Исходное сообщение
"Уязвимость в ядре Linux, позволяющая получить права root" Отправлено Анонимм, 25-Фев-17 14:07
> Расскажите, пожалуйста, на примере одной из проблем за этими номерами, как именно > она избегается в корне при выборе микроядерного подхода. Да, собсно, это очевидно, как по мне. Далеко не будем ходить сабжевый CVE-2017-6074 Ошибка в драйвере, которая потенциально способна изменить UID в таблице процессов. Микроядерный подход: этот драйвер живёт своей жизнью в отдельном адр. пространстве и при любых ошибках в нём - не способен изменить что-либо вне-API'шным образом в списке процессов и прочих чувствительных подсистемах. Всё, что было бы затронуто этим CVE-2017-6074 при микроядерной архитектуре Линуха - сам этот сервис (драйвер) и просто потребовал бы обновления и перезапуска. Всё остальное продолжило бы работать без даунтайма, и, тем более, без опасности утечки прав рута. > Со своей стороны могу сделать предположение о том, что ни по одной из > тех ссылок микроядра в обсуждении уязвимости не упоминаются. И что? CVE - это Common Vulnerabilities and Exposures: общие уязвимости и их раскрытие. CVE описывает ошибку и потенциальные проблемы, к которым она может привести. Ну и поправлена ли где. И всё. Но вот пути решения этих проблем - вне CVE. И их - вполне очевидно - часто больше одного. И вот просто, микроядро - это общее для ооочень многих проблем решение, которое кардинально понижает уровень опасности многих подобных ошибок. Ошибки кода - и останутся ошибками кода, те же CVE будут. Просто возможный ущерб от них будет на порядки меньшим. > люди, вы что -- верите каждому встречному? Кому и в чём имеет место вера? (и, видимо, подразумевается именно слепая вера, без проверок). PS Счас посмотрел на Gnu/Hurd. Оказывается, уже есть порт Debian GNU/Hurd, причём, вполне живой (куда живее миникса). Оно обновляется (apt-get), работает sshd, доступно куча пакетов: # aptitude search '^'|wc -l 52242 файловая система ext2fs, при жёстком ребуте запускается fsck. Вполне живое. После полного обновления (с сотню метров потянуло): root@debian:~# lsb_release -a No LSB modules are available. Distributor ID: Debian Description:    Debian GNU 9.0 (stretch) Release:        9.0 Codename:       stretch root@debian:~# uname -a GNU debian 0.9 GNU-Mach 1.8+git20170102-486/Hurd-0.9 i686-AT386 GNU В сырцах самого Hurd'а - много драйверов из Линукса (GPL позволяет) - что очень правильно. Не стоит начинать прям всё с нуля. Наработки Линукса нужно использовать и преображать. Как Вы считаете: эти люди, портирующие Дебиан на микроядро, занимаются полезным делом или не очень?

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> Расскажите, пожалуйста, на примере одной из проблем за этими номерами, как именно >> она избегается в корне при выборе микроядерного подхода. > Да, собсно, это очевидно, как по мне. > Далеко не будем ходить > сабжевый CVE-2017-6074 > Ошибка в драйвере, которая потенциально способна изменить UID в таблице процессов. > Микроядерный подход: этот драйвер живёт своей жизнью в отдельном адр. пространстве и > при любых ошибках в нём - не способен изменить что-либо вне-API'шным > образом в списке процессов и прочих чувствительных подсистемах. > Всё, что было бы затронуто этим CVE-2017-6074 при микроядерной архитектуре Линуха - > сам этот сервис (драйвер) и просто потребовал бы обновления и перезапуска. > Всё остальное продолжило бы работать без даунтайма, и, тем более, без > опасности утечки прав рута. >> Со своей стороны могу сделать предположение о том, что ни по одной из >> тех ссылок микроядра в обсуждении уязвимости не упоминаются. > И что? > CVE - это Common Vulnerabilities and Exposures: общие уязвимости и их раскрытие. > CVE описывает ошибку и потенциальные проблемы, к которым она может привести. Ну > и поправлена ли где. И всё. > Но вот пути решения этих проблем - вне CVE. И их - > вполне очевидно - часто больше одного. И вот просто, микроядро - > это общее для ооочень многих проблем решение, которое кардинально понижает уровень > опасности многих подобных ошибок. > Ошибки кода - и останутся ошибками кода, те же CVE будут. Просто > возможный ущерб от них будет на порядки меньшим. >> люди, вы что -- верите каждому встречному? > Кому и в чём имеет место вера? (и, видимо, подразумевается именно слепая > вера, без проверок). > PS Счас посмотрел на Gnu/Hurd. Оказывается, уже есть порт Debian GNU/Hurd, > причём, вполне живой (куда живее миникса). Оно обновляется (apt-get), работает sshd, > доступно куча пакетов: > # aptitude search '^'|wc -l > 52242 > файловая система ext2fs, при жёстком ребуте запускается fsck. > Вполне живое. > После полного обновления (с сотню метров потянуло): > root@debian:~# lsb_release -a > No LSB modules are available. > Distributor ID: Debian > Description: Debian GNU 9.0 (stretch) > Release: 9.0 > Codename: stretch > root@debian:~# uname -a > GNU debian 0.9 GNU-Mach 1.8+git20170102-486/Hurd-0.9 i686-AT386 GNU > В сырцах самого Hurd'а - много драйверов из Линукса (GPL позволяет) - > что очень правильно. > Не стоит начинать прям всё с нуля. Наработки Линукса нужно использовать и > преображать. > Как Вы считаете: эти люди, портирующие Дебиан на микроядро, занимаются полезным делом > или не очень?
	Введите код, изображенный на картинке: