OpenForum RSS: Уязвимость в реализации сокетов AF_PACKET ядра Linux https://opennet.dev/openforum/vsluhforumID3/121738.html Спустя три года с момента волны уязвимостей (1, 2, 3, 4, 5) в подсистеме AF_PACKET ядра Linux выявлена ещё одна проблема (CVE-2020-14386), позволяющая локальному непривилегированному пользователю выполнить код с правами root или выйти из изолированных контейнеров, при наличии в них root-доступа...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53656<br> Уязвимость в реализации сокетов AF_PACKET ядра Linux (Аноним) https://opennet.dev/openforum/vsluhforumID3/121738.html#139 Wed, 09 Sep 2020 01:05:55 GMT Давай порядок действий как опеределить влезли в dom0 или нет. Просто опиши шаги, которые нужно выполнить как минимум.<br> Уязвимость в реализации сокетов AF_PACKET ядра Linux (Аноним) https://opennet.dev/openforum/vsluhforumID3/121738.html#138 Tue, 08 Sep 2020 17:48:52 GMT В случае, если вирусня не вылезла в dom0, действительно не надо. Но у такого эксперта вряд ли хватит квалификации понять, вылезла ли.<br> Уязвимость в реализации сокетов AF_PACKET ядра Linux (Аноним) https://opennet.dev/openforum/vsluhforumID3/121738.html#137 Tue, 08 Sep 2020 04:50:46 GMT &gt;А разве это не близко к истине?<br><br>Какой истине? Истина в том, что если у тебя есть рут на dom0, то ничего не спасет. Затрахаешься лечить такую систему, если, конечно, ты не Рутковская и знаешь про все возможные дыры, в том числе и не опубликованные.<br><br>&gt;DevOps<br><br>Читать нужно внимательней. Написал же, что сервер для хостинга. Публичного хостинга. И если кто-то извне с рутом в domU использует уязвимость в сабже, получает контроль на dom0, то см. выше что будет.<br><br>Мне просто интересно как этот чудень оправдывался бы перед директором со словами "ну, я думал, что это нецеленаправленная атака", поэтому в domU я систему "почистил", ну а в dom0 все вроде нормально (угу, логи-хуеги все как надо почистили и естественно ничего не обнаружил).<br> Уязвимость в реализации сокетов AF_PACKET ядра Linux (Аноним) https://opennet.dev/openforum/vsluhforumID3/121738.html#136 Mon, 07 Sep 2020 11:44:05 GMT devops pipeline это отличный организационный объект, которому требуется системная защита, виртуализация это только у Rутковской и фриков про безопасность, а у системщиков свои принципы (минимум кодовой базы и т.д.). возможно пост выше про это.<br> Уязвимость в реализации сокетов AF_PACKET ядра Linux (mickvav) https://opennet.dev/openforum/vsluhforumID3/121738.html#135 Sun, 06 Sep 2020 22:53:00 GMT Это правда. Но стоит последить за связанными с capabilities уязвимостями, как становится понятно - когда ядро начиналось, этого не было. И в голове у многих разработчиков застряла эта идея - рут-не-рут, третьего не дано. В итоге ошибки дизайна вылезают как уязвимости вида "почти рут может стать рутом".<br> Уязвимость в реализации сокетов AF_PACKET ядра Linux (онанимуз) https://opennet.dev/openforum/vsluhforumID3/121738.html#134 Sun, 06 Sep 2020 18:24:04 GMT если у товарища майора айсикью чуть выше, чем у хлебушка, то он попросит хсотера сделать дамп оперативной памяти этой виртуалки, прежде чем изымать сервер целиком.<br>но, к счастью, в 95% случаев это будет именно тупое изъятие.<br> Уязвимость в реализации сокетов AF_PACKET ядра Linux (Аноним) https://opennet.dev/openforum/vsluhforumID3/121738.html#133 Sun, 06 Sep 2020 16:50:44 GMT //последнему*<br><br>там правда у половины это называется filecaps, вот их можно отключить наверно, мне они вообще не нужны. Ну wireshark наверно они понадобятся, чтобы не от рута работать, а остальные я не знаю, видимо тоже изоляция, чтобы не от рута запускать.<br><br>[code]<br> * Searching for USE flag filecaps ... <br>[IP-] [ ] app-emulation/qemu-5.1.0:0<br>[IP-] [ ] net-analyzer/mtr-0.93-r1:0<br>[IP-] [ ] net-analyzer/wireshark-3.2.6:0/3.2.6<br>[IP-] [ ] net-misc/iputils-20200821:0<br>[IP-] [ ] sys-libs/pam-1.4.0_p20200829:0<br>[/code]<br> Уязвимость в реализации сокетов AF_PACKET ядра Linux (Аноним) https://opennet.dev/openforum/vsluhforumID3/121738.html#132 Sun, 06 Sep 2020 16:35:59 GMT Ну вообще, именно это конфигурируется, а по последниму у тебя версия двухлетней давности и с тех времён изменений очень много было.<br><br>[code]<br> * Searching for USE flag caps ... <br>[IP-] [ ] app-crypt/pinentry-1.1.0-r3:0<br>[IP-] [ ] app-emulation/qemu-5.1.0:0<br>[IP-] [ ] app-misc/pax-utils-1.2.6:0<br>[IP-] [ ] app-shells/zsh-5.8:0<br>[IP-] [ ] kde-frameworks/kinit-5.73.0:5/5.73<br>[IP-] [ ] kde-plasma/kwin-5.19.5:5<br>[IP-] [ ] media-libs/gstreamer-1.16.2:1.0<br>[IP-] [ ] net-misc/chrony-4.0_pre3:0<br>[IP-] [ ] net-misc/iputils-20200821:0<br>[IP-] [ ] sys-apps/coreutils-8.32-r1:0<br>[IP-] [ ] sys-apps/iproute2-5.8.0:0<br>[IP-] [ ] sys-apps/smartmontools-7.1:0<br>[IP-] [ ] sys-apps/util-linux-2.36:0<br>[IP-] [ ] sys-auth/pambase-20200817:0<br>[IP-] [ ] sys-libs/glibc-2.32-r1:2.2<br>[/code]<br> Уязвимость в реализации сокетов AF_PACKET ядра Linux (Легивон) https://opennet.dev/openforum/vsluhforumID3/121738.html#131 Sun, 06 Sep 2020 10:26:08 GMT А разве это не близко к истине?<br>Использование контейнеров вкупе с остальным стеком DevOps радикально ускоряющим релиз и развертывание, позволит выкатить исправление в течении минимального времени и позволит не сломать им прод (что как правило гораздо хуже гипотетических уязвимостей)<br>