Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в подсистеме eBPF ядра Linux"	+/–
Сообщение от opennews (??), 09-Апр-21, 13:45
В подсистеме eBPF, позволяющей запускать обработчики для трассировки, анализа работы подсистем и управления трафиком, выполняемые внутри ядра Linux в специальной виртуальной машине с JIT, выявлена уязвимость (CVE-2021-29154), позволяющая локальному пользователю добиться выполнения свого кода на уровне ядра. Проблема проявляется вплоть до выпуска 5.11.12 (включительно) и ещё не исправлена в дистрибутивах (Debian, Ubuntu, RHEL, Fedora, SUSE, Arch). Исправление доступно в виде патча... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54932
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от leibniz (??), 09-Апр-21, 13:45	+/–
это ядро монструозно, в нём слишком много кода и, соответственно, ошибок
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #5, #13, #22, #44, #112

2. Сообщение от пох. (?), 09-Апр-21, 13:46	+1 +/–
sysctl net.core.bpf_jit_enable=0 sysctl: setting key "net.core.bpf_jit_enable": Invalid argument (с echo все прокатит, но внутри файлика останется 1) Что-то этот хак редхата, похоже, только для редхата. У которого там и так 0
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #47, #64

3. Сообщение от Аноним (3), 09-Апр-21, 13:47	–6 +/–
плюсую, гайка или маленькая птичка, пьющая нектар, выглядят поинтереснее
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #61

4. Сообщение от Аноним (4), 09-Апр-21, 13:47	–16 +/–
Архаичные уязвимости отсталых языков программирования.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #19, #48, #55, #101

5. Сообщение от Аноним (5), 09-Апр-21, 13:52	+/–
Отчасти ebpf и решает эту проблему, вынося специфические части в байткод и юзерспейс.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #58

6. Сообщение от Аноним (6), 09-Апр-21, 14:00	+12 +/–
Давайте запихнём в ядро виртуальную машину с JIT! Что может пойти не так?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11

8. Сообщение от Lex (??), 09-Апр-21, 14:03	+1 +/–
А все потому, что джит. Даёт серьезный прирост скорости норм ЯП, но делая само выполнение кода фундаментально дырявым.
Ответить | Правка | Наверх | Cообщить модератору

9. Сообщение от Онаним (?), 09-Апр-21, 14:08	+/–
Ну наконец-то Я прямо ждал когда в этом ядерном JIT-шерете что-нибудь таки протечёт JIT в ядре - зло
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23, #41

10. Сообщение от Онаним (?), 09-Апр-21, 14:09	+14 +/–
С моднявыми язычками ситуация ещё интереснее "Нет софта - нет уязвимостей" называется
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

11. Сообщение от Онаним (?), 09-Апр-21, 14:10	+/–
Восамомделенуштовы
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

12. Сообщение от Аноним (12), 09-Апр-21, 14:12	–2 +/–
Казалось бы, причём тут Rust?..
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #32

13. Сообщение от Alen (??), 09-Апр-21, 14:12	–2 +/–
В статье нет самого главного! Для тех у кого есть голова и руки, в ядре опция: /Networking support/Networking options/enable BPF Just In Time compiler должна быть отлкюченной. Н этом инцидент исчерпывается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #67

14. Сообщение от Аноним (14), 09-Апр-21, 14:12	+/–
Никогда не было и вот опять. Я и в polkit отключил жит и в qml, хотя непроверенный уод вроде не собираюсь исполнять. А от eBPF мне до сих пор щекотно, потому что позволять пользователю загружать код в вм с житом прямо в ядре, ну то такое. К сожалению, это единственная надежда для динамического файервола (чтобы блокировать и фильтровать исходящий трафик на уровне приложений, скажем).
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16, #75, #84

15. Сообщение от Аноним (15), 09-Апр-21, 14:12	+1 +/–
>>в специальной виртуальной машине с JIT Это из самого названия понятно что это не может быть без дыр априори. Это два сложных непонятных механизма закрученный один в другой.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28

16. Сообщение от Аноним (14), 09-Апр-21, 14:16	+/–
Я пытался отключить в ядре, но оно что-то больше не отключается. Однако, в proc не светится. Т.е. никаких /proc/sys/net/core/bpf_* CONFIG_BPF=y # CONFIG_BPF_SYSCALL is not set CONFIG_ARCH_WANT_DEFAULT_BPF_JIT=y # CONFIG_NETFILTER_XT_MATCH_BPF is not set # CONFIG_BPFILTER is not set # CONFIG_BPF_JIT is not set CONFIG_HAVE_EBPF_JIT=y
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

17. Сообщение от Алексей (??), 09-Апр-21, 14:21	+4 +/–
> уязвимость может быть эксплуатирована при включении BPF JIT и наличии у пользователя прав CAP_SYS_ADMIN То есть root может взломать сам себя? Галактика в опасности!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18

18. Сообщение от Аноним (14), 09-Апр-21, 14:27	+1 +/–
Я тоже был уверен, что старательно везде убрал на всех бинарях (а ты проверь кстати в своём дистре), а потом ой /usr/bin/PCSX2 cap_net_admin,cap_net_raw=eip какие-то лишние права. А вот cap_sys_admin я отключал у кучи софта. Хорошо теперь есть cap_checkpoint_restore и можно убрать sys_admin и с criu.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #20

19. Сообщение от Урри (ok), 09-Апр-21, 14:40	+4 +/–
В данном случае проблема алгоритма реализации. Ваш модномолодежный язык такие проблемы не умеет решать. Впрочем, никого из использующих модномолодежные языки к реализации таких сложных задач и не подпускают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #40, #83

20. Сообщение от Онаним (?), 09-Апр-21, 14:44	+/–
Как-то всё проще. /usr/bin/newgidmap = cap_setgid+ep /usr/bin/ping = cap_net_admin,cap_net_raw+p /usr/bin/newuidmap = cap_setuid+ep /usr/sbin/arping = cap_net_raw+p /usr/sbin/clockdiff = cap_net_raw+p /usr/sbin/fping = cap_net_raw+ep И всё, в общем-то. А пользовательские файлухи вообще с noxattr монтируются, поэтому идут нафиг.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #35

21. Сообщение от Аноним (94), 09-Апр-21, 14:46	+5 +/–
Эх, не умеют они готовить святой C и C++. Сплошные дыры в безопасности (включая прошлые новости с конфы по взлому всего и вся на C и C++) Вот туда бы экспертов с opennet...ууууххх ...они бы показали обезьяно-макакам (JS) и ржавым петушкам (Rust) как писать идеальный код без ошибок!
Ответить | Правка | Наверх | Cообщить модератору

22. Сообщение от kai3341 (ok), 09-Апр-21, 14:48	+4 +/–
> это ядро монструозно, в нём слишком много кода и, соответственно, ошибок Если бы всё было так просто. eBPF -- попытка выжать максимум производительности. Производительности же всегда мало -- как однажды сказал мой друг, задачи в идеале должны выполняться за отрицательное время
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #24, #46, #57

23. Сообщение от Аноним84701 (ok), 09-Апр-21, 14:51	+6 +/–
> Ну наконец-то > Я прямо ждал когда в этом ядерном JIT-шерете что-нибудь таки протечёт С разморозкой! https://www.opennet.ru/opennews/art.shtml?num=47792 > Критические уязвимости в подсистеме eBPF ядра Linux > 23.12.2017 10:23 https://www.opennet.ru/opennews/art.shtml?num=52640 > Уязвимость в ядре Linux, позволяющая повысить свои привилегии через BPF > 04.02.2019 12:19
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #92

24. Сообщение от ryoken (ok), 09-Апр-21, 14:52	+2 +/–
>> задачи в идеале должны выполняться за отрицательное время так их сформулировать не успеете
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #39, #56

25. Сообщение от Michael Shigorin (ok), 09-Апр-21, 14:53	–2 +/–
"Шо, опять?!" (ц) PS: и да, на e2k его не портировали ещё; по-моему, на данном этапе извития данной хреновины это скорее плюс.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34, #36, #42

26. Сообщение от ryoken (ok), 09-Апр-21, 14:54	+1 +/–
Почему-то как вижу тут на опеннете новости, где есть фраза "позволяющий запускать обработчики", так и начинаю подсознательно ждать всяческих граблей.
Ответить | Правка | Наверх | Cообщить модератору

27. Сообщение от Я (??), 09-Апр-21, 14:54	+/–
а писали бы eBPF на расте не было бы такой фигни.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #43, #88

28. Сообщение от 1 (??), 09-Апр-21, 14:55	+/–
да ещё и в юзерспейсе
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #50

32. Сообщение от Аноним (32), 09-Апр-21, 15:02	+3 +/–
В данном случае не поможет. Проблема реализации алгоритмов самого JIT.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

34. Сообщение от Аноним (34), 09-Апр-21, 15:04	+/–
Порядочные люди при сборке ядра выключают всякое ненужное непотребство используемое лишь в редких сценариях.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #51

35. Сообщение от Аноним (32), 09-Апр-21, 15:06	+/–
Ну да, suid, конечно же, лучше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #38, #91

36. Сообщение от Аноним (36), 09-Апр-21, 15:12	+/–
МСБС вовсе 2х юзают кажется. Умные люди. Вылизали версию и не парятся.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #89

38. Сообщение от пох. (?), 09-Апр-21, 15:31	+/–
лучше. Его сразу видно, о нем не забудешь, и писатели не надеются на "волшебные" механизмы. Не говоря уже о том что лап4@поделка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

39. Сообщение от Аноним (39), 09-Апр-21, 15:39	+10 +/–
Формулировка будет строиться после выполнения, т.е. подгоняем ТЗ под результат.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #77, #106

40. Сообщение от Аноним (39), 09-Апр-21, 15:40	+1 +/–
Согласен, такие задачи надо решать на COBOL, а не этих ваших молодежных Си.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

41. Сообщение от Аноним (39), 09-Апр-21, 15:42	+/–
В ядре и в частях без JIT регулярно дырки находят, это подов запретить любые рантаймы? Нет кода - нет проблем, я считаю!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

42. Сообщение от andy (??), 09-Апр-21, 16:00	+/–
Кстати, мне надо кое-что пособирать, так что мне есть чем занять твой "горыныч" [c] https://www.youtube.com/watch?v=it76PvJ8MnY
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

43. Сообщение от Аноним12345 (?), 09-Апр-21, 16:00	+1 +/–
ржунимагу
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

44. Сообщение от user90 (?), 09-Апр-21, 16:09	+1 +/–
> это ядро монструозно Держи, GNU Hurd ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

46. Сообщение от Ананоним (?), 09-Апр-21, 16:37	–1 +/–
Пусть твоему другу зарплату платят в отрицательном количестве. А если серьёзно, остерегайся таких друзей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

47. Сообщение от kissmyass (?), 09-Апр-21, 16:44	+/–
c echo bash: echo: write error: Invalid argument
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

48. Сообщение от Аноним (48), 09-Апр-21, 17:20	+/–
точно! Rust на них нет!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

50. Сообщение от пох. (?), 09-Апр-21, 18:35	+1 +/–
> да ещё и в юзерспейсе там не юзерспейс, там именно kernel space, с доступом к коду из userspace. Причем, если мой эклер мне опять изменяет, еще и с возможностью доступа от непривиллегированного юзера в некоторых комбинациях настроек.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

51. Сообщение от пох. (?), 09-Апр-21, 18:36	+3 +/–
> Порядочные люди при сборке ядра выключают всякое ненужное непотребство используемое лишь > в редких сценариях. порядочные люди не занимаются пересборками ведра, у них дел и так полно. К тому же определить, что там нужно, а что не очень - задача для несреднего васяна.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #59

53. Сообщение от Аноним (53), 09-Апр-21, 18:50	+/–
/proc/sys/net/core/bpf_jit_enable = 0 Дебиан, если что.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #60

54. Сообщение от Ingener (??), 09-Апр-21, 19:07	–1 +/–
>уязвимость (CVE-2021-29154), позволяющая локальному пользователю добиться выполнения свого кода на уровне ядра Что и говорили. В Лин полно закладок. Еще десятки лет их будут находить.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #68

55. Сообщение от Аноним (55), 09-Апр-21, 20:33	+/–
Дурачок? Тебе тут целый Jit запилили. Можешь хоть на Расте писать и в него перегонять. Проблема, таже, что и у JS. Не должен никакой левый код выполняться в ядре, как и в браузере.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #105, #115

56. Сообщение от ананим.orig (?), 09-Апр-21, 20:39	+1 +/–
>> задачи в идеале должны выполняться за отрицательное время > так их сформулировать не успеете с тех пор так и живем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

57. Сообщение от ананим.orig (?), 09-Апр-21, 20:41	+/–
> eBPF -- попытка выжать максимум производительности. нет. и никогда не была.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

58. Сообщение от ананим.orig (?), 09-Апр-21, 20:46	+3 +/–
да,да. которые в конечном счете грузятся.. куда? точно! сабж жеж! смешно и всегда было смешно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

59. Сообщение от Alen (??), 09-Апр-21, 20:54	–1 +/–
Порядочные люди невежество не восхваляют
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #78, #85

60. Сообщение от Аноним (102), 09-Апр-21, 20:54	+/–
А у меня включен почему-то. Это вообще роль какую-то играет если компьютером пользуюсь только я?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #66

61. Сообщение от анончик (?), 09-Апр-21, 21:22	+2 +/–
у птички, пьющей нектар, экзистенциальный кризис очень давно, лет так 7 точно. Разрабы чето коммитят, но у проекта вообще никаких целей нет. Полная разруха и анархия
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

62. Сообщение от анончик (?), 09-Апр-21, 21:24	+2 +/–
а при Rust'е все будет зашибись, там все будет бесплатно и все будет в кайф. Надо только немножко подождать
Ответить | Правка | Наверх | Cообщить модератору

63. Сообщение от Аноним (63), 09-Апр-21, 21:34	+/–
А дедушка Тененбаум говорил этому студенту шо надо пилить микроядро.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #96

64. Сообщение от bpf (?), 09-Апр-21, 21:36	+2 +/–
$ man 2 bpf       Since Linux 4.15, the kernel may configured with the        CONFIG_BPF_JIT_ALWAYS_ON option.  In this case, the JIT compiler        is always enabled, and the bpf_jit_enable is initialized to 1 and        is immutable.  (This kernel configuration option was provided as        a mitigation for one of the Spectre attacks against the BPF        interpreter.)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #65

65. Сообщение от пох. (?), 09-Апр-21, 21:49	+1 +/–
бггг. Поебдили несуществующую атаку, оставив незакрываемую реальную дыру. Молодцы, чо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

66. Сообщение от Аноним (53), 09-Апр-21, 21:51	+/–
Думаю, вряд ли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

67. Сообщение от Аноним (67), 09-Апр-21, 22:09	+1 +/–
без ebpf не будет работать ни wireshark, ни firejail.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #79, #116

68. Сообщение от Аноним (102), 09-Апр-21, 22:23	–1 +/–
Мне кажется в лине даже больше закладок чем в винде. Ещё и код открытый, в разы легче исследовать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #70, #86, #103

69. Сообщение от Аноним (69), 09-Апр-21, 22:29	+1 +/–
Есть же еще kernel.unprivileged_bpf_disabled = 1 и net.core.bpf_jit_harden = 2. А на что повлияет полное отключение BPF JIT?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #76

70. Сообщение от Аноним (70), 09-Апр-21, 22:51	–1 +/–
>Ещё и код открытый, в разы легче исследовать Именно поэтому закладок меньше. Если безопасность строится на закрытости кода, грош ей цена.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

75. Сообщение от Аноним (75), 09-Апр-21, 23:45	+/–
> Я и в polkit отключил жит Как?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #80

76. Сообщение от Аноним (-), 09-Апр-21, 23:58	+1 +/–
Ни на что . Ненужная п..бень .
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69 Ответы: #82

77. Сообщение от InuYasha (??), 10-Апр-21, 00:13	+3 +/–
тогда я даже знаю пару мест где такое реализовано )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

78. Сообщение от InuYasha (??), 10-Апр-21, 00:16	+1 +/–
Всё-таки "уметь" и "заниматься" - понятия разные.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #81

79. Сообщение от Alen (??), 10-Апр-21, 00:23	+/–
без указанной мной опции wireshark успешно работает
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

80. Сообщение от Аноним (14), 10-Апр-21, 00:27	+/–
>> Я и в polkit отключил жит > Как? Собрал spidermoney с которым тот линукется без жита. И надеюсь, что этого достаточно. Наверно достаточно, я не проверял.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

81. Сообщение от Alen (??), 10-Апр-21, 00:32	–3 +/–
>Всё-таки "уметь" и "заниматься" - понятия разные. И часто у вас "уметь" наступает без "заниматься"? Вы теоретик ядерного удара? А главное, основная мысль была не в том, что все должны уметь, а в том, что я написал - невежеством хвалиться стыдно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

82. Сообщение от Аноним (82), 10-Апр-21, 01:41	+/–
А разве современный iptables не на BPF построен?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76 Ответы: #87, #99

83. Сообщение от Гриша (?), 10-Апр-21, 03:22	+1 +/–
Насколько я могу судить, по исправленному if-у, там обычный buffer overrun. Memcpy слишком длинного чего-то в локальный массив temp. Типичная ошибка вызванная тем что C не проверяет границы массивов. https://elixir.bootlin.com/linux/latest/source/arch/x86/net/...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

84. Сообщение от Гриша (?), 10-Апр-21, 03:27	+/–
Какие-же вы странные все. Этот JIT очень простой, он, просто транслирует байткод в машинные инструкции практически 1-в-1. Никакой сложной логики обычно ассоциированной со словом JIT там нет, там файл на 2к строк кода всего. Ошибка не связанна с JIT. Это, насколько я понимаю, обычный buffer overrun при копированнии массива. Там как-то не так проверяют его длинну.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #90

85. Сообщение от пох. (?), 10-Апр-21, 09:27	+3 +/–
Ну так и не хвались. Твое умение кое-как собрать ведро - не повод для гордости. Ты не понимаешь больше половины "выключаемых" тобой закорючек.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #102

86. Сообщение от пох. (?), 10-Апр-21, 09:31	+1 +/–
у вас опечатка в слове "добавлять" Индуса в ms-то и выпороть могут за такое. А тут пожалуйста - Signed-off-by: Dave Chinner <dchinner@redhat.com> Reviewed-by: Carlos Maiolino <cmaiolino@redhat.com> Reviewed-by: Darrick J. Wong <darrick.wong@oracle.com> Signed-off-by: Darrick J. Wong <darrick.wong@oracle.com> (трогательное сотрудничество редхатовского мекса с оракловым китаезой, не правда ли? Да, это подпись под изменением, делающим fs нерабочей. И ни один тысячекосоглаз не выступил - тут кого надо нога! Даже две!)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #109

87. Сообщение от пох. (?), 10-Апр-21, 09:35	+1 +/–
iptables - нет. Но он несовременный и его срочно надо выбросить. А над тем что вы хотите - работают, но пока, вроде, ничего кроме нерабочих poc не родили, nft только планирует перевестись на bpf-машину, когда-нибудь, потом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82

88. Сообщение от пох. (?), 10-Апр-21, 09:37	+1 +/–
да, я обеими лапами за. Еще много всякой й-ной фигни бы не было, от CoC.md и README вреда никакого.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #107

89. Сообщение от пох. (?), 10-Апр-21, 09:39	+1 +/–
застрять на древней неподдерживаемой версии - вовсе не равно "вылизали".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

90. Сообщение от Аноним (14), 10-Апр-21, 10:17	+/–
Проблема в том, что у пользователя вообще есть возможность загружать "машинный код" в ядро. Так лучше?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84 Ответы: #94, #95

91. Сообщение от Онаним (?), 10-Апр-21, 10:39	+/–
> Ну да, suid, конечно же, лучше. suid очень ограниченно. Пользовательские файлухи ещё и с nosuid, ага. Местами с noexec вдогонку.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

92. Сообщение от Онаним (?), 10-Апр-21, 10:42	+/–
Раз в два года жеж, а потом снова ждать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

93. Сообщение от Аноним (93), 10-Апр-21, 17:42	–1 +/–
> выполняемые внутри ядра Linux в специальной виртуальной машине с JIT JIT - зло которое надо искоренить!
Ответить | Правка | Наверх | Cообщить модератору

94. Сообщение от Аноним (94), 10-Апр-21, 18:32	+/–
Чем это отличается от загрузки модуля ядра, о великий эксперт openneta?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90 Ответы: #98, #100

95. Сообщение от Анончик (?), 10-Апр-21, 18:38	+/–
"опасность проблемы зависит от доступности пользователю системного вызова eBPF" Так доступно?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90 Ответы: #97

96. Сообщение от Анончик (?), 10-Апр-21, 18:44	+/–
Надеюсь ты хотя бы знаешь кто это, может потом даже научишься его к месту упоминать правильно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

97. Сообщение от Аноним (14), 10-Апр-21, 18:45	+/–
> "опасность проблемы зависит от доступности пользователю системного вызова eBPF" > Так доступно? Перечитай ещё раз и попробуй осмыслить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95

98. Сообщение от Аноним (14), 10-Апр-21, 18:46	+/–
> Чем это отличается от загрузки модуля ядра, о великий эксперт openneta? Модуль может загрузить только пользователь с правами рута, тут же смысл в том чтобы позволять это делать всем пользователям.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94

99. Сообщение от Анончик (?), 10-Апр-21, 18:47	–1 +/–
поздравляю вы достигли нового уровня "Местный эксперт"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82

100. Сообщение от Аноним (14), 10-Апр-21, 18:49	+/–
> Чем это отличается от загрузки модуля ядра, о великий эксперт openneta? Причём, левые модули не загружаются в норме, рут имеет только возможность выбирать из готового и подписанного набора модулей. Так что, отличается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94

101. Сообщение от szt1980 (ok), 10-Апр-21, 19:49	+/–
Надо срочно переписать на жабаскрипте. И обязательно с блокчейном.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

102. Сообщение от Аноним (102), 10-Апр-21, 21:05	–2 +/–
С чего не понимать то? Там ко всему есть комментарии в коде и можно загуглить. За 3 дня разобраться вполне можно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85

103. Сообщение от Ananimasss (?), 10-Апр-21, 22:06	–1 +/–
Проиграл. Тебе с шиндовс апдейтом может прилететь что индусу угодно и даже мнением твоим не поинтересуются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #104

104. Сообщение от пох. (?), 10-Апр-21, 22:40	+/–
Конечно же редхатовский кумар очень поинтересуется твоим мнением, и конечно же тысячегласс непременно помешает обновлению его авторства добраться до твоей б-жественной бубунточки. (нет)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103 Ответы: #108

105. Сообщение от Аноним (105), 10-Апр-21, 23:25	+/–
> Не должен никакой левый код выполняться в ядре, как и в браузере. Несравнимо. В ядре, в отличие от браузера, будет выполнятся только тот eBPF-код, которому ты позволишь выполниться и это не будет код от любой программы в системе. И программ в твоей системе меньше чем сайтов, которые ты посещаешь в интернете. А в браузер тебе прилетает нечто обфускированное в мегабайт весом, что ты не в силах проанализировать до конца жизни. И сайтов этих "тыщи"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

106. Сообщение от Аноним (106), 11-Апр-21, 10:18	+/–
Квантовые вычисления?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

107. Сообщение от Аноним (106), 11-Апр-21, 10:24	+1 +/–
Насчёт CoC.md ты заблуждаешься. От его содержимого зависит то, кто будет коммитить в ядро.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88

108. Сообщение от Ananimasss (?), 11-Апр-21, 12:29	+/–
> Конечно же редхатовский кумар очень поинтересуется твоим мнением, и конечно же тысячегласс > непременно помешает обновлению его авторства добраться до твоей б-жественной бубунточки. > (нет) С бубунточкой мимо, у меня бсд, но у лин.упсов автоапдейты хотя бы опциональны, а еще есть генту, где непонятная бинарь прилетит разве что с блобиками в ядре. А у шиндовс стали хотя бы спрашивать о перезагрузке после неотключаемых обновлениях? Я вообще в шоке от шиндусятников, когда в 7ке микрософт без спроса обновил проверку лицензионности, с отключенными автообновлениями, ор поднялся выше гор, а как пришла 8ка с неубиваемым дефендером и 10ка с неотключаемыми обновлениями, так все просто проглотили и попросили добавить унижений. До сих пор ржу с "игрового режима" десяточки, когда отключалась вся ненужная пользователю деятельность, просто чтобы хотя бы выдавать схожую с 7кой производительность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104 Ответы: #117

109. Сообщение от andy (??), 11-Апр-21, 13:16	+1 +/–
А ссылку на коммит можно. Или напиши пожалуйста, что там именно ломается?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86 Ответы: #110

110. Сообщение от пох. (?), 11-Апр-21, 16:36	+/–
> А ссылку на коммит можно. Или напиши пожалуйста, что там именно ломается? Можно, но описывать что все это значит второй раз лень. https://github.com/torvalds/linux/commit/fa4ca9c5574605d1e48... And the mount fails. С мд-цкой "error -177" (отдельно бы аккуратно содрать с индусской макаки шкурку и солью мелкой посыпать) и без малейших шансов исправить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #109 Ответы: #113

111. Сообщение от Аноним (111), 11-Апр-21, 18:02	+/–
Linux!!!
Ответить | Правка | Наверх | Cообщить модератору

112. Сообщение от Zz (?), 11-Апр-21, 20:04	–1 +/–
Не хотите багов и кода от трансов? Добро пожаловать в OpenBSD
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

113. Сообщение от Michael Shigorin (ok), 11-Апр-21, 21:03	–1 +/–
>> А ссылку на коммит можно. Или напиши пожалуйста, что там именно ломается? > Можно, но описывать что все это значит второй раз лень. > https://github.com/torvalds/linux/commit/fa4ca9c5574605d1e48... Может, тот же текст вот сюда в комментарии и закиньте?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110 Ответы: #114

114. Сообщение от пох. (?), 11-Апр-21, 23:21	+/–
его робот удалит. Да и причем бы тут ebpf. Только при том что тут все такими же руками сделано...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113

115. Сообщение от BorichL (?), 12-Апр-21, 13:35	+/–
Да давайте уже код ядра вынесем из ядра!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

116. Сообщение от bOOster (ok), 13-Апр-21, 10:20	+/–
isc_dhcpd также уйдет в небытье.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

117. Сообщение от пох. (?), 13-Апр-21, 15:45	+/–
> С бубунточкой мимо, у меня бсд, но у лин.упсов автоапдейты хотя бы > опциональны, а еще есть генту, где непонятная бинарь прилетит разве что угу, опциональны, поэтому меня долбят sshшные трояны от таких необновлянцев. > А у шиндовс стали хотя бы спрашивать о перезагрузке после неотключаемых обновлениях? У нее круче - она уже три года как ПЕРЕСТАЛА под руку спрашивать эти глупости, и просто аккуратно перезагружается во время, по данным ее телеметрии, когда тебе точно не нужен компьютер. Да, это можно на некоторое небесконечное время - отложить (ну и правильно написанный софт просто не даст перезагружаться пока обрабатывает фоновую задачу). Но обычно ненужно. Все делает за тебя, и ест тоже. > Я вообще в шоке от шиндусятников, когда в 7ке микрософт без спроса > обновил проверку лицензионности, с отключенными автообновлениями, ор поднялся выше гор, у мелких воришек-то? Я вот ничего не заметил. Наверное, потому что ей нечего там было проверять? > До сих пор ржу с "игрового режима" десяточки, когда отключалась вся ненужная > пользователю деятельность, просто чтобы хотя бы выдавать схожую с 7кой производительность. признак дурачины, угу. А на деле - убираются всего лишь интерактивные оповещения, лезущие не в том графрежиме или пытающиеся управлять звуком.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема