Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость, позволяющая обойти режим sandbox-изоляции SELinux"	+/–
Сообщение от opennews (??), 25-Сен-16, 21:09
В системе принудительного контроля доступа SELinux обнаружена (http://seclists.org/oss-sec/2016/q3/606) уязвимость (CVE-2016-7545 (https://security-tracker.debian.org/tracker/CVE-2016-7545)), позволяющая приложению обойти режим sandbox-изоляции SELinux и выполнить любую команду в рамках текущего пользовательского сеанса. Суть уязвимости в том, что приложение может воспользоваться ioctl-интерфейсом  TIOCSTI для помещения произвольных символов в буфер ввода терминала, т.е. может симулировать набор команды в текущем терминале. Уязвимость затрагивает утилиту /bin/sandbox из набора policycoreutils. Проблема уже устранена в Debian GNU/Linux и ожидает исправления в других дистрибутивах (RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2016-7545),  CentOS (https://lists.centos.org/pipermail/centos-announce/2016-Augu...), Fedora (https://bodhi.fedoraproject.org/updates/?releases=F23&type=s...), SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2016-7545)). Исправление также доступно в виде патча (https://github.com/SELinuxProject/selinux/commit/acca96a135a...). URL: http://seclists.org/oss-sec/2016/q3/606 Новость: https://www.opennet.ru/opennews/art.shtml?num=45210
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Max (??), 25-Сен-16, 21:09	+1 +/–
Андроид подвержен этой уязвимости?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #5

2. Сообщение от Вячеслав (??), 25-Сен-16, 21:52	+11 +/–
Разве мало того что уже есть?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #12

3. Сообщение от Аноним (-), 25-Сен-16, 21:55	+11 +/–
> SELinux обнаружена уязвимость > Проблема уже устранена в Debian GNU/Linux и ожидает исправления в других дистрибутивах (RHEL, CentOS, Fedora, SUSE). Ха-ха
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4

4. Сообщение от d4re (?), 25-Сен-16, 22:14	–1 +/–
Действительно, ржач
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

5. Сообщение от кельвин (?), 25-Сен-16, 22:15	+2 +/–
полагаю зависит от того есть у тебя в андроиде /bin/sandbox
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

6. Сообщение от Аноним (-), 26-Сен-16, 00:03	–4 +/–
Вся суть Python /bin/ и Red Hat.
Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от Аноним (-), 26-Сен-16, 11:01	+3 +/–
Уязвимость, заложенная архитектурно NSA ? ;) Больше доверяйте этому NSA Selinux, ага.
Ответить | Правка | Наверх | Cообщить модератору

9. Сообщение от robux (ok), 26-Сен-16, 11:22	–2 +/–
> В системе принудительного контроля доступа SELinux обнаружена уязвимость С учётом того, что SELinux пропихнули в ядро Linux сотрудники АНБ, удивляться не приходится. Поэтому я всегда отключаю эту хрень параметром ядра: "selinux=0" И работает быстрее, и бэкдора в системе нет.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #16, #18

10. Сообщение от аноном (?), 26-Сен-16, 11:38	–2 +/–
Чушь собачья. Особенно про бэкдор. Доказательств нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #11, #19, #20

11. Сообщение от Аноним (-), 26-Сен-16, 12:01	+2 +/–
Вера не нуждается в доказательствах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #13

12. Сообщение от Аноним (-), 26-Сен-16, 12:27	+/–
Вы всегда отвечаете вопросом на вопрос? Мало. Ещё глупые вопросы будут?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

13. Сообщение от Аноним (-), 26-Сен-16, 12:29	+3 +/–
Более того, вера нуждается в отсутствии доказательств, иначе вера превращается в знание.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

15. Сообщение от Uri (??), 26-Сен-16, 12:39	–1 +/–
Извините неграмотного, но это не SECCOMP ли случайно?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24

16. Сообщение от Анжелика (?), 26-Сен-16, 12:45	+/–
А зачем через параметр ядра? Конфиг же есть!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #17

17. Сообщение от Аноним (-), 26-Сен-16, 14:26	+1 +/–
увы, это единственный случай когда selinux реально отключен. можете посмотреть по всяким security slab и ftrace.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

18. Сообщение от Leap42 (?), 26-Сен-16, 14:55	+1 +/–
На одной бересте читал, что всё было по-другому. Сотрудники АНБ пропихивали SELinux в ядро, но  Линус (или кто-то помельче) отказался брать код как есть, отмазавшись архитектурными соображениями. Чуваки из SUSE по-быстрому запилили LSM и AppArmor, а АНБ было предложено адаптировать SELinux под LSM (хотя занимались этим всё теже чуваки из SUSE, так SLE стал первым дистрибутивом с SELinux, в последствии отказавшись от него).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

19. Сообщение от Аноним (-), 26-Сен-16, 16:13	–2 +/–
Чтобы не доверять плохим людям by default доказательства в каждм конкретном случае и не нужны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

20. Сообщение от Аноним (-), 26-Сен-16, 23:52	+/–
> Чушь собачья. Особенно про бэкдор. Доказательств нет. Очевидно, у вас есть доказательства отсутствия бэкдора? Вы в курсе вообще, как такие системы верифицируются или живёте по принципу "гром не грянет - мужик не перекрестится"?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #21

21. Сообщение от rt (??), 27-Сен-16, 10:40	+1 +/–
Вы предметно лучше отписывайтесь. А то ля-ля получается, про какое-то крещение и все такое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

23. Сообщение от Аноним (-), 28-Сен-16, 15:35	+/–
вообще-то новость - невменяемая херня человека, не понявшего, о чем речь. Я уж подумал,  правда уязвимость в selinux. А оказывается - есть мелкая проблема в косорылом питоновском скрипте, позволяющем кое-как создать selinux-изолированное приложение, изначально на такое не рассчитанное. Понятия не имею, кто этой поделкой пользовался - я вот счастливо не знал по сей день о ее существовании. >       default sandbox domain only allows applications the ability to read and >       write  stdin, stdout and any other file descriptors handed to it. It is >       not allowed to open any other files.   Что, чорд подери, вы собрались в таком виде запускать и что полезного оно могло бы в принципе делать?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25

24. Сообщение от Аноним (-), 28-Сен-16, 15:37	+/–
нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

25. Сообщение от Аноним (-), 28-Сен-16, 19:13	+/–
В новости ровно об этом и написано "Уязвимость затрагивает утилиту /bin/sandbox из набора policycoreutils".  Просто читать нужно весь текст, а не только первое предложение.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #26

26. Сообщение от Аноним (26), 24-Мрт-23, 16:13	+/–
"Уязвимость затрагивает утилиту /bin/sandbox из набора policycoreutils" может трактоватся и как уязвимость в самом механизме SELinux, который использует этот скрипт. Он прав в том, что текст новости написан неоднозначно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема