|
| 1.2, Аноним (2), 13:22, 22/02/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +13 +/– |
Сколько наворочено всяких концепций, которые управляют другими, которые... Пора возвращаться к простоте.
| | |
| |
| |
| 3.9, пох. (?), 13:40, 22/02/2022 [^] [^^] [^^^] [ответить]
| –11 +/– | |
Там та, которая хуже воровства.
Ставьте ведро 3.0.100какоето- там еще нормальный iptables.
Без вот этого вот "очень похожего на BPF, но не так чтоб сохранить копирайты Berkley"
| | |
| |
| 4.10, Аноним (10), 13:42, 22/02/2022 [^] [^^] [^^^] [ответить]
| +5 +/– | |
>Ставьте ведро 3.0.100какоето-
Старый код = неисправленные уязвимости.
| | |
| |
| |
| 6.106, Аноним (-), 13:12, 23/02/2022 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Зря ты так про фряху. Фряха идеальна!
История с вайргадом в фряхе сойдет за идеальныое что, детектив?!
| | |
| |
| 7.126, Аноним (126), 15:52, 23/02/2022 [^] [^^] [^^^] [ответить] | +/– | Не попавшая в релиз и за которую разраба с треском выперли То ли дело история с... большой текст свёрнут, показать | | |
| |
| 8.136, Аноним (-), 19:35, 23/02/2022 [^] [^^] [^^^] [ответить] | +/– | После того как он втянул код и саботировал вынос этого трэша, и все это потребов... большой текст свёрнут, показать | | |
|
|
|
| 5.48, пох. (?), 17:26, 22/02/2022 [^] [^^] [^^^] [ответить]
| –1 +/– | |
То ли дело зеродеи в новом, модном коде!
(а из серьезных там разьве что n_tty, да и та вроде в последних версиях кое-как прикрыта)
| | |
| |
| 6.51, Аноним (2), 17:36, 22/02/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Сложите вместе эти два факта. Из этого следует, что стоит искать актуальный код, но не "модно-молодёжный".
| | |
| |
| 7.77, Анто Нимно (?), 07:17, 23/02/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
Молодёжно-халявный, так, вероятно, стоит трактовать модно-молодёжность в контексте кода.
| | |
|
| 6.107, Аноним (-), 13:17, 23/02/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> То ли дело зеродеи в новом, модном коде!
можно подумать в старом их не бывает, старый сишный код вообще часто писан без секурити в голове, лишь бы работало, долбать эксплойтами стали ведь уже потом
| | |
|
|
| |
| 5.53, пох. (?), 18:49, 22/02/2022 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Уязвимость в модном-молодежном "почти как bpf но без лицензии bsd" нетфильтре.
А в 3.0.100 немодный, он правила выполняет в том виде, в котором их собирает iptables, и там нет никакого nf_tables_api.c поскольку они никуда не "компилируются".
Офлоада, правда, тоже нет, но полагаю это не последний баг и не все они будут связаны с офлоадом.
| | |
|
| |
| 5.49, Аноним (2), 17:30, 22/02/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> 3.4 FreeBSD - это единственная ОС из других *BSD с проприетарными драйверами. Полный успех.
В любой есть.
| | |
| 5.64, Аноним (64), 21:54, 22/02/2022 [^] [^^] [^^^] [ответить]
| +/– |
> p.s.
>анонимные комментаторы там в игноре
) Только ум, честь и совесть эпохи. Кстати, в свете последних постановлений надо доставать РК-86?
| | |
| |
| 6.109, Аноним (-), 13:20, 23/02/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
а что ему делать было, когда основная трабла - "нет исходников иконок в svg" и операционки некроманские это гарантирует характерные коменты и жесты пальцами около виска )))
| | |
|
|
| 4.44, ух (?), 17:04, 22/02/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
а мусью может пояснить, что именно не устроило их величество? в handbook много букв? нет systemd? kde не патчится? докер не едет через докер?
| | |
| |
| 5.56, пох. (?), 19:14, 22/02/2022 [^] [^^] [^^^] [ответить]
| –2 +/– | |
Могу, но ты все равно не сможешь понять.
У вас три пакетных фильтра с невменяемым синтаксисом, один мертвый, второй полуработающий а третий вообще ни для чего непригоден из-за плоского конфига с номерками, здравствуй 96й год когда сети были примитивные и списки правил умещались на экран 80x24.
userspace helpers, XXI век, userspace helpers для тривиального исправления одного байта в передаваемом пакетике а не какой-то суперсложной обработки (на которую в линуксе закладывались но так и не придумали к чему бы применить)...
| | |
|
| 4.65, Аноним (65), 21:59, 22/02/2022 [^] [^^] [^^^] [ответить]
| +/– | |
>Ставьте ведро 3.0.100какоето
Когда-то в линуксе развитие сопровождалось прогрессом. А теперь фанатики с "прогрессом" борятся.
Прекрасно, чо!
| | |
| |
| 5.78, Анто Нимно (?), 07:20, 23/02/2022 [^] [^^] [^^^] [ответить]
| +/– | |
Когда софт стали делать не инженеры, а инженеры с бизнесменами, то качество изменилось - заболачивается.
Оборотная сторона победы. Победа интересна с перспективы продать, на ней карьеру построить.
| | |
|
| 4.105, Аноним (-), 13:09, 23/02/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> Ставьте ведро 3.0.100какоето- там еще нормальный iptables.
и получите мешочек известных вулнов в подарок, при том фиксить их там уже точно никто не будет
и что мешает отключить вон то в билдконфиге ядра? джедаи не ищут простых путей?
| | |
|
| 3.18, Sultan (?), 14:08, 22/02/2022 [^] [^^] [^^^] [ответить]
| +8 +/– |
Если фря наберёт такие обороты, то и там найдут кучи дырок. Нахождение уязвимостей - вопрос интереса к системе.
| | |
| |
| 4.41, Аноним (39), 16:50, 22/02/2022 [^] [^^] [^^^] [ответить]
| +/– |
Во всех плейстейшенах и в нинтендо свитч фряха. Это прям дофига устройств. И что ты там найдешь?
| | |
| |
| 5.70, Аноним (70), 00:00, 23/02/2022 [^] [^^] [^^^] [ответить]
| +/– |
Ты думаешь Сони и Нинтендо искали баги, а не просто взяли готовую кодовую базы и сделали на ее основе продукт под свои нужды? Или к чему тогда твое сообщение, оно ведь никак не контраргументирует высказывание про баги фряхи, которые не нашли ибо не искали
| | |
| |
| 6.73, Аноним (-), 00:40, 23/02/2022 [^] [^^] [^^^] [ответить]
| +/– |
>>> Если фря наберёт такие обороты
>> ... Это прям дофига устройств.
> Ты думаешь Сони и Нинтендо искали баги, а не просто взяли готовую
> кодовую базы и сделали на ее основе продукт под свои нужды?
> Или к чему тогда твое сообщение, оно ведь никак не контраргументирует
> высказывание про баги фряхи, которые не нашли ибо не искали
Попробуйте перед ответом читать. Глазками.
Очевидно, что отвечали в контексте "во фре не находят дыры, потому что мало где испольюзубт" и "контраргумент" тут ничем не хуже "не нашли, потому что не искали!"
| | |
| |
| 7.87, Аноним (87), 11:51, 23/02/2022 [^] [^^] [^^^] [ответить]
| +/– |
В плойке я знаю довольно эпичные дыры находили. Но сравнение не совсем корректное, в плойке архитектура не писи и дрм во все дыры.
| | |
| 7.131, Аноним (70), 18:07, 23/02/2022 [^] [^^] [^^^] [ответить]
| +/– |
То есть использование кода фряхи в проприетарных системах Сони и Нинтендо делает такой же популярной как и Линукс? Радует, что адепты фряхи ещё где-то остались, хоть и вот такие
| | |
|
|
| 5.76, Igor (??), 02:41, 23/02/2022 [^] [^^] [^^^] [ответить]
| +3 +/– |
Ну так PS4 поломали именно через сеть и встроенный браузер, который открывал руководство пользователя из сети. Через браузер грузился эксплоит, который использовал дыры в ядре, позволившие получить доступ к ядреному пространству и заменить ключи шифрования. В результате появилась возможность расшифровать игрушки и зашифровывать их с нулевым ключем.
| | |
| |
| 6.110, Аноним (-), 13:22, 23/02/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
ну хоть кто-то изучил секурити бздей... хоть и по таксебешной причине, да и фряха поди с этого получит как обычно - ничего
| | |
| |
| 7.124, Аноним (-), 15:06, 23/02/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> да и фряха поди с этого получит как обычно - ничего
commit d6c6c7850d14846c7106a09712f2ed97f87988cd
Author: Mark Johnston <markj@FreeBSD.org>
Date: Thu Apr 2 15:30:51 2020 +0000
MFC r359154:
Fix synchronization in the IPV6_2292PKTOPTIONS set handler.
Очередной опеннетно-лапчатый онализ.
| | |
|
|
|
| 4.46, ух (?), 17:13, 22/02/2022 [^] [^^] [^^^] [ответить]
| +3 +/– | |
белые тоже едят друг друга, но хорошо скрывают. это не аргумент, это попытка оправдаться.
но в общем с идей согласный - п.о. пишут люди, которым свойственно ошибаться. и вот тут начинаются ньюансы, потому что эти люди разные. одни в ластах и с гиперактивностью, а другие в кедах и с дипломами.
| | |
| |
| 5.91, пох. (?), 12:20, 23/02/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> белые тоже едят друг друга, но хорошо скрывают.
а что с этим тезисом-то не так?
> п.о. пишут люди
но есть большая разница между Рыжим дол..ом писавшим ранний iptables just for fun и потому что мог, пусть и оставившего после себя развалины, их еще можно было восстанавливать, и моральным уродом комитером в CoC который "всех засужу за нарушение GPL!" - после которого восстанавливать уже нечего, надо наоборот, заливать напалмом.
| | |
|
|
| |
| 4.92, пох. (?), 12:21, 23/02/2022 [^] [^^] [^^^] [ответить]
| +/– |
там еще большее г-но с пакетным фильтром - из трех полуработающих работает один совсем бесполезный.
| | |
|
|
| 2.11, Аноним (11), 13:44, 22/02/2022 [^] [^^] [^^^] [ответить]
| +/– |
- Человек - это много данных. Аденин, цитозин, гуанин, тимин - алфавит человека - четыре символа. У меня лишь два - ноль и единица.
- В два раза проще, зато в два раза прекраснее.
| | |
| |
| |
| 4.122, Аноним (11), 14:29, 23/02/2022 [^] [^^] [^^^] [ответить]
| +/– |
- Будь это правдой, за мной всю мою жизнь охотился кто-то вроде меня.
- Но так здорово помечтать, согласись.
- Лучше не надо.
| | |
|
|
| |
| |
| |
| 5.83, Аноним (11), 10:40, 23/02/2022 [^] [^^] [^^^] [ответить]
| +/– |
Воскреснет и вознесется в облака, ой, небеса. Ждем второго пришествия. Да будет так и во веки веков!
| | |
|
|
|
|
| |
| 2.7, Аноним (7), 13:34, 22/02/2022 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Да и ничего страшного, сейчас вон Microsoft запушит в ядро новую.
// b.
| | |
| 2.14, Жироватт (ok), 13:54, 22/02/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Кладмена своего увольте, а? У нас и так уже полядра изрыто, и надписи какие-то.
| | |
|
| 1.4, Урри (ok), 13:28, 22/02/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
 > Проблема проявляется начиная с ядра 5.4.
Ну вот. А я надеялся на своем ведроиде временный рут получить.
Придется искать старые cve.
| | |
| 1.5, Аноним (5), 13:30, 22/02/2022 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– | |
> Ошибка проявляется при настройке правил "dup" и "fwd" в цепочках, для которых применяется аппаратное ускорение обработки пакетов (offload).
Т.е. затрагивает в лучшем случае 50 серверов во всём Интернете.
Please disperse.
// b.
| | |
| 1.8, пох. (?), 13:38, 22/02/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
из соседней новости, прекрасное:
> Непосредственно правила фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после
> чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в ядре в специальной виртуальной машине, напоминающей BPF
> (Berkeley Packet Filters). Подобный подход позволяет значительно сократить размер кода фильтрации, работающего на уровне ядра и вынести
> все функции разбора правил и логики работы с протоколами в пространство пользователя.
что, что тут могло бы пойти не так?!
| | |
| |
| 2.17, hshhhhh (ok), 14:01, 22/02/2022 [^] [^^] [^^^] [ответить]
| +5 +/– |
 > Уязвимость также может быть использована для атак на системы контейнерной изоляции. | | |
|
| 1.20, Аноним (20), 14:11, 22/02/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Проверка границ массива это слишком медленно и всё будет тормозить говорили они. Взамен уже десятки лет огребают трудновыловимые дыры в безопасности.
| | |
| |
| 2.23, Аноним (-), 14:16, 22/02/2022 [^] [^^] [^^^] [ответить]
| –2 +/– | |
Именно так, зато щас как на Rust перепишем! Да как все дыры залатаем!
// b.
| | |
| |
| 3.72, anonymous (??), 00:28, 23/02/2022 [^] [^^] [^^^] [ответить]
| +/– |
Если будет попытка взлома, то лучше уйти в панику, чем позволять выполнять произвольный код.
| | |
| |
| |
| 5.144, anonymous (??), 02:16, 25/02/2022 [^] [^^] [^^^] [ответить]
| +/– |
Хорошо: лучше уйти в явную панику с описанием конкретной проблемы, чем втихоря начинать непредсказуемое поведение
| | |
|
|
|
| 2.26, Аноним (21), 14:18, 22/02/2022 [^] [^^] [^^^] [ответить]
| +/– |
А чему тормозить в данном случае? Если тут проверять только при загрузке правил.
| | |
| 2.28, Аноним (28), 14:25, 22/02/2022 [^] [^^] [^^^] [ответить]
| +/– |
Ну пока ломом по голове ен настучит это все они так и будут избегать языки с тостыми указателями
| | |
| |
| 3.114, Аноним (-), 13:27, 23/02/2022 [^] [^^] [^^^] [ответить]
| +/– |
Юзеры не желают тормозные ядра и денег за это не несут. Хоть вы там с жиру полопайтесь с вашими указателями.
| | |
|
| 2.34, Ordu (ok), 15:45, 22/02/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Справедливости ради стоит отметить, что тогда ещё говорили о том, что вообще нельзя писать систему на высокоуровневом языке, потому что тормозить будет. C смог пролезть в системное программирование потому, что он позиционировался как кроссплатформенный ассемблер.
Ну и да, тогда проверка границ была дороже: компиляторы были тупыми, подметить что условия цикла гарантируют, что проверка всегда даст true и вышвырнуть её за ненадобностью, они не могли. Да и языки были другие -- итераторов нет, лямбд нет, а значит нет способов свалить на массив организацию цикла так, чтобы с минимумом проверок. И спекулятивного выполнения тогда не было, чтобы эта проверка задним числом выполнялась бы параллельно с выполнением другого кода.
| | |
| |
| 3.134, Аноним (-), 19:02, 23/02/2022 [^] [^^] [^^^] [ответить]
| +/– | |
Даже сишный компилер может мастерски изгадить код, тормознув в пару раз на ровном месте. Или, наоборот, удалить "ненужных" проверок NULL, прувер штука такая, докажет "never happens" на раз, и пофиг ему что full view большой системы где-то уже продолбали.
Если код раз в день выполняется - черт с ним с всем этим, но ядро выполняет вообще все запросы программ и ворочает БОЛЬШИМИ потоками данных.
Есть юзеры с 8K дисплеями, NVME всякие, 100GigE - и их обладатели считают что это должно работать на скорости железа. Четвертинка от этой скорости их вообще совсем не устраивает.
А за спекулятив мы получили спектры с мельдонием, когда оказаолсь что задним числом оно эвона как, проц на допинге попадается.
| | |
| |
| 4.135, Ordu (ok), 19:34, 23/02/2022 [^] [^^] [^^^] [ответить]
| +/– |
> Даже сишный компилер может мастерски изгадить код, тормознув в пару раз на
> ровном месте.
На это есть профайлер.
> Или, наоборот, удалить "ненужных" проверок NULL, прувер штука такая,
> докажет "never happens" на раз, и пофиг ему что full view
> большой системы где-то уже продолбали.
Это не было проблемой, пока C был кроссплатформенным ассемблером. Он генерил машинный код максимально приближенный к C'шному.
| | |
| |
| 5.138, Аноним (-), 19:45, 23/02/2022 [^] [^^] [^^^] [ответить] | +/– | Как вы себе это представляете на штуках типа линукс кернела в среднеотфонарных к... большой текст свёрнут, показать | | |
| |
| 6.140, Ordu (ok), 19:56, 23/02/2022 [^] [^^] [^^^] [ответить]
| +/– |
Я не понимаю о чём ты споришь. Речь идёт о том, что "вас же предупреждали, что надо выход за границы проверять, а вместо этого вы десятками лет баги ловите". Вот когда предупреждали дешевизна проверки на выход за границы была очень неочевидной. Ситуация сейчас изменилась, и я не спорю с этим.
| | |
| |
| 7.142, Аноним (142), 22:52, 23/02/2022 [^] [^^] [^^^] [ответить] | +/– | Все хотят и рыбку съесть и косточкой не подавиться С растом столько возятся в о... большой текст свёрнут, показать | | |
|
|
|
|
|
| 2.52, InuYasha (??), 18:34, 22/02/2022 [^] [^^] [^^^] [ответить]
| +/– |
Мы не говорили. Мы и на null проверяли, и на выход за границы, и на порчу/сглаз данных.
| | |
|
| 1.47, Онаним (?), 17:19, 22/02/2022 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
> в цепочках, для которых применяется аппаратное ускорение обработки пакетов
Так, уже легче. На боевых системах оффлоуда нетфильтра нет.
| | |
| 1.59, Аноним (65), 21:03, 22/02/2022 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Новость не читал.
Надо было ставить pf.
По факту увизгвимостей в нфт.
Вангую, что из-за синтаксиса основные уязвимости будут из-за неверного написания правил.
Сейчас ведь некоторые даже не понимают как в айпитабле работают правила и сперва пишут разрешения а дроп в конце. Видел на форуме недавно такие примеры.
| | |
| |
| 2.63, john_erohin (?), 21:36, 22/02/2022 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> некоторые даже не понимают как в айпитабле работают правила
а я и не собираюсь "понимать" (т.е. гадить
себе же в мозг еще одним собачьим языком).
пусть за меня понимает firehol.
к сожалению аналог для nftables мне неизвестен.
> и сперва пишут разрешения а дроп в конце.
всегда так делаю. недавно удалось убрать ил логов
чью-то протекшеую в провайдерский влан локалку.
именно тихим дропом в конце.
| | |
| |
| 3.67, Аноним (65), 22:02, 22/02/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> некоторые даже не понимают как в айпитабле работают правила
> а я и не собираюсь "понимать" (т.е. гадить
> себе же в мозг еще одним собачьим языком).
> пусть за меня понимает firehol.
> к сожалению аналог для nftables мне неизвестен.
>> и сперва пишут разрешения а дроп в конце.
> всегда так делаю. недавно удалось убрать ил логов
> чью-то протекшеую в провайдерский влан локалку.
> именно тихим дропом в конце.
Вы молодец! Продолжайте в том же духе!
| | |
|
|
| 1.101, Аноним (-), 12:59, 23/02/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> возможно только при наличии привилегий CAP_NET_ADMIN,
При таких привилегиях права можно особо и не повышать - а зачем? :)
| | |
| 1.121, Аноним (121), 14:17, 23/02/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> непривилегированным пользователем в отдельном сетевом пространстве имён (network namespaces)
cgroups & namesoaces & BPF - выкинуть с ядра.
> позволяющего локальному пользователю поднять свои привилегии в Ubuntu 21.10 c отключённым механизмом защиты KASLR.
ASLR необходим и в ядре и в юзерспейсе.
| | |
| |
| 2.139, Аноним (-), 19:48, 23/02/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> cgroups & namesoaces & BPF - выкинуть с ядра.
Конфигуряемо при билде ядра.
> ASLR необходим и в ядре и в юзерспейсе.
Тоже конфигуряемо, и как правило активно.
| | |
|
| 1.125, Аноним (65), 15:14, 23/02/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
1.5 анончика, обращение к вам: Что-то смотрю совсем тут поплохело. Помимо лора (что там знаю) вы еще где-то несете свет в прогрессивные массы? На лор не пойду, там толерастия цвет и попахивает.
| | |
| |
| 2.127, Аноним (11), 15:55, 23/02/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> свет
Это не бесконечная тьма. Света мало, конечное(?) количество. Иначе весь космос светился бы ослепительными красками в любое время суток. Так что строго дозировано в неведомых просторах космоса согласно парадоксу Ферми.
| | |
| |
| 3.128, Аноним (65), 17:17, 23/02/2022 [^] [^^] [^^^] [ответить]
| +/– |
Ну тогда делом займусь. Хотя и лениво.
Нашим еще полутора оставшимся, сохранившим и идеалы и мозги, привет при случае. "Тьма проходит и истинный свет уже светит..."(с). Не сдавайте позиции, посоны! Честь имею.
| | |
|
|
|
