forum.opennet.ru - "Уязвимости в AppArmor, позволяющие получить root-доступ в системе" (71)

"Уязвимости в AppArmor, позволяющие получить root-доступ в системе"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в AppArmor, позволяющие получить root-доступ в системе"	+/–
Сообщение от opennews (ok), 13-Мрт-26, 13:37
Компания Qualys выявила 9 уязвимостей в системе мандатного управления доступом AppArmor, наиболее опасные из которых позволяют локальному непривилегированному пользователю получить права root в системе, выйти из изолированных контейнеров и обойти ограничения, заданные через AppArmor. Уязвимости получили кодовое имя CrackArmor. CVE-идентификаторы пока не назначены. Успешные примеры повышения привилегий продемонстрированы в Ubuntu 24.04 и Debian 13... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64984
Ответить \| Правка \| Cообщить модератору

Оглавление

Фикс для бубунты onano etc default grub update-grub, Аноним (4), 13:53 , 13-Мрт-26, (4) +2

Нет apparmor - нет проблем , openssh_user (ok), 14:13 , 13-Мрт-26, (5) +11

Ага, метод от девляпсов, судя по всему , АнонимЯ (?), 14:19 , 13-Мрт-26, (11) +5
И чертов SELinux туда же заберите, kravich (ok), 16:05 , 13-Мрт-26, (62) –1

Во, в нём архитектурно заложенных дверей куда больше будет, учитывая его родител, Аноним (73), 17:18 , 13-Мрт-26, (73)

Зачем отключать ещё и защиту от Meltdown и Spectre спекулятивных CPU уязвимосте, Аноним (25), 14:44 , 13-Мрт-26, (25) +3

затем что она примерно так же на р не нужна как и апармор , нах. (?), 14:59 , 13-Мрт-26, (34) +2
Он про домашние десктопы Там оно не нужно На серверах - дело твое уже я бы не, Аноним (49), 15:36 , 13-Мрт-26, (49) +2

И из вкладки с мемами javascript пробивает защиту ОС насквозь Хорошо, что для б, Аноним (25), 15:45 , 13-Мрт-26, (56)

Хорошо, что есть noscript , Аноним (4), 19:08 , 13-Мрт-26, (94)

Можете аргументированно объяснить почему дома это не нужно , Аноним (78), 18:01 , 13-Мрт-26, (78)

он считает,что на них входящие порты закрытыфаером, Аноним (80), 18:22 , 13-Мрт-26, (80)

А mitigations off как от этого защитит открыв другие ворота , Аноним (73), 17:00 , 13-Мрт-26, (67)

Скрыто модератором, Аноним (80), 18:23 , 13-Мрт-26, (81)
Вы наверно из тех, кто из соображений безопасности заколачивает в доме окна и за, Аноним (4), 19:11 , 13-Мрт-26, (95)

Не зря люди на 3 ядре сидят , Аноним (7), 14:15 , 13-Мрт-26, (7) –2

Скрыто модератором, Аноним (9), 14:17 , 13-Мрт-26, (9)
зря2 6 рулит, онанист (?), 14:42 , 13-Мрт-26, (24) +2
2017 Год - это не диды, это ты , Аноним (65), 16:33 , 13-Мрт-26, (65)
Скрыто модератором, Аноним (-), 18:38 , 13-Мрт-26, (86)

Никогда такого не было и вот опять Дебианцам же торопиться некуда Сегодня уже п, Аноним (14), 14:22 , 13-Мрт-26, (14)

Так на дебиане же по-умолчанию apparmor отключён , Аноним (16), 14:30 , 13-Мрт-26, (16)

Вы уверены Может вы совсем недавно из криокамеры вышли AppArmor is available in, Аноним (19), 14:34 , 13-Мрт-26, (19) +2

Я тоже из криокамеры, к синтаксису nftables так и не привыкла , Аноним (25), 15:00 , 13-Мрт-26, (36) –1

И к ip вместо ifconfig, Аноним (25), 15:01 , 13-Мрт-26, (38)

да уж сложновато привыкать , Аноним (80), 18:25 , 13-Мрт-26, (82)

Господи, здесь прекрасно абсолютно все и sudo, шлющий эмейлы, и sendmail, запус, Аноним (17), 14:33 , 13-Мрт-26, (17) +4

Сколько не говорят, что поверхность атаки нужно УМЕНЬШАТЬ, а не наоборот - все б, онанист (?), 14:35 , 13-Мрт-26, (20) –1
Ты просто ничего не понимаешь Это же xy UNIХ-way Диды писали, диды старались, , Аноним (-), 14:42 , 13-Мрт-26, (23) –1
Советую почитать классику UNIX HATERS HANDBOOK Там и про sendmail есть , Аноним (25), 14:45 , 13-Мрт-26, (26)

советую поставить наконец любимую винду и отвалить от юнисов Это не ваше И не ч, нах. (?), 15:00 , 13-Мрт-26, (37) +1

А можно вы со своими юниксами уже отвалите от линукса Ведь он ГНУ, что расшифро, Аноним (47), 15:31 , 13-Мрт-26, (47)

Not Unix, but Unix-like , Аноним (25), 15:36 , 13-Мрт-26, (50)
А когда это линукс стал ГНУ Торвальдс сам говорил, что ни к ГНУ, ни к ФСФ, ни к , Аноним (53), 15:42 , 13-Мрт-26, (53) +1

Когда под линуксом стали понимать не только ядро, но и ОС с gnu coreutils , Аноним (25), 15:43 , 13-Мрт-26, (55) –1

Кто стал Что busybox уже пропал Linux это не GNU lkml org lkml 2006 9 25 161 t, Аноним (59), 15:52 , 13-Мрт-26, (59) +1

Да тот же Debian GNU Linux , Аноним (25), 16:00 , 13-Мрт-26, (61)

Торвальдс пишет Linux не GNU А наpkоманы из деба - пишут что GNU Кому же вер, Аноним (63), 16:06 , 13-Мрт-26, (63)

Обоим - квантовая суперпозиция Guix ещё , Аноним (25), 16:12 , 13-Мрт-26, (64)
Вот когда сделаешь свой дистр со всеми эnими uutils, заменишь GLibc на RsLibc В, Аноним (73), 17:14 , 13-Мрт-26, (72)

Скрыто модератором, Аноним (-), 18:41 , 13-Мрт-26, (87)

Этой нет, факт Зато других -- вагон, каждая вычурнее предыдущей Проблема не в , Аноним (76), 17:56 , 13-Мрт-26, (76)

Скрыто модератором, нах. (?), 14:55 , 13-Мрт-26, (31) +2
Он использует механизмы ядра и тут причем , Сладкая булочка (?), 17:04 , 13-Мрт-26, (68) –1

Тут не причём, но использует SUID и является возможной целью уязвимости повышени, Аноним (25), 17:22 , 13-Мрт-26, (74)

https github com netblue30 firejail discussions 4601, Сладкая булочка (?), 19:06 , 13-Мрт-26, (93)

А ты не догадываешься Ну, давай вместе посмотрим Уязвимость в firejail, позвол, Аноним (85), 18:37 , 13-Мрт-26, (85)

Ну уявзимости и уязвимости Как это относится к теме с apparmor , Сладкая булочка (?), 18:57 , 13-Мрт-26, (90)

Если sudo на дебиане нет - получается уязвимость не сработает , Аноним (16), 14:40 , 13-Мрт-26, (22)

Попутно в Ubuntu выпущены обновления пакетов sudo, sudo-ldap и util-linux в с, Аноним (25), 14:46 , 13-Мрт-26, (27) +1
А новость вы не пробовали читать Успешные примеры повышения привилегий продемон, Аноним (30), 14:52 , 13-Мрт-26, (30)

Скрыто модератором, Аноним (80), 18:30 , 13-Мрт-26, (83)

AppArmor используется в snap Вот и думайте , Сладкая булочка (?), 15:18 , 13-Мрт-26, (42)

Думаю и использую flatpak , Аноним (25), 15:22 , 13-Мрт-26, (44)
Но используется и отдельно Какой вывод может быть сделан 1 аппармор оказался ов, Аноним (45), 15:25 , 13-Мрт-26, (45)

если использовать язык программирования, с которым не надо тщательно обдумывать, Аноним (-), 15:19 , 13-Мрт-26, (43)
Разве профили app_armor в ядро не от рута загружаются , Аноним (58), 15:49 , 13-Мрт-26, (58) –1

Видимо, чтобы бедные мигранты из винды хоть зачем-то пытались хавать кактус бубу, Аноним (75), 17:51 , 13-Мрт-26, (75)

apparmor давно превратился в сгнившее дерьмо В смысле что дока на него неполная, Аноним (58), 15:57 , 13-Мрт-26, (60)
уязвимость эскалации привилегий требующая ввода пароля рута очень боюсь сейчас , Аноним (66), 16:59 , 13-Мрт-26, (66)

Хакир очень удивится когда поймет, что на 11 нет такой проблемы D, Аноним (70), 17:11 , 13-Мрт-26, (70)

Запретить непривилегированным пользователям это делать и все В чем проблема , Сладкая булочка (?), 17:05 , 13-Мрт-26, (69)

Поздно пить Боржоми Тыщеглаз снова не оправдал ожидания , Аноним (70), 17:13 , 13-Мрт-26, (71) –2

Ты уж не ленись добавлять, что не оправдали ТВОИ ожидания Вот я даже не знаю, к, Аноним (65), 17:57 , 13-Мрт-26, (77)

Кому вам,любителям уязвимостей , Аноним (70), 18:21 , 13-Мрт-26, (79)

Какие то трудности с удержанием контекста СДВГ - Ты же сам писал про 1000 глаз, Аноним (65), 18:53 , 13-Мрт-26, (88)

ознакомься со структурой kicksecure, Аноним (80), 18:33 , 13-Мрт-26, (84)

Как обычно пишут кто уязвимость обнаружил, но не пишут, кто ее внес А ведь у эт, Аноним (89), 18:54 , 13-Мрт-26, (89)

Скрыто модератором, Аноним (92), 19:00 , 13-Мрт-26, (92)
Кто внёс, тот и обнаружил , Аноним (4), 19:14 , 13-Мрт-26, (96)

Скрыто модератором, Аноним (92), 18:58 , 13-Мрт-26, (91)

Сообщения [Сортировка по времени | RSS]

4. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +2 +/–

Сообщение от Аноним (4), 13-Мрт-26, 13:53

Фикс для бубунты:
$ onano /etc/default/grub
> GRUB_CMDLINE_LINUX_DEFAULT="quiet splash loglevel=0 apparmor=0 mitigations=off"
$ update-grub

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +11 +/–

Сообщение от openssh_user (ok), 13-Мрт-26, 14:13

Нет apparmor - нет проблем?

Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +5 +/–

Сообщение от АнонимЯ (?), 13-Мрт-26, 14:19

Ага, метод от девляпсов, судя по всему.

Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." –1 +/–

Сообщение от kravich (ok), 13-Мрт-26, 16:05

И чертов SELinux туда же заберите

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

73. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Аноним (73), 13-Мрт-26, 17:18

Во, в нём архитектурно заложенных дверей куда больше будет, учитывая его родителя.

Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +3 +/–

Сообщение от Аноним (25), 13-Мрт-26, 14:44

> mitigations=off
Зачем отключать ещё и защиту от Meltdown и Spectre (спекулятивных CPU уязвимостей)?

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

34. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +2 +/–

Сообщение от нах. (?), 13-Мрт-26, 14:59

затем что она примерно так же на#р не нужна как и апармор.

Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +2 +/–

Сообщение от Аноним (49), 13-Мрт-26, 15:36

Он про домашние десктопы. Там оно не нужно. На серверах - дело твое уже (я бы не отключал).

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

56. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Аноним (25), 13-Мрт-26, 15:45

И из вкладки с мемами javascript пробивает защиту ОС насквозь. Хорошо, что для браузеров нету mitigations=off.

Ответить | Правка | Наверх | Cообщить модератору

94. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Аноним (4), 13-Мрт-26, 19:08

Хорошо, что есть noscript.

Ответить | Правка | Наверх | Cообщить модератору

78. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Аноним (78), 13-Мрт-26, 18:01

Можете аргументированно объяснить почему дома это не нужно?

Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

80. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Аноним (80), 13-Мрт-26, 18:22

он считает,
что на них входящие порты закрыты
фаером

Ответить | Правка | Наверх | Cообщить модератору

67. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Аноним (73), 13-Мрт-26, 17:00

А mitigations=off как от этого защитит (открыв другие ворота)?

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

81. Скрыто модератором +/–

Сообщение от Аноним (80), 13-Мрт-26, 18:23

горит сарай,
гори и хата!

Ответить | Правка | Наверх | Cообщить модератору

95. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Аноним (4), 13-Мрт-26, 19:11

Вы наверно из тех, кто из соображений безопасности заколачивает в доме окна и заливает замочную скважину герметиком т.к. "ворота" открыты!!11

Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

7. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." –2 +/–

Сообщение от Аноним (7), 13-Мрт-26, 14:15

> Проблемы присутствуют в LSM-модуле AppArmor начиная с ядра Linux 4.11
Не зря люди на 3.* ядре сидят.

Ответить | Правка | Наверх | Cообщить модератору

9. Скрыто модератором +/–

Сообщение от Аноним (9), 13-Мрт-26, 14:17

А в нем дыреней нет? Ты точно проверил?
Может там СИшка другая?
Или диды в те времена не овнокодили?

Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +2 +/–

Сообщение от онанист (?), 13-Мрт-26, 14:42

зря
2.6 рулит

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

65. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Аноним (65), 13-Мрт-26, 16:33

>Может там СИшка другая?
>Или диды в те времена не овнокодили?
2017 Год - это не диды, это ты!

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

86. Скрыто модератором +/–

Сообщение от Аноним (-), 13-Мрт-26, 18:38

Получается, что 4+ ядра — это для рептилоидов?

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

14. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Аноним (14), 13-Мрт-26, 14:22

> Исправление также включено в сегодняшние обновления пакетов с ядром для Ubuntu.
> В Debian обновление в процессе подготовки
Никогда такого не было и вот опять.
Дебианцам же торопиться некуда. Сегодня уже пятница, потом выходные, кто же на выходных патчи будет принимать.

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Аноним (16), 13-Мрт-26, 14:30

Так на дебиане же по-умолчанию apparmor отключён )

Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +2 +/–

Сообщение от Аноним (19), 13-Мрт-26, 14:34

> Так на дебиане же по-умолчанию apparmor отключён )
Вы уверены? Может вы совсем недавно из криокамеры вышли?
AppArmor is available in Debian since Debian 7 "Wheezy".
If you are using Debian 10 "Buster" or newer, AppArmor is enabled by default
wiki.debian.org/AppArmor/HowToUse

Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." –1 +/–

Сообщение от Аноним (25), 13-Мрт-26, 15:00

Я тоже из криокамеры, к синтаксису nftables так и не привыкла.

Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Аноним (25), 13-Мрт-26, 15:01

И к ip вместо ifconfig

Ответить | Правка | Наверх | Cообщить модератору

82. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Аноним (80), 13-Мрт-26, 18:25

да уж..
сложновато привыкать )))

Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +4 +/–

Сообщение от Аноним (17), 13-Мрт-26, 14:33

> Суть метода в том, что при возникновении проблем утилита sudo отправляет администратору письмо, запуская /usr/sbin/sendmail. Блокировав сброс привилегий можно добиться запуска данного процесса с правами root, а выставив перед запуском sudo переменную окружения MAIL_CONFIG можно передать утилите sendmail другие настройки, в том числе указать свой обработчик postdrop, запускаемый при отправке почты.
Господи, здесь прекрасно абсолютно все: и sudo, шлющий эмейлы, и sendmail, запускающий черт знает что по указанию внешних переменных окружения.
Очередное бинго из гениального диловского дизайна. В этот раз еще приправленное приблудой AppArmor (естественно, написанной на топовых технологиях 70х с double free), которая вместо защиты наоборот дает рут. 😂
Сколько не говорят, что поверхность атаки нужно УМЕНЬШАТЬ, а не наоборот - все бестолку. Продолжаем наворачиват новые слои дырявых аппарморов и прочих файрджейлов - и потом делать удивленные глаза. 😧

Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." –1 +/–

Сообщение от онанист (?), 13-Мрт-26, 14:35

Сколько не говорят, что поверхность атаки нужно УМЕНЬШАТЬ, а не наоборот - все бестолку
кто говорит? наоброт обязательно антивирус и тп

Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." –1 +/–

Сообщение от Аноним (-), 13-Мрт-26, 14:42

Ты просто ничего не понимаешь! Это же (xy)UNIХ-way!
Диды писали, диды старались, ты такой неблагодарный на них бочку гонишь...
А ну быстра извынысь!

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

26. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Аноним (25), 13-Мрт-26, 14:45

Советую почитать классику UNIX HATERS HANDBOOK. Там и про sendmail есть!

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

37. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +1 +/–

Сообщение от нах. (?), 13-Мрт-26, 15:00

советую поставить наконец любимую винду и отвалить от юнисов.
Это не ваше. И не читайте всякое враньше неосиляторов.
Кстати, в ТОМ sendmail - этой уязвимости нет.

Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Аноним (47), 13-Мрт-26, 15:31

А можно вы со своими юниксами уже отвалите от линукса. Ведь он ГНУ, что расшифровывается как ГНУ НОТ! Юникс.
У вас есть ваши либимые юниксы в виде макоси и бсд. Вот там и городите свои костыли.

Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Аноним (25), 13-Мрт-26, 15:36

Not Unix, but Unix-like.

Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +1 +/–

Сообщение от Аноним (53), 13-Мрт-26, 15:42

> А можно вы со своими юниксами уже отвалите от линукса. Ведь он ГНУ, что расшифровывается как ГНУ НОТ! Юникс.
А когда это линукс стал ГНУ?
Торвальдс сам говорил, что ни к ГНУ, ни к ФСФ, ни к бороде его проект отношения не имеет.
> У вас есть ваши либимые юниксы в виде макоси и бсд. Вот там и городите свои костыли.
Погоди.
Если в линуксе не нужно, то зачем пuнгвинятники тащат чужие изобретения к себе?
Часом не по причине скудоyмия и кpивых pук?

Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

55. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." –1 +/–

Сообщение от Аноним (25), 13-Мрт-26, 15:43

Когда под линуксом стали понимать не только ядро, но и ОС с gnu coreutils.

Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +1 +/–

Сообщение от Аноним (59), 13-Мрт-26, 15:52

> Когда под линуксом стали понимать не только ядро, но и ОС с gnu coreutils.
Кто стал))?
Что busybox уже пропал?
Linux это не GNU.
lkml.org/lkml/2006/9/25/161
"the fact that rms and the FSF has tried to paint Linux as a GNU project (going as far as trying to rename it "GNU/Linux" at every opportunity they get) is their confusion, not ours."

Ответить | Правка | Наверх | Cообщить модератору

61. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Аноним (25), 13-Мрт-26, 16:00

Да тот же Debian GNU/Linux.

Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Аноним (63), 13-Мрт-26, 16:06

> Да тот же Debian GNU/Linux.
Торвальдс пишет "Linux не GNU". А наpkоманы из деба - пишут что GNU.
Кому же верить?!
Покажите еще какие-то дистры, которые GNU/Linux.
Я знаю только совсем отбитые, вроде Dragora, Hyperbola, Parabola.

Ответить | Правка | Наверх | Cообщить модератору

64. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Аноним (25), 13-Мрт-26, 16:12

Обоим - квантовая суперпозиция!
Guix ещё.

Ответить | Правка | Наверх | Cообщить модератору

72. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Аноним (73), 13-Мрт-26, 17:14

Вот когда сделаешь свой дистр со всеми эnими uutils, заменишь GLibc на RsLibc. Вот тогда твой дистр будет не GNU. А Musl не полная замена, попробуй проприетарные блобы под не позапускать, некоторые скажут, что у тебя несовместимая версия glibc.

Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

87. Скрыто модератором +/–

Сообщение от Аноним (-), 13-Мрт-26, 18:41

Ну, Debian использует GNU coreutils, glibc и т.п. по умолчанию ведь.

Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

76. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Аноним (76), 13-Мрт-26, 17:56

> Кстати, в ТОМ sendmail - этой уязвимости нет.
Этой нет, факт. Зато других -- вагон, каждая вычурнее предыдущей. Проблема не в том, что кто-то не осилил. Проблема в том, что UNIX и его потомки как были системой для локалхостов с одним пользователем, так и остались по сей день. И сколько ни лечи его неймспейсами и контейнеризацией, он таким всё равно останется на фундаментальном уровне. А Plan9 вы закопали даже не пытаясь понять. Ну вот и суйте каждую программу в отдельную VM, эту изоляцию вроде так-сяк скотчем примотали, авось не развалится.

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

31. Скрыто модератором +2 +/–

Сообщение от нах. (?), 13-Мрт-26, 14:55

не хотел бы тебя огорчать, но этот сендмэйл - кого нада сендмэйл.
Безопастный (!) drop-in replacement придуманный кекспертом по безопастносте чтоб вот привиллегии не сбрасывать.
А настоящий - никаких MAIL_CONFIG не умеет.
> В этот раз еще приправленное приблудой AppArmor (естественно, написанной на топовых
> технологиях 70х с double free),
ну ты-то щас напишешь получше? На технологиях 2030х? А, не, не напишешь. Ты ж не умеешь кодить.
(и да, проблема apparmor - что он дерьмо. И by design, и, как видим, by implementation. И это не проблема технологий, а проблема индусов нанятых убунтой за три копейки, вместо того чтобы выпороть как следует американцев, не сумевших переписать работающие профили selinux)

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

68. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." –1 +/–

Сообщение от Сладкая булочка (?), 13-Мрт-26, 17:04

> прочих файрджейлов
Он использует механизмы ядра и тут причем?

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

74. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Аноним (25), 13-Мрт-26, 17:22

Тут не причём, но использует SUID и является возможной целью уязвимости повышения привилегий в будущем (или уже).

Ответить | Правка | Наверх | Cообщить модератору

93. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Сладкая булочка (?), 13-Мрт-26, 19:06

> Тут не причём, но использует SUID и является возможной целью уязвимости повышения
> привилегий в будущем (или уже).
https://github.com/netblue30/firejail/discussions/4601

Ответить | Правка | Наверх | Cообщить модератору

85. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Аноним (85), 13-Мрт-26, 18:37

>> прочих файрджейлов
> Он использует механизмы ядра и тут причем?
А ты не догадываешься? Ну, давай вместе посмотрим:
"Уязвимость в firejail, позволяющая получить root-доступ в системе":
https://www.opennet.ru/opennews/art.shtml?num=57337
"В Firejail выявлена уязвимость, позволяющая повысить свои привилегии до пользователя root":
https://www.opennet.ru/opennews/art.shtml?num=54564
"В Firejail выявлено девять уязвимостей, большинство из которых позволяют повысить свои привилегии в основной системе до пользователя root":
https://www.opennet.ru/opennews/art.shtml?num=45824

Ответить | Правка | К родителю #68 | Наверх | Cообщить модератору

90. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Сладкая булочка (?), 13-Мрт-26, 18:57

>>> прочих файрджейлов
>> Он использует механизмы ядра и тут причем?
> А ты не догадываешься? Ну, давай вместе посмотрим:
Ну уявзимости и уязвимости. Как это относится к теме с apparmor?

Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Аноним (16), 13-Мрт-26, 14:40

Если sudo на дебиане нет - получается уязвимость не сработает ?

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +1 +/–

Сообщение от Аноним (25), 13-Мрт-26, 14:46

Попутно в Ubuntu выпущены обновления пакетов sudo, sudo-ldap и **util-linux (в состав входит утилита su)**

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Аноним (30), 13-Мрт-26, 14:52

> Если sudo на дебиане нет - получается уязвимость не сработает ?
А новость вы не пробовали читать?
"Успешные примеры повышения привилегий продемонстрированы в Ubuntu 24.04 и Debian 13"
Значит и без sudo работает.

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

83. Скрыто модератором +/–

Сообщение от Аноним (80), 13-Мрт-26, 18:30

когда это из деба 13
выкинули судо?

Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Сладкая булочка (?), 13-Мрт-26, 15:18

AppArmor используется в snap. Вот и думайте.

Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Аноним (25), 13-Мрт-26, 15:22

Думаю и использую flatpak.

Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Аноним (45), 13-Мрт-26, 15:25

Но используется и отдельно.
Какой вывод может быть сделан?
1. аппармор оказался овнокодом
2. дырени типичные
3. создателю snapʼа нужно тщательнее выбирать, что использовать в проекте

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

43. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Аноним (-), 13-Мрт-26, 15:19

> Показано как получить права root при помощи уязвимостей, вызванных двойным выполнением функции free() и обращением к уже освобождённой области памяти (use‑after‑free)
"если использовать язык программирования, с которым не надо тщательно обдумывать каждую строку, то можно знатно нафакапить" (c)
Они использовали.
И нафаkапили.

Ответить | Правка | Наверх | Cообщить модератору

58. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." –1 +/–

Сообщение от Аноним (58), 13-Мрт-26, 15:49

Разве профили app_armor в ядро не от рута загружаются?

Ответить | Правка | Наверх | Cообщить модератору

75. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Аноним (75), 13-Мрт-26, 17:51

Видимо, чтобы бедные мигранты из винды хоть зачем-то пытались хавать кактус бубунты, специально для них оставили кучу кнопок "сделать от рута". Безопасная система - это та, где нет бинарников с suid-битом.

Ответить | Правка | Наверх | Cообщить модератору

60. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Аноним (58), 13-Мрт-26, 15:57

apparmor давно превратился в сгнившее дерьмо. В смысле что дока на него неполная. К тому же дока не поспевает за изменениями в самом apparmor, а её репозиторий (вики на гитлабе) представляет из себя какое-то месиво, которое читать невозможно. Этот apparmor давно пора выкинуть и на landlock заменить. У Салауна хотя-бы ума хватило допереть, что профили аппармора не могут сандбоксить приложения, ибо к чему доступ разрешать - это зависит от обрабатываемых приложением данных. Напр если приложению передан аргумент командной строки, указывающий на файл, то к этому файлу нужно доступ разрешить, что совсем не значит, что к другим файлам с тем же расширением надо разрешать доступ хотя-бы на чтение, потому что кто его знает, может в том файле эксплоит, который инфу из других файлов стырит, в себя запишет, а юзер его перешлёт коллеге, от которого получил, вместе с контейнером, в котором по другим контрагентам инфа.

Ответить | Правка | Наверх | Cообщить модератору

66. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Аноним (66), 13-Мрт-26, 16:59

"уязвимость эскалации привилегий требующая ввода пароля рута"
очень боюсь сейчас взломают

Ответить | Правка | Наверх | Cообщить модератору

70. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Аноним (70), 13-Мрт-26, 17:11

Хакир очень удивится когда поймет, что на 11 нет такой проблемы. D

Ответить | Правка | Наверх | Cообщить модератору

69. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Сладкая булочка (?), 13-Мрт-26, 17:05

> Проблемы вызваны наличием в AppArmor фундаментальной уязвимости класса "обманутый посредник" ("confused-deputy"), позволяющей непривилегированным пользователям загружать, заменять и удалять произвольные профили AppArmor.
Запретить непривилегированным пользователям это делать и все? В чем проблема?

Ответить | Правка | Наверх | Cообщить модератору

71. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." –2 +/–

Сообщение от Аноним (70), 13-Мрт-26, 17:13

Поздно пить Боржоми. Тыщеглаз снова не оправдал ожидания.

Ответить | Правка | Наверх | Cообщить модератору

77. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Аноним (65), 13-Мрт-26, 17:57

>Поздно пить Боржоми. Тыщеглаз снова не оправдал ожидания.
Ты уж не ленись добавлять, что не оправдали ТВОИ ожидания. Вот я даже не знаю, как нам теперь с этим жить.

Ответить | Правка | Наверх | Cообщить модератору

79. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Аноним (70), 13-Мрт-26, 18:21

Кому вам,любителям уязвимостей?

Ответить | Правка | Наверх | Cообщить модератору

88. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Аноним (65), 13-Мрт-26, 18:53

>Кому вам,любителям уязвимостей?
Какие то трудности с удержанием контекста? СДВГ? - Ты же сам писал про 1000 глаз!

Ответить | Правка | Наверх | Cообщить модератору

84. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Аноним (80), 13-Мрт-26, 18:33

ознакомься со структурой kicksecure

Ответить | Правка | К родителю #77 | Наверх | Cообщить модератору

89. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Аноним (89), 13-Мрт-26, 18:54

Как обычно пишут кто уязвимость обнаружил, но не пишут, кто ее внес. А ведь у этих людей есть имена.

Ответить | Правка | Наверх | Cообщить модератору

92. Скрыто модератором +/–

Сообщение от Аноним (92), 13-Мрт-26, 19:00

Я предлагаю Доску Позора для горе-контрибьюторов.

Ответить | Правка | Наверх | Cообщить модератору

96. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..." +/–

Сообщение от Аноним (4), 13-Мрт-26, 19:14

Кто внёс, тот и обнаружил.

Ответить | Правка | К родителю #89 | Наверх | Cообщить модератору

91. Скрыто модератором +/–

Сообщение от Аноним (92), 13-Мрт-26, 18:58

В новинку, что защитники "тоже люди"? В добавок, в построение и правилах AppArmor черт ногу сломит.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

4. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..."	+2 +/–
Сообщение от Аноним (4), 13-Мрт-26, 13:53
Фикс для бубунты: $ onano /etc/default/grub > GRUB_CMDLINE_LINUX_DEFAULT="quiet splash loglevel=0 apparmor=0 mitigations=off" $ update-grub
Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..."	+11 +/–
	Сообщение от openssh_user (ok), 13-Мрт-26, 14:13
	Нет apparmor - нет проблем?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..."	+5 +/–
	Сообщение от АнонимЯ (?), 13-Мрт-26, 14:19
	Ага, метод от девляпсов, судя по всему.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	62. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..."	–1 +/–
	Сообщение от kravich (ok), 13-Мрт-26, 16:05
	И чертов SELinux туда же заберите
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору


	73. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..."	+/–
	Сообщение от Аноним (73), 13-Мрт-26, 17:18
	Во, в нём архитектурно заложенных дверей куда больше будет, учитывая его родителя.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..."	+3 +/–
	Сообщение от Аноним (25), 13-Мрт-26, 14:44
	> mitigations=off Зачем отключать ещё и защиту от Meltdown и Spectre (спекулятивных CPU уязвимостей)?
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	34. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..."	+2 +/–
	Сообщение от нах. (?), 13-Мрт-26, 14:59
	затем что она примерно так же на#р не нужна как и апармор.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	49. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..."	+2 +/–
	Сообщение от Аноним (49), 13-Мрт-26, 15:36
	Он про домашние десктопы. Там оно не нужно. На серверах - дело твое уже (я бы не отключал).
	Ответить \| Правка \| К родителю #25 \| Наверх \| Cообщить модератору


	56. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..."	+/–
	Сообщение от Аноним (25), 13-Мрт-26, 15:45
	И из вкладки с мемами javascript пробивает защиту ОС насквозь. Хорошо, что для браузеров нету mitigations=off.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	94. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..."	+/–
	Сообщение от Аноним (4), 13-Мрт-26, 19:08
	Хорошо, что есть noscript.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	78. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..."	+/–
	Сообщение от Аноним (78), 13-Мрт-26, 18:01
	Можете аргументированно объяснить почему дома это не нужно?
	Ответить \| Правка \| К родителю #49 \| Наверх \| Cообщить модератору


	80. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..."	+/–
	Сообщение от Аноним (80), 13-Мрт-26, 18:22
	он считает, что на них входящие порты закрыты фаером
	Ответить \| Правка \| Наверх \| Cообщить модератору


	67. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..."	+/–
	Сообщение от Аноним (73), 13-Мрт-26, 17:00
	А mitigations=off как от этого защитит (открыв другие ворота)?
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	81. Скрыто модератором	+/–
	Сообщение от Аноним (80), 13-Мрт-26, 18:23
	горит сарай, гори и хата!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	95. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..."	+/–
	Сообщение от Аноним (4), 13-Мрт-26, 19:11
	Вы наверно из тех, кто из соображений безопасности заколачивает в доме окна и заливает замочную скважину герметиком т.к. "ворота" открыты!!11
	Ответить \| Правка \| К родителю #67 \| Наверх \| Cообщить модератору

7. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..."	–2 +/–
Сообщение от Аноним (7), 13-Мрт-26, 14:15
> Проблемы присутствуют в LSM-модуле AppArmor начиная с ядра Linux 4.11 Не зря люди на 3.* ядре сидят.
Ответить \| Правка \| Наверх \| Cообщить модератору


	9. Скрыто модератором	+/–
	Сообщение от Аноним (9), 13-Мрт-26, 14:17
	А в нем дыреней нет? Ты точно проверил? Может там СИшка другая? Или диды в те времена не овнокодили?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..."	+2 +/–
	Сообщение от онанист (?), 13-Мрт-26, 14:42
	зря 2.6 рулит
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору


	65. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..."	+/–
	Сообщение от Аноним (65), 13-Мрт-26, 16:33
	>Может там СИшка другая? >Или диды в те времена не овнокодили? 2017 Год - это не диды, это ты!
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору


	86. Скрыто модератором	+/–
	Сообщение от Аноним (-), 13-Мрт-26, 18:38
	Получается, что 4+ ядра — это для рептилоидов?
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору

14. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..."	+/–
Сообщение от Аноним (14), 13-Мрт-26, 14:22
> Исправление также включено в сегодняшние обновления пакетов с ядром для Ubuntu. > В Debian обновление в процессе подготовки Никогда такого не было и вот опять. Дебианцам же торопиться некуда. Сегодня уже пятница, потом выходные, кто же на выходных патчи будет принимать.
Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..."	+/–
	Сообщение от Аноним (16), 13-Мрт-26, 14:30
	Так на дебиане же по-умолчанию apparmor отключён )
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..."	+2 +/–
	Сообщение от Аноним (19), 13-Мрт-26, 14:34
	> Так на дебиане же по-умолчанию apparmor отключён ) Вы уверены? Может вы совсем недавно из криокамеры вышли? AppArmor is available in Debian since Debian 7 "Wheezy". If you are using Debian 10 "Buster" or newer, AppArmor is enabled by default wiki.debian.org/AppArmor/HowToUse
	Ответить \| Правка \| Наверх \| Cообщить модератору


	36. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..."	–1 +/–
	Сообщение от Аноним (25), 13-Мрт-26, 15:00
	Я тоже из криокамеры, к синтаксису nftables так и не привыкла.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	38. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..."	+/–
	Сообщение от Аноним (25), 13-Мрт-26, 15:01
	И к ip вместо ifconfig
	Ответить \| Правка \| Наверх \| Cообщить модератору


	82. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..."	+/–
	Сообщение от Аноним (80), 13-Мрт-26, 18:25
	да уж.. сложновато привыкать )))
	Ответить \| Правка \| Наверх \| Cообщить модератору

17. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..."	+4 +/–
Сообщение от Аноним (17), 13-Мрт-26, 14:33
> Суть метода в том, что при возникновении проблем утилита sudo отправляет администратору письмо, запуская /usr/sbin/sendmail. Блокировав сброс привилегий можно добиться запуска данного процесса с правами root, а выставив перед запуском sudo переменную окружения MAIL_CONFIG можно передать утилите sendmail другие настройки, в том числе указать свой обработчик postdrop, запускаемый при отправке почты. Господи, здесь прекрасно абсолютно все: и sudo, шлющий эмейлы, и sendmail, запускающий черт знает что по указанию внешних переменных окружения. Очередное бинго из гениального диловского дизайна. В этот раз еще приправленное приблудой AppArmor (естественно, написанной на топовых технологиях 70х с double free), которая вместо защиты наоборот дает рут. 😂 Сколько не говорят, что поверхность атаки нужно УМЕНЬШАТЬ, а не наоборот - все бестолку. Продолжаем наворачиват новые слои дырявых аппарморов и прочих файрджейлов - и потом делать удивленные глаза. 😧
Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..."	–1 +/–
	Сообщение от онанист (?), 13-Мрт-26, 14:35
	Сколько не говорят, что поверхность атаки нужно УМЕНЬШАТЬ, а не наоборот - все бестолку кто говорит? наоброт обязательно антивирус и тп
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..."	–1 +/–
	Сообщение от Аноним (-), 13-Мрт-26, 14:42
	Ты просто ничего не понимаешь! Это же (xy)UNIХ-way! Диды писали, диды старались, ты такой неблагодарный на них бочку гонишь... А ну быстра извынысь!
	Ответить \| Правка \| К родителю #17 \| Наверх \| Cообщить модератору


	26. "Уязвимости в AppArmor, позволяющие получить root-доступ в си..."	+/–
	Сообщение от Аноним (25), 13-Мрт-26, 14:45
	Советую почитать классику UNIX HATERS HANDBOOK. Там и про sendmail есть!
	Ответить \| Правка \| К родителю #17 \| Наверх \| Cообщить модератору