failed.
zenitur@linux-athlon64x2:~/tor-browser_ru/Desktop>

openSUSE 11.4 x86_64, Kernel 2.6.37-20 (2011 год). Странно что не работает. Видимо, виноваты патчи самой Red Hat.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +4 +/
Сообщение от Аноним (??) on 01-Июл-13, 14:11 
"Работа эксплоита проверена на ядрах 2.6.32-220 и 2.6.32-358"

В новости речь идет о RHEL6/CentOS6, причем здесь твой openSUSE?

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  –1 +/
Сообщение от IMHO on 01-Июл-13, 14:19 
меня всегда удивляли линуксоиды, которые в новостях постоянно тестят эксплоиты и пишут не работает, хотя не читают условия, были случаи когда ясно по белому написано, что проявляется эксплоит в архитектуре "х64", но нет, куча линуксоидов с версией х32 напишут что эксплоит не рабочий, ядро защищено круто, а тут потестить в сюзи эксплоит для редхата, это что то новое, даи еще не глянуть в какой версии ядра, я думаю это пик  оптимизма
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

16. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  –4 +/
Сообщение от Zenitur (ok) on 01-Июл-13, 14:39 
> а тут потестить в сюзи эксплоит для редхата

А что, в Red Hat принципиально другое ядро Linux?

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

20. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  –1 +/
Сообщение от Аноним (??) on 01-Июл-13, 14:44 
"Примечательно, что по утверждению представителей Red Hat указанный эксплоит не действует с оригинальным ядром из RHEL 6, но проявляется для пересборок того же ядра, поставляемого в составе CentOS 6 и CloudLinux 6, что заставляет задуматься о методах сборки ядра в Red Hat."
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

59. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +2 +/
Сообщение от pkdr on 01-Июл-13, 19:09 
Вот только по утверждению редхатовцев, всё немножко не так:

https://bugzilla.redhat.com/show_bug.cgi?id=979936

This issue does not affect the version of the kernel package as shipped with
Red Hat Enterprise MRG 2.

This issue affects the versions of Linux kernel as shipped with
Red Hat Enterprise Linux 5 and Red Hat Enterprise Linux 6. Future kernel
updates for Red Hat Enterprise Linux 5 and Red Hat Enterprise Linux 6 may
address this issue.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

92. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  –1 +/
Сообщение от pavlinux (ok) on 02-Июл-13, 00:55 
> что заставляет задуматься о методах сборки ядра в Red Hat."

Доброе утро! В официальной сборке куча патчей, которых нет в исходниках.  


Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

24. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  –2 +/
Сообщение от IMHO on 01-Июл-13, 14:49 
да они его "модифицировали по своему и компеляют по своему"
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

55. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +1 +/
Сообщение от arisu (ok) on 01-Июл-13, 18:43 
>> а тут потестить в сюзи эксплоит для редхата
> А что, в Red Hat принципиально другое ядро Linux?

от vanilla таки сильно отличается.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

115. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +/
Сообщение от Аноним (??) on 02-Июл-13, 10:12 
> А что, в Red Hat принципиально другое ядро Linux?

Да. То что редхат называет 2.6.32 может быть не больно похоже на 2.6.32 и содержать кучу всякого хлама.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

30. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +1 +/
Сообщение от Crazy Alex (ok) on 01-Июл-13, 16:02 
Ладно архитектура - но в чем криминал проверить на своей версии ядра? Или ждете, что вам дядя расскажет, касается ли уязвимость так же вашей версии?
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

31. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  –2 +/
Сообщение от IMHO on 01-Июл-13, 16:19 
а тогда начинается претензия что Линукс самый безопасный, хотя стараешься объяснить, что супер безопасности нету, но тогда "видишь, эксплоит у меня не работает", пока некоторые бьются ластами про безопасность, то тихо и не заметно троянизируют сервера и ломают дата центры
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

32. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  –2 +/
Сообщение от бедный буратино (ok) on 01-Июл-13, 16:21 
> а тогда начинается претензия что Линукс самый безопасный

самый безопасный openbsd

а linux самый умный

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

39. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +2 +/
Сообщение от Аноним (??) on 01-Июл-13, 16:48 
> самый безопасный openbsd

Не, самый безопасный - это выключенный компьютер. Толку примерно столько же, да еще и электричество не жрет, а полезность мало отличается.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

42. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  –5 +/
Сообщение от бедный буратино (ok) on 01-Июл-13, 16:49 
>> самый безопасный openbsd
> Не, самый безопасный - это выключенный компьютер.

Это самый бесполезный (или, наоборот, самый полезный, тут есть нюансы).

А самый безопасный openbsd.


Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

47. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +2 +/
Сообщение от Аноним (??) on 01-Июл-13, 17:04 
> Это самый бесполезный (или, наоборот, самый полезный, тут есть нюансы).
> А самый безопасный openbsd.

Оба перечисленных способа дают примерно одинаковый эффект и по безопасности, и по бесполезности.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

52. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  –3 +/
Сообщение от бедный буратино (ok) on 01-Июл-13, 18:07 
>> Это самый бесполезный (или, наоборот, самый полезный, тут есть нюансы).
>> А самый безопасный openbsd.
> Оба перечисленных способа дают примерно одинаковый эффект и по безопасности, и по
> бесполезности.

И чего ж тебе, красна девонька, не хватает в openbsd?


ps. Лично мне не хватает mongodb и couchdb, как в 2011 году сломали, так и не починили. :( Остальное всё есть.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

68. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +2 +/
Сообщение от Аноним (??) on 01-Июл-13, 21:28 
> И чего ж тебе, красна девонька, не хватает в openbsd?

Операционной системы, например.

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

88. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +2 +/
Сообщение от Аноним (??) on 02-Июл-13, 00:19 
>> И чего ж тебе, красна девонька, не хватает в openbsd?
> Операционной системы, например.

Операционная система - это небезопасно же.

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

100. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +2 +/
Сообщение от Аноним (??) on 02-Июл-13, 03:17 
> И чего ж тебе, красна девонька, не хватает в openbsd?

Драйверов оборудования да софта. Без которых операционка столь же полезна как и полностью выключенный компьютер.

А насколько оно там безопасное - отдельный вопрос. Найти сервак с этим экспонатом - рокетсайнс. Поэтому хакерье вообще не изучает этот экспонат на предмет безопасности. Безопасность по принципу неуловимого Джо получается. Сложно сломать сервак с openbsd, потому что сложно найти такие серваки :). По каким-то таким же причинам сложно сломать сервер с миниксом, хайкой и прочими колибри и мэнуэтами. Все это ничего не говорит о качестве и безопасности кода. О нем говорят анализаторы сырцов, число найденных проблем на 1000 строк кода и прочие нейтральные метрики, не привязанные к субъективизму и популярности ОС. Но для опенбсд всем кажется в облом просто этим заниматься. Даже коверити какой-нибудь припахать тестануть дерево сосрсов всем обломно. Ну дерево сорсов линя они для самопиара прошерстили, помнится. А на опенбсд даже пиар не получится - вот и похрен всем на него...

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

106. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  –2 +/
Сообщение от бедный буратино (ok) on 02-Июл-13, 03:36 
> Драйверов оборудования да софта. Без которых операционка столь же полезна как и
> полностью выключенный компьютер.
> А насколько оно там безопасное - отдельный вопрос.

Который детально описан. Для маленьких детей на сайте openbsd есть даже сайты. Для маленьких взрослых детей сайт openbsd можно скачать через cvs.

(заодно, кстати, нашёл киллерфичу cvs - в отличие от svn, git и прочего, оно не хранит на диске мегазы гигазов хисторизов, и для СКАЧИВАНИЯ - самая удобная вещь).


> Найти сервак с этим
> экспонатом - рокетсайнс. Поэтому хакерье вообще не изучает этот экспонат на
> предмет безопасности. Безопасность по принципу неуловимого Джо получается. Сложно сломать
> сервак с openbsd, потому что сложно найти такие серваки :).

Какая ТЕБЕ разница, если у тебя такой сервер. Тем более, что не нужно бегать, как савраска, чтобы что-то выяснить - команда man - это не "посмотреть ключи", а действительно документация по системе. В отличие от...


> По каким-то таким же причинам сложно сломать сервер с миниксом, хайкой и
> прочими колибри и мэнуэтами. Все это ничего не говорит о качестве
> и безопасности кода. О нем говорят анализаторы сырцов, число найденных проблем
> на 1000 строк кода и прочие нейтральные метрики, не привязанные к
> субъективизму и популярности ОС.
> Но для опенбсд всем кажется в облом  просто этим заниматься.

Давай ты сейчас скажешь, что понятия не имеешь об openbsd. В смысле, вообще. А только умеешь щёки надувать с умным видом, говоря стереотипную банальщину? Чтобы, так сказать, закрепить очевидное.

> Даже коверити какой-нибудь припахать тестануть дерево сосрсов
> всем обломно. Ну дерево сорсов линя они для самопиара прошерстили, помнится.
> А на опенбсд даже пиар не получится - вот и похрен всем на него...

У openbsd нормальный маркетинг, не надо. Просто, когда у кого-то религиозная нетерпимость, тут ничего не поделаешь.

Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

109. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +1 +/
Сообщение от Аноним (??) on 02-Июл-13, 04:13 
> Который детально описан.

Доверять разработчикам самих себя расхваливать может только полный дуб, ибо у разработчиков со временем развивается характерный синдром "свое не пахнет". Поэтому только сторонний анализ вообще людьми с улицы. И только так. Вот если это подтвердит тезис - другой разговор.

> Для маленьких детей на сайте openbsd есть даже сайты.

Ты меня еще на сайт майкрософта пошли читать о фичах винды. Там тоже написано что оно самое безопасное, надежное и прочая. А по факту почему-то каждый месяц "remote attacker ... could compromise... " и прочие завалы торгов на LSE на 8 часов.

> Для маленьких взрослых детей сайт openbsd можно скачать через cvs.

Как хорошо описана целевая аудитория. "Маленькие взрослые дети" играются в разработку операционки. Использование CVS в 2013 году особенно доставляет. А gopher в этом заповеднике технологий не сохранился случайно? :)

> прочего, оно не хранит на диске мегазы гигазов хисторизов, и для
> СКАЧИВАНИЯ - самая удобная вещь).

Вот только скачивать исходники "чтобы скачать" - крeтинизм в терминальной стадии. Над исходниками или уж так или иначе работают, или это просто какой-то балласт на диске, лежащий неизвестно зачем. Вот история гита позволяет мне отмотать на 100 коммитов назад проект размером с линевый кернель за какие-то секунды. И это очень круто. Например, я могу посмотреть - а был ли баг 100 коммитов назад. В конечном итоге за несколько итераций можно найти коммит где посадили баг. Эта техника называется "bisecting". И если с гитом это работает прекрасно, то с SVN/CVS ты обуеешь перекачивать кучу филезов на каждый пук. Если уж я работаю с проектом - наверное мне интересна не одна какая-то сферическая версия в вакууме. А если я с ним не работаю - нафиг мне вообще его сорец винч засоряет?

>> сервак с openbsd, потому что сложно найти такие серваки :).
> Какая ТЕБЕ разница, если у тебя такой сервер.

Мне никакой разницы, ибо у меня таких серверов нет и не будет. У меня нет склонности к некромансии и мазохизму, извини. А еще большую безопасность я могу достичь не включая компьютер вообще. На функциональность не сильно повлияет. Ну вот например, я пользуюсь контейнерами и виртуализацией. Мне это удобно. Прикинь? :)

> Тем более, что не нужно бегать, как савраска, чтобы что-то выяснить - команда man -
> это не "посмотреть ключи", а действительно документация по системе. В отличие от...

Так я и не бегаю. Я однажды настроил все - оно работает. Годами. Мое внимание к системе - единицы минут в месяц в пересчете на сервер. А маны конечно прекрасно, но - не game changer. Нужную мне информацию я по любому найду. А вот если система cannot into virtualization, не умеет контейнеры, полосовку ресурсов и прочая - вот это за 5 минут уже не починишь, вот извини.

> Давай ты сейчас скажешь, что понятия не имеешь об openbsd. В смысле,
> вообще. А только умеешь щёки надувать с умным видом, говоря стереотипную
> банальщину? Чтобы, так сказать, закрепить очевидное.

В смысле, я заранее вижу что оно мне по возможностям не подходит. И уровень развития проекта я могу прикинуть. Поэтому я о нем не имею ни малейшего понятия: того что я о нем узнал мне вполне достаточно чтобы отсеять его еще на самой ранней фазе выбора кандидатов. Если кому-то хочется копаться в игрушечных операционках которые разработчики пишут чисто для своих местечковых нужд - флаг в руки и барабан на шею. Но без меня.

Нет, у этих парней есть парочка интересных вещей. Мне нравится их openntpd, например. Просто потому что мелкий и аккуратный. Но на этом мои симпатии к ним и заканчиваются, пожалуй.

> У openbsd нормальный маркетинг, не надо. Просто, когда у кого-то религиозная нетерпимость, тут ничего не поделаешь.

Не, извини, я просто привык пользоваться современными технологиями. У меня нет архаичного оборудования. Мне нравятся контейнеры и виртуализация и я не вижу чего бы ради я не должен иметь возможность полисовать ресурсы, распилив 1 мощный сервер на кучку маленьких, достаточных для своих субзадач и более-менее изолированных, управляемых как отдельные машины с минимальным набором софта (а потому предельно простые в управлении) и прочая.

Ответить | Правка | ^ к родителю #106 | Наверх | Cообщить модератору

111. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  –3 +/
Сообщение от бедный буратино (ok) on 02-Июл-13, 05:03 
Это всё ахрененно круто и пафосно, только непонятно, как можно сравнивать это с нерабочим компьютерам. Главное, что есть в openbsd - это то, что оно удобно. И secure by default, когда нет желания городить амбразуру вручную, или нет опыта для этого. Но это полноценная операционная система, она стоит у меня на ноутбуке.

Да, оборудование многое не поддерживается, но это только вопрос количества разработчиков. Чем больше интереса к ос, тем больше разработчиков с разным оборудованием.

Но и linux неидеален, несмотря на всё. Я так и не понимаю, почему оно иногда до полусмерти тормозить начинает, что ничего и не поделаешь. Я не вижу смысла покупать "дорого современное оборудование" (для меня компьютер - это расходные материалы, а не вещь на века), чтобы можно было хотя бы что-то запустить. Причём, что самое смешное, на одном из компьтеров Debian Lenny работало идеально и очень быстро, а новые ядра - работают ужасно, с затупами в самых непонятных местах, на разных компьютерах. Меня это не устраивает, мне нужен надёжный и отзывчивый инструмент.

Ответить | Правка | ^ к родителю #109 | Наверх | Cообщить модератору

112. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +1 +/
Сообщение от Аноним (??) on 02-Июл-13, 07:23 
> Это всё ахрененно круто и пафосно, только непонятно, как можно сравнивать это
> с нерабочим компьютерам.

Ну вот так вот и можно - для меня толку примерно одинаково. Мои нужды оно не обеспечивает, что так FAIL, что эдак.

> Главное, что есть в openbsd - это то, что оно удобно.

Понятия об удобстве у всех разные. И лично мне как-то не удобно если у меня половина оборудования не заработает (спасибо если вообще загрузится).

> И secure by default, когда нет желания городить амбразуру вручную,

И что именно там так уж суперсекурно? Мне вот например нравится по соображениям безопасности и надежности разносить разные сервисы на разные виртуалки или хотя-бы контейнеры. Это и просто админить и impact от поимения сервиса из-за багов в сервисе ограничивается только самим сервисом. Тут мне понятно почему так безопаснее - я вижу дополнительный барьер на пути хакера. А какой-то общий буллшит о том что безопасно - меня совершенно ни в чем не убеждает. Технические аргументы в пользу этой точки зрения давайте, или GTFO. Кто там как себя пяткой в грудь долбит - мне не интересно.

> или нет опыта для этого. Но это полноценная операционная
> система, она стоит у меня на ноутбуке.

Вот только понятия о полноценности у всех разные. Для меня полноценная система - это система которая поддерживает более-менее все возможности имеющегося у меня оборудования и покрывает мои задачи и хотелки. Это явно не про openbsd.

> Да, оборудование многое не поддерживается, но это только вопрос количества разработчиков.

Ну какое управление проектом - такой и результат.

> Чем больше интереса к ос, тем больше разработчиков с разным оборудованием.

У граждан было достаточно времени чтобы сделать интересный кому-то проект и набрать разработчиков. Этого не произошло. Значит управление проектом в целом - шляпа. Какие тут еще выводы можно сделать?

> Но и linux неидеален, несмотря на всё.

Ясен пень. Но там есть работоспособная команда, способная на многое. Им не надо оправдывать голость зада - они просто идут и работают. И делают это хорошо. И наступает момент когда их зады уже не сверкают голизной. И да, если надо наладить производство ткани для портков - они идут и налаживают. Построив при необходимости цех и поставив оборудование. А не пытаются доказать всему миру что мол и без портков можно жить. Можно. Но с портками - лучше чем без.

> Я так и не понимаю, почему оно иногда до полусмерти тормозить начинает,
> что ничего и не поделаешь.

Если у тебя древний кернель - может быть 12309 вылез, aka большая очередь страниц на выжимку при тормозном диске (ноутбячные диски - полный ад в плане скорости работы). Так что апликуху попросившую память надолго клинит пока ядро пытается выжать страницы кэша на тормозной диск чтобы отдать память программе. В более-менее свежих ядрах эту логику поправили и оно на тормозных дисках так больше не делает. Если это не оно - ну так кто ж кроме тебя это знает? Подобные баги бывают, но на данный момент таких багов осталось реально немного.

Фокус в том что у тебя скорее всего какое-то винтажное железо которого у разработчиков нет и шансы что кто-то из них сам поймает такой баг - около ноля, а в более обычных конфигах оно вообще не лезет скорее всего.

> Я не вижу смысла покупать "дорого современное оборудование"
> (для меня компьютер - это расходные материалы, а не вещь на века),

Ого, настолько эпичных взаимоисключающих параграфов я давненько не видал. Ты там походу на ноль постоянно делишь? Ну дели, флаг тебе в руки.

> на разных компьютерах. Меня это не устраивает, мне нужен надёжный и
> отзывчивый инструмент.

Как ты понимаешь, у вон тех десятков миллионов оно как-то так и работает. Иначе бы они этим нифига не пользовались просто-напросто. А если на лично твоем винтажном железе которого больше ни у кого не осталось что-то работает не идеально - не вижу даже чем тебе помочь. Или лови баги сам, или натурально вали на другую систему, или что там тебе удобнее. Чудес не бывает. А на других наборах оборудования ситуация как ты понимаешь иная.

Ответить | Правка | ^ к родителю #111 | Наверх | Cообщить модератору

113. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  –2 +/
Сообщение от бедный буратино (ok) on 02-Июл-13, 07:59 
> Мои нужды оно не обеспечивает, что так FAIL, что эдак.

А, так ты из этих, из бессловесных? Разговор исчерпан. С таким уровнем риторики нет смысла о чём-то говорить.

Ответить | Правка | ^ к родителю #112 | Наверх | Cообщить модератору

116. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +2 +/
Сообщение от Аноним (??) on 02-Июл-13, 10:19 
> А, так ты из этих, из бессловесных? Разговор исчерпан. С таким уровнем
> риторики нет смысла о чём-то говорить.

Так я тебе вроде-бы русским языком написал что мне нужны виртуализация и контейнеры. Я этим пользуюсь. На регулярной основе. И мне это нравится. У тебя проблемы с пониманием русского языка?

Дополнительно я могу отметить что применительно к десктопу я весьма тепло отношусь к идее открытого драйвера GPU который сможет и весьма приличное 3D в играх, и вывод видео, в том числе ускорение через аппаратный UVD, акселерацию вычислений OpenCL на GPU и прочие плюшки.

И если без игр еще можно перекантоваться (хоть и не больно то приятно), кино я смотрю редко, да и проц его выдюжит, то вот например вычисления на GPu мне бы очень хотелось видеть, например. Я считаю это ключевой областью, очень интересной и нужной для меня. Да, я думаю что у этого семейства технологий большое будущее.

Для линя - закрытый драйвер это уже сейчас может. Открытый - по минимуму тоже уже может. Есть какие-то разумные оценки когда это доползет в openbsd? Не, мне не надо в следующем веке, если что. Я при жизни хочу этим попользоваться, извини.

Ответить | Правка | ^ к родителю #113 | Наверх | Cообщить модератору

118. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  –3 +/
Сообщение от бедный буратино (ok) on 02-Июл-13, 10:59 
> Так я тебе вроде-бы русским языком написал

Нет, не русским. Русским языком пишет Пушкин и Достоевский. Языком с "FAIL", "делением на ноль" и ещё сотней штампов, бездумное повторение которых заставляет сомневаться в том, что у их копирователя (я не могу сказать "автора") вообще есть что-то в голове, пишет только шушера всякая, которая не умеет мыслить глубоко и всесторонее, а только занимается передачей децибел. Я не читаю такие сообщения, потому что не могу, чисто физически. Мне больно такое читать.

А ещё в русском языке пишут "вроде бы".

Важно не только то, что написано. Ещё важно, как. Какой смысл устраивать полемику с теми, кто мыслит однобоко? Только мышей смешить.

Ответить | Правка | ^ к родителю #116 | Наверх | Cообщить модератору

122. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +2 +/
Сообщение от Аноним (??) on 02-Июл-13, 13:59 
>[оверквотинг удален]
> Нет, не русским. Русским языком пишет Пушкин и Достоевский. Языком с "FAIL",
> "делением на ноль" и ещё сотней штампов, бездумное повторение которых заставляет
> сомневаться в том, что у их копирователя (я не могу сказать
> "автора") вообще есть что-то в голове, пишет только шушера всякая, которая
> не умеет мыслить глубоко и всесторонее, а только занимается передачей децибел.
> Я не читаю такие сообщения, потому что не могу, чисто физически.
> Мне больно такое читать.
> А ещё в русском языке пишут "вроде бы".
> Важно не только то, что написано. Ещё важно, как. Какой смысл устраивать
> полемику с теми, кто мыслит однобоко? Только мышей смешить.

С тобой, например?

Ответить | Правка | ^ к родителю #118 | Наверх | Cообщить модератору

124. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +1 +/
Сообщение от Аноним (??) on 03-Июл-13, 05:24 
> Нет, не русским. Русским языком пишет Пушкин и Достоевский.

Окей, смесью русского с английским. Не больно какая разница. Хотя если настаиваешь, я могу заменить слово "FAIL" на "былинный отказ". Смысл ситуации с моей точки зрения ими описывается более-менее одинаково.

> Языком с "FAIL", "делением на ноль" и ещё сотней штампов,

Кто ж виноват что очень многие ситуации прекраcно попадают под штампы? Хреновое управление проектом - совершенно обыденная ситуация в мире IT.

> "автора") вообще есть что-то в голове, пишет только шушера всякая, которая
> не умеет мыслить глубоко и всесторонее,

Ты по моим наблюдениям вообще мыслить почти не умеешь, поэтому предоставим такие оценки более квалифицированным экспертам. Чья квалификация подтверждена чем-то более существенным чем полкило ничем не подкрепленного апломба на форуме.

> а только занимается передачей децибел.

Некоторые вон вообще языком треплют, не задумываясь о том что они сказали. А что такое передача децибел через форум? Я тут ни 1 аудиофайла не вижу ;)

> Я не читаю такие сообщения, потому что не могу, чисто физически.
> Мне больно такое читать.

Ясен перец - тебе же нечем меня порадовать, твой фетиш не сможет обеспечить нужные и интересные мне возможности еще многие годы или даже десятилетия. В общем обычный плач погонщика паровых машин о том что бензиновые двигуны оказались лучше.

> А ещё в русском языке пишут "вроде бы".

Пусть пишут, мне не жалко.

> Важно не только то, что написано. Ещё важно, как. Какой смысл устраивать
> полемику с теми, кто мыслит однобоко? Только мышей смешить.

Ну так и запишем: оппонент слил. Слив засчитан.

Ответить | Правка | ^ к родителю #118 | Наверх | Cообщить модератору

48. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +3 +/
Сообщение от c0smonaut (ok) on 01-Июл-13, 17:40 
Это точно из серии "купи слона"!

> Linux - самый безопасный
>> Linux - самый умный, а самый безопасный openbsd
> Самый безопасный - выключеный комп
>> Он самый бесполезный, а самый безопасный openbsd
> Вышло новое ядро Linux
>> Ядро - самое новое, а самый безопасный openbsd

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

51. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  –3 +/
Сообщение от бедный буратино (ok) on 01-Июл-13, 18:06 
> Это точно из серии "купи слона"!
>> Linux - самый безопасный
>>> Linux - самый умный, а самый безопасный openbsd
>> Самый безопасный - выключеный комп
>>> Он самый бесполезный, а самый безопасный openbsd
>> Вышло новое ядро Linux
>>> Ядро - самое новое, а самый безопасный openbsd

Взял всю тайну раскрыл. Теперь скрипты переписывать придётся...

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

60. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +2 +/
Сообщение от Аноним (??) on 01-Июл-13, 19:17 
>> самый безопасный openbsd
> Не, самый безопасный - это выключенный компьютер. Толку примерно столько же, да
> еще и электричество не жрет, а полезность мало отличается.

OpenBSD как платформа для проекта-это и есть почти выключенный компьютер.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

61. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  –2 +/
Сообщение от бедный буратино (ok) on 01-Июл-13, 19:20 
>>> самый безопасный openbsd
>> Не, самый безопасный - это выключенный компьютер. Толку примерно столько же, да
>> еще и электричество не жрет, а полезность мало отличается.
> OpenBSD как платформа для проекта-это и есть почти выключенный компьютер.

Чего конкретно не хватает?

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

62. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +4 +/
Сообщение от Аноним (??) on 01-Июл-13, 19:45 
>>>> самый безопасный openbsd
>>> Не, самый безопасный - это выключенный компьютер. Толку примерно столько же, да
>>> еще и электричество не жрет, а полезность мало отличается.
>> OpenBSD как платформа для проекта-это и есть почти выключенный компьютер.
> Чего конкретно не хватает?

Проблемы с утилизацией многоядерных процессоров, и smp машин.Плохо тянет "тяжёлые"
приложения, хотя, как десктоп, очень даже ничего.

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

69. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +2 +/
Сообщение от Аноним (??) on 01-Июл-13, 21:30 
> Проблемы с утилизацией многоядерных процессоров, и smp машин.Плохо тянет "тяжёлые" приложения

Не говоря уже о проблемах использования подавляющего большинства современного железа.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

101. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +2 +/
Сообщение от Аноним (??) on 02-Июл-13, 03:19 
> хотя, как десктоп, очень даже ничего.

Ага, если забыть о проблемах с power management, отсутствии драйверов GPU, тотальном пофигизме разработчиков десктопного софта относительно этой системы и прочих прелестях жизни.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

41. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +1 +/
Сообщение от Аноним (??) on 01-Июл-13, 16:49 
> самый безопасный openbsd

Потому что там, как в дебиане - remote root уязвимостью не считается :)
С таким подходом openbsd, действительно, самая безопасная система - в ней просто нет уязвимостей.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

44. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  –2 +/
Сообщение от бедный буратино (ok) on 01-Июл-13, 16:50 
>> самый безопасный openbsd
> Потому что там, как в дебиане - remote root уязвимостью не считается

Считается. Если он реалный. Если воображаемый - то нет.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

46. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +1 +/
Сообщение от Аноним (??) on 01-Июл-13, 17:02 
>> Потому что там, как в дебиане - remote root уязвимостью не считается
> Считается. Если он реалный. Если воображаемый - то нет.

Любой remote root в дебиане или openbsd - воображаемый по определению. Потому что это самые безопасные системы, и в них не может быть уязвимостей. См. рис. 1.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

102. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +/
Сообщение от Аноним (??) on 02-Июл-13, 03:26 
> Любой remote root в дебиане или openbsd - воображаемый по определению.

Честно говоря я так и не смог вспомнить когда в лине был ремотный рут. А он был?

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

71. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +/
Сообщение от Аноним (??) on 01-Июл-13, 21:53 
>> а тогда начинается претензия что Линукс самый безопасный
> самый безопасный openbsd
> а linux самый умный

тогда уж Qubes с стрекозой упомянули бы.
вот где все это логично/органично решено.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

84. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +2 +/
Сообщение от Аноним (??) on 02-Июл-13, 00:14 
> тогда уж Qubes с стрекозой упомянули бы.
> вот где все это логично/органично решено.

Ну, там над безопасностью _работают_, а не _говорят_ о ней, как в openbsd.
Вот и пусть работают. А мы поговорим.

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

49. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +/
Сообщение от Crazy Alex (ok) on 01-Июл-13, 17:53 
Ну, дураков везде хватает. Но в разумных пределах - вполне стоит у себя в тестовых окружениях гонять
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

36. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +2 +/
Сообщение от Аноним (??) on 01-Июл-13, 16:45 
> меня всегда удивляли линуксоиды, которые в новостях постоянно тестят эксплоиты и пишут
> не работает, хотя не читают условия,

Ну да, это ж не сплойт на подъем прав в вашей фрибсдшчке, который как из пушки по всей пиoнерии :)

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

54. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  –1 +/
Сообщение от IMHO on 01-Июл-13, 18:22 
какой сплоит, нашли уязвимость и пофиксили сразу, новость создали, что есть исправления, правильно сделали, что бы все знали, а в даном примере:
> Обновление пакета с ядром с устранением уязвимости пока недоступно.

сплоиты уже начали писать после оформления новости, я сделал обновление, пусть радуются дальше. А тут если перебрал ядро, то  еще и волноваться надо, хацкеры уже побежали тестить на своих хостингах эксплоит


Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

56. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +/
Сообщение от arisu (ok) on 01-Июл-13, 18:45 
(пожимает плечами) на дворе уже 3.10, а геронтофилы всё ищут новые позы для бабушки.
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

104. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +/
Сообщение от Аноним (??) on 02-Июл-13, 03:33 
> (пожимает плечами) на дворе уже 3.10, а геронтофилы всё ищут новые позы для бабушки.

Ну энтерпрайзники - с ними все понятно, они там блобья накупили и вынуждены мыкаться теперь. По этому поводу коммерческий саппорт мастхэв. А вот зачем остальные этот кактус кушают - для меня всегда было загадкой.

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

103. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +/
Сообщение от Аноним (??) on 02-Июл-13, 03:32 
> какой сплоит, нашли уязвимость и пофиксили сразу, новость создали, что есть исправления,

Ну дык и и лине как-то так же. Использовать 2.6.32, на которое разработчики уже в основном забили - без реальной нужды имхо вообще не следует. На рхел таковой нуждой может быть совместимость с проприетарными блобами и саппорт всего этого ("вляпались в проприетарь"). А зачем остальным с этим крапом мумукаться - я вообще не понимаю.

Грубо говоря, юзеж центосины и прочая - это желание ощутить себя ынтырпрайзом со всеми его проблемами. И без коммерческого саппорта который бы занимался их решением. Зачем?

> сплоиты уже начали писать после оформления новости

Are you nut? Сначала сплойт повяился, потом новость появилась.

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

114. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  –1 +/
Сообщение от IMHO on 02-Июл-13, 09:37 
там был эксплоит для проверки уязвимости, а не опубликованный эксплоит, которым хрен знает сколько пользовались, пока не попал в паблик.
> Дополнение 1: доступен эксплоит для проверки системы на наличие уязвимости.

кроме того если не сделал обновление, тогда:
>Дополнение 2: в качестве обходного пути защиты от проявления уязвимости достаточно >запретить непривилегированным пользователям выполнение ptrace - "sysctl >security.bsd.unprivileged_proc_debug=0".

а с энтерпрайзом дрожать надо на каждом углу

Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

117. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +2 +/
Сообщение от Аноним (??) on 02-Июл-13, 10:36 
> там был эксплоит для проверки уязвимости, а не опубликованный эксплоит, которым хрен
> знает сколько пользовались, пока не попал в паблик.

Это где? В том сплойте во фре то? Хм, ага-ага, интересная там проверочка:
  if (geteuid() == 0)  {
        setuid(0);
        execl(SH, SH, NULL);
        return 0;
   }
...после которой в случае успешного взлома - запускается рутовый шелл и дальше можно делать что угодно с правами рута :). Вполне себе "боевой" экспонатец по своим свойствам. Т.е. если попадется уязвимая система, ее этим долбануть как делать нефиг.

>запретить непривилегированным пользователям выполнение ptrace - "sysctl >security.bsd.unprivileged_proc_debug=0".

Даже бyбyнтуи доперли это делать по дефолту: слишком уж много у ptrace потенциально проблемных применений. А бсдшники чешутся только когда им вот так в лоб засветит, с весьма едким коментом в заголовке сплойта от его автора :).

Но столь детские грабельки на которые граждане в i++'й раз наступили - совершенно не мешают устраивать фанатам полкило понтов на форумах :).

> а с энтерпрайзом дрожать надо на каждом углу

Энтерпрайзники - довольно долбанутые типы, со своими закидонами и странными приоритетами. Что вы как маленький то? Вы никогда энтырпрайзников не видели чтоли?

Конкретно редхат - тягает эти окаменелости для сохранения api/abi "как в 2.6.32" чтобы у энтерпрайзников проприетарь всякая не отвалилась. А вот зачем центосникам всяким мумукаться с сильно допатченым 2.6.32 - для меня вообще загадка природы. Мне сомнительно что те кто юзают центось как-то парятся насчет abi т.к. проприетарной энтерпрайзятины у них обычно нет и эта коронная фича редхата им как зайцу стопсигнал.

Ответить | Правка | ^ к родителю #114 | Наверх | Cообщить модератору

123. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  –4 +/
Сообщение от IMHO on 02-Июл-13, 14:51 
> ага-ага, интересная там проверочка:

а как линукс специалисты проверяют руткиты ? Ах да, не на том ячдре и не на той архитектуре если указаны условия, знаем, знаем

> А бсдшники чешутся только когда им вот так в лоб засветит,

ага, я прочитал новость и меня кинуло в пот, поднялась температура и я проснулся в больнице, так страшно стало ))))
я просто сделал обновление.

> Энтерпрайзники - довольно долбанутые типы, со своими закидонами и странными приоритетами.

спасибо, энтерпрайз не линукс, копайте сами себя дальше


Ответить | Правка | ^ к родителю #117 | Наверх | Cообщить модератору

125. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +/
Сообщение от Аноним (??) on 03-Июл-13, 05:41 
>> ага-ага, интересная там проверочка:
>  а как линукс специалисты проверяют руткиты ?

Казалось бы, как проверка в коде на успешный взлом и получение рута связана с проверкой на руткиты? :)

> Ах да, не на том ячдре и не на той архитектуре если указаны условия, знаем, знаем

Что это за буллшит? Если уж вы на свой зад вспомнили про проверку руткитов - я помню как или izen, или nagual, в общем кто-то из очередного ламерья с бсд, ржали над переустановкой системы после обнаружения в ней руткита. Убогие существа совсем cannot into hooking system calls. КрЮтые профессионалы. Тем временем, убунтушик уже завернул у себя на системе некоторые системные вызовы. Just for fun.

>> А бсдшники чешутся только когда им вот так в лоб засветит,
> ага, я прочитал новость и меня кинуло в пот, поднялась температура и
> я проснулся в больнице, так страшно стало )))) я просто сделал обновление.

А половина пЫонеров еще и обновление пробакланит. Купившись на байки о том как это крЮто, неломабельно, бла-бла-бла.

> спасибо, энтерпрайз не линукс, копайте сами себя дальше

Не знал что вы хотели этим сказать. Но в энтерпрайзах линуха нынче навалом. В отличие от ваших фетишей, которые много откуда повылетать умудрились. Thanks to unadequate project management.

Ответить | Правка | ^ к родителю #123 | Наверх | Cообщить модератору

18. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +/
Сообщение от anonymous (??) on 01-Июл-13, 14:43 
хм...
$ uname -s -r -p
Linux 2.6.32-358.11.1.el6.x86_64 x86_64
$ cat /etc/redhat-release
Red Hat Enterprise Linux Workstation release 6.4 (Santiago)
$ gcc hemlock.c -o hemlock
$ ./hemlock
[+] giving ourselves some poison...
[+] polluted kernelspace with more crap
[+] polluted kernelspace with more crap
[+] polluted kernelspace with more crap
[+] polluted kernelspace with more crap
kernel panic
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +/
Сообщение от Eol667 on 01-Июл-13, 15:05 
вот это
http://www.1c-bitrix.ru/download/vmbitrix.php
падает на ура (СентОс однако)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

37. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +/
Сообщение от Аноним (??) on 01-Июл-13, 16:46 
Что вы от битрикса хотели? Качественных продуктов? :)
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

40. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +2 +/
Сообщение от бедный буратино (ok) on 01-Июл-13, 16:49 
> Что вы от битрикса хотели?

шмерти

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

105. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +/
Сообщение от Аноним (??) on 02-Июл-13, 03:36 
> шмерти

Я бы даже пожелал ее большей части продукции 1С. Ибо шит лютейший. Жаль что хомяки падки на всякое г@вно. При том битрикс настолько г@вно что даже самый криворукий быдлoкодер на пыхе от него плюется. Впрочем, для особых ценителей сортов - есть версия на ASP мелкомякотном вроде :)

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

33. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +/
Сообщение от NoName on 01-Июл-13, 16:38 
Видимо RedHat компилят его для америк служб ПриZм), поэтому и не взламывается))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

72. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  –1 +/
Сообщение от Аноним (??) on 01-Июл-13, 22:01 
ну, если собирается без секьюрных плющек тело и нету ни аудита ни IPS дееспособных в дистре - вопрос небольшого времени.
учитывая кол-во как "бывших", так и не особо как внутри менеджмента/стэйкхолдеров, шапки, так и не очень - я бы очень удивился бы, возникни у них с этим, проблемы =)
это не CISCO systems, на менеджмент которой одно время устроили настоящую охоту/травлю с подставами =)
и не ряд европейских ИТ-компаний, которых месяцами блэкмэйлили )
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

93. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +/
Сообщение от Аноним (??) on 02-Июл-13, 02:12 
Это что было?
Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

119. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +1 +/
Сообщение от arisu (ok) on 02-Июл-13, 13:00 
> возникни у них с этим, проблемы =)

битый час ломаю голову: пытаюсь понять, на что ты хотел намекнуть этой запятой. неужели на то, что запятые у тебя периодически ставит Великий Рандом?!

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

126. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +/
Сообщение от Аноним (??) on 03-Июл-13, 05:43 
Парсер долго пытался прожевать этот кусок текста, но в конечном итоге пришлось прийти к выводу что этот текст не был сгенерен разумным существом. Протрезвейте и попробуйте снова.
Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

35. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +/
Сообщение от Аноним (??) on 01-Июл-13, 16:45 
2.6.32-ovz-el-alt95 - работает :(
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

50. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  –1 +/
Сообщение от Аноним (??) on 01-Июл-13, 18:01 
Debian 6.0.7  2.6.32-5-xen-686  не работает
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

91. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +1 +/
Сообщение от pavlinux (ok) on 02-Июл-13, 00:52 
Мы на мелочи не размениваемся, если дыры, то сразу 1200 штук! :)
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

57. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +/
Сообщение от Аноним (??) on 01-Июл-13, 18:48 
https://bugzilla.redhat.com/show_bug.cgi?id=979936
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

66. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  –1 +/
Сообщение от Михрютка (ok) on 01-Июл-13, 20:39 
>we are kfree()ing kzalloc_ip_options() alloced opts.

молодцы, чо.

впрочем, конь о четырех ногах, и то спотыкается.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

107. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +/
Сообщение от Аноним (??) on 02-Июл-13, 03:37 
> впрочем, конь о четырех ногах, и то спотыкается.

Чо, понравилось поздравление с 20-летием? То-то :)

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

128. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +/
Сообщение от Av (ok) on 04-Июл-13, 08:36 
> Чо, понравилось поздравление с 20-летием? То-то :)

И тебя когда-нибудь поздравят с 20-летием, если вести себя правильно будешь.

Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору

58. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  –2 +/
Сообщение от Аноним (??) on 01-Июл-13, 18:52 
На Slackware 13.1 i486, 2.6.32.57 не работает

// капча 32524

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

64. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  –1 +/
Сообщение от linux must __RIP__ on 01-Июл-13, 20:29 
мда.. вынесли в мини новости? забавно..
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

74. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +1 +/
Сообщение от anonymous (??) on 01-Июл-13, 22:13 
ну новость действительно не велика. да, нашли локальную уязвимость в ядре, неприятно.
но в ядре не ванильном а редхэт. и заплатка вероятно уже в пути, ничего особо страшного не произошло
Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

78. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  –4 +/
Сообщение от Sabakwaka (ok) on 01-Июл-13, 23:05 
> ну новость действительно не велика. да, нашли локальную уязвимость в ядре, неприятно.
> но в ядре не ванильном а редхэт. и заплатка вероятно уже в
> пути, ничего особо страшного не произошло

Да в РедХете-то, как раз, и не работает?

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

79. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +1 +/
Сообщение от anonymous (??) on 01-Июл-13, 23:46 
>> ну новость действительно не велика. да, нашли локальную уязвимость в ядре, неприятно.
>> но в ядре не ванильном а редхэт. и заплатка вероятно уже в
>> пути, ничего особо страшного не произошло
> Да в РедХете-то, как раз, и не работает?

У меня RHEL 6.4 - работает (выше писал)...

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

80. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  –1 +/
Сообщение от Sabakwaka (ok) on 02-Июл-13, 00:00 
Афигеть...
Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

90. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +1 +/
Сообщение от Аноним (??) on 02-Июл-13, 00:22 
>> ну новость действительно не велика. да, нашли локальную уязвимость в ядре, неприятно.
>> но в ядре не ванильном а редхэт. и заплатка вероятно уже в
>> пути, ничего особо страшного не произошло
> Да в РедХете-то, как раз, и не работает?

Ты новость-то читал, ботик?

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

108. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +/
Сообщение от Аноним (??) on 02-Июл-13, 03:38 
> мда.. вынесли в мини новости? забавно..

Ну так дырка только в окаменелом ядре да еще не всех вариантах сборки. По поводу чего ее масштабы крайне далеки от эпических.

Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

110. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +1 +/
Сообщение от Led (ok) on 02-Июл-13, 04:25 
> мда.. вынесли в мини новости? забавно..

Для такого M$-бота и это слишком большая честь.

Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

73. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  –1 +/
Сообщение от Аноним (??) on 01-Июл-13, 22:09 
reweto!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

89. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  –1 +/
Сообщение от Аноним (??) on 02-Июл-13, 00:21 
> reweto!

Ты сделал несколько ошибок в слове "pешeто".

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

129. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +/
Сообщение от Аноним (??) on 09-Июл-13, 23:23 
2.6.18-348.6.1.el5
CentOS release 5.9 (Final)

работает. kernel panic

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

130. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +/
Сообщение от Аноним (??) on 10-Июл-13, 16:34 
и хвалёный selinux не сработал.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

131. "Опубликован эксплоит для вызова краха ядра из состава RHEL 6"  +/
Сообщение от Stax (ok) on 14-Июл-13, 16:50 
Он в основном от другого защищает. Например, если в каком-то сервисе из-за уязвимости была получена возможность выполнения произвольного кода, в том числе с правами рута, толком ничего с этим сделать нельзя - конфиги сервиса прочие управляющие им вещи открываются только для чтения, обратиться к другим файлам/сокетам/прочим ресурсам сверх тех, что положены данному сервису невозможно.
Т.е. он в применении больше подобен разграничению прав, при этом позволяя ограничивать даже вещи, которые обычной системой не ограничиваются и даже коду, который выполняется с правами рута.

А от жестких багов в ядре в тех службах, которые все-таки необходимы данной программе для штатной работы, он защитить обычно не может.

(ну а то, что ручное выполнения эксплоита из пользовательского шелла вообще не попадает под защиту selinux в конфигурацию по умолчанию, когда защищаются только конкретные сервисы, все наверное и так должны понимать..)

Ответить | Правка | ^ к родителю #130 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру