https://opennet.me/openforum/vsluhforumID3/110114.html В системе для изолированного выполнения приложений Firejail (https://firejail.wordpress.com/) выявлено девять уязвимостей, большинство из которых позволяют повысить свои привилегии в основной системе до пользователя root. Firejail использует (https://www.opennet.ru/opennews/art.shtml?num=45120) для изоляции механизм пространств имён (namespaces), AppArmor и фильтрацию системных вызовов (seccomp-bpf) в Linux, но для настройки изолированного запуска требует повышенных привилегий, которые получает через привязку к утилите флага suid root или запуск при помощи sudo. Как оказалось безопасность Firejail находится в весьма печальном состоянии и многие опции и пользовательские данные обрабатываются под euid 0.<br><br><br>Первой была опубликована (http://openwall.com/lists/oss-security/2017/01/04/1) информация об уязвимости CVE-2017-5180, найденной участниками SuSE Security Team и использующей манипуляцию с файлом /etc/ld.so.preload для запуска своего кода с правами root. Следом было выявлено (http://openwall.com/lists/oss- https://opennet.me/openforum/vsluhforumID3/110114.html#48 Mon, 09 Jan 2017 15:28:52 GMT &gt;Беда в том, что firejail - suid<br><br>на лоре советуют bubblewrap<br> https://opennet.me/openforum/vsluhforumID3/110114.html#47 Mon, 09 Jan 2017 05:55:09 GMT Ну учитывая, что речь была про линуксы, то экономическая целесообразность.<br>Сплоит тоже разработать надо - это ресурсы. Тем более в одном дистрибутиве соберут так, в другом сяк. Слишком много возни для слишком малого потенциального улова.<br> https://opennet.me/openforum/vsluhforumID3/110114.html#46 Mon, 09 Jan 2017 02:41:26 GMT &gt; Нежелание палить все карты.<br><br>И повышение вероятности "treason uncloaked!". Ну как, если вы перочинный ножик в кармане носите-это одно. А тридцать хренов устроивших ураганную пальбу в центре города из пулеметов - поднимут на уши всех. Одни только аверы устроят между собой CTF "кто первый этот отнет завалит?!". А потому что хорошее дело фирму украшает. Стало быть пиар.<br> https://opennet.me/openforum/vsluhforumID3/110114.html#45 Mon, 09 Jan 2017 02:30:56 GMT &gt; если уязвимость с повышением прав до root была в ядре - фиолетово <br><br>Оно как бы да, но в силу специфики ядерщики пишут код получше, что ни говори. А потому что если халтурить то все падает, с грохотом. И от этого икается хоть самим програмерам. Конечно от ОС зависит. В реактосе какомнить програмеры девелопают из максималки в вьюжлстудии, понятно что стабильность системы их не парит.<br> https://opennet.me/openforum/vsluhforumID3/110114.html#44 Mon, 09 Jan 2017 02:25:37 GMT &gt; Если firejail работает под рутом то нужно преодолеть только firejail.<br><br>А ничего что конфигурирование контейнера таки требует повышенных прав?<br> https://opennet.me/openforum/vsluhforumID3/110114.html#43 Sun, 08 Jan 2017 19:40:07 GMT Иногда лучше один раз прочитать, чем семь раз подумать =)<br> https://opennet.me/openforum/vsluhforumID3/110114.html#39 Sun, 08 Jan 2017 18:01:04 GMT Беда в том, что firejail - suid. Если похакают твоего пользователя, то используя firejail можно будет похакать рута. Вообще-то считается не очень. suid приложения надо писать очень тщательно.<br><br>Но не нашлось ни одного безопасника, готового писать песочницу под линукс. В результате за это дело взялся прохожий, не слишком хорошо разбирающийся в вопросах безопасности. Скажем так, не сильно лучше анонимных экспертов с этого сайта. Имеем что имеем, полудырявую тюрьму, которая всё ещё лучше полного отсутствия тюрьмы.<br> https://opennet.me/openforum/vsluhforumID3/110114.html#33 Sun, 08 Jan 2017 17:49:59 GMT А что там странного, номера CVE не назначаются по порядку. Red Hat выдаёт номера CVE из заранее выделенного пула. В 2017 году им выдали пул CVE-2017-5xxx. <br> https://opennet.me/openforum/vsluhforumID3/110114.html#27 Sun, 08 Jan 2017 17:37:35 GMT Исполенение кода в твоем браузере - не удаленное.<br><br>Лень метаться пока эксперты более достойную кандидатуру на свет б не вытащат.<br>