The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Критическая уязвимость в Xen, позволяющая получить контроль ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Критическая уязвимость в Xen, позволяющая получить контроль ..."  +/
Сообщение от opennews (??) on 29-Окт-15, 21:01 
Проект Xen сообщил (http://lists.xenproject.org/archives/html/xen-announce/2015-10/) об устранении в гипервизоре порции уязвимостей (http://xenbits.xen.org/xsa/), из которых отдельного внимания заслуживает проблема CVE-2015-7835 (http://xenbits.xen.org/xsa/advisory-148.html) (XSA-148).  Уязвимость позволяет привилегированному пользователю паравиртуализированной гостевой системы получить полный контроль над хост-системой и другими виртуальными окружениями.


По мнению (https://raw.githubusercontent.com/QubesOS/qubes-secpack/mast...) разработчиков операционной системы Qubes, выявленная проблема является самой опасной уязвимостью за всю историю существования проекта Xen. То, что проблема присутствует в кодовой базе Xen уже семь лет заставляет задуматься о необходимости аудита безопасности кодовой базы гипервизора  и рассмотрению безопасности как первичного приоритета в разработке Xen.

Проблема вызвана ошибкой в коде маппинга больших страниц памяти в паравируализированных гостевых системах (PV) и позволяет получить доступ на запись к страницам памяти, рассчитанным на обращение только в режиме чтения. Уязвимость проявляется в Xen 3.4 и более новых выпусках, на 32- и 64-разрядных системах x86 (платформы ARM проблеме не подвержены). Всем пользователям Xen рекомендуется срочно применить патчи или установить обновления, которые в настоящий момент доступны только для Qubes OS (пакеты 4.4.3-8 и  4.1.6.1-23). Обходным вариантом является перевод паравиртуализированных гостевых систем в режим полной виртуализации (HVM). Компания Amazon  сообщила (https://aws.amazon.com/security/security-bulletins/XSAsecuri.../), что её облачные сервисы не подвержены проблеме.


URL: http://xenbits.xen.org/xsa/advisory-148.html
Новость: https://www.opennet.ru/opennews/art.shtml?num=43219

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  –13 +/
Сообщение от Аноним (??) on 29-Окт-15, 21:01 
интересно, кто-то ещё помнит байку про открытый код и тысячи глаз?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  +20 +/
Сообщение от RafaelRS on 29-Окт-15, 21:09 
А что. Не актуально? Сколько таких дыр в приопретарных продуктах которые не ревизируются порой не то что тысячью глаз, но даже собственными разрабами
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  –5 +/
Сообщение от Аноним (??) on 29-Окт-15, 21:23 
да пофиг на проприерастов: семь лет, Карл, семь лет!!!
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  +3 +/
Сообщение от Иван (??) on 29-Окт-15, 21:25 
И что? Важно, что нашли!
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

66. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  +/
Сообщение от Аноним (??) on 04-Ноя-15, 14:35 
Лучше поздно чем никогда! - сказал ... положив голову на рельсы после ухода поезда.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

67. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  +/
Сообщение от Аноним (??) on 04-Ноя-15, 21:51 
> Лучше поздно чем никогда! - сказал ... положив голову на рельсы после
> ухода поезда.

:-) отлично сказал

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

14. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  +1 +/
Сообщение от angra (ok) on 29-Окт-15, 23:40 
Возьми любой софт, вышедший в этом году, запусти его на машине десятилетней давности, патетически заломи руки и воскликни: "Десять лет не могли сделать, Карл, десять лет!!!". А можно еще круче, берем культовую игру прошлого, например Master of Magic от 1985 года, и восклицаем: "Тридцать лет не могут сделать достойное продолжение! Тридцать лет, Карл!!!"
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

24. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  –9 +/
Сообщение от Аноним (??) on 30-Окт-15, 00:43 
> Возьми любой софт, вышедший в этом году, запусти его на машине десятилетней
> давности, патетически заломи руки и воскликни: "Десять лет не могли сделать,
> Карл, десять лет!!!". А можно еще круче, берем культовую игру прошлого,
> например Master of Magic от 1985 года, и восклицаем: "Тридцать лет
> не могут сделать достойное продолжение! Тридцать лет, Карл!!!"

ты туп.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

27. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  +1 +/
Сообщение от Анон369 on 30-Окт-15, 05:08 
МоМ - это 1994 год, а не 1985-й.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

28. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  –1 +/
Сообщение от kravich (ok) on 30-Окт-15, 05:36 
>А можно еще круче, берем культовую игру прошлого, например Master of Magic от 1985 года, и восклицаем: "Тридцать лет не могут сделать достойное продолжение! Тридцать лет, Карл!!!"

Чсх, так и делают

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

29. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  +1 +/
Сообщение от тоже Аноним email(ok) on 30-Окт-15, 08:48 
Что поделать - подростки, не умеющие ценить труд, воспринимают работу других как то, что эти люди просто обязаны делать. И считают себя вправе еще и выражать претензии.

"Товарищи! Должны смеяться дети!
Есть мнение - должны смеяться дети!
Они смеются,
Раз они должны..."

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

57. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  +/
Сообщение от Аноним (??) on 01-Ноя-15, 20:45 
> Что поделать - подростки, не умеющие ценить труд, воспринимают работу других как
> то, что эти люди просто обязаны делать. И считают себя вправе
> еще и выражать претензии.
> "Товарищи! Должны смеяться дети!
> Есть мнение - должны смеяться дети!
> Они смеются,
> Раз они должны..."

прежде чем что-то постить, прочитай первоисточник и проанализируй посты
а потом уже перекладывай на других свои комплексы

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

47. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  +/
Сообщение от Аноним (??) on 31-Окт-15, 00:28 
Страшен то вирус, который не найден. Тот что найден становится безвредным.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

50. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  +/
Сообщение от Аноним (??) on 31-Окт-15, 07:04 
А сколько лет из этих семи, что существует дыра он был не найденным?
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

56. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  +/
Сообщение от Аноним (??) on 01-Ноя-15, 20:43 
> А сколько лет из этих семи, что существует дыра он был не
> найденным?

вообще публично, или теми кто её в код положил?

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

9. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  –1 +/
Сообщение от Аноним (??) on 29-Окт-15, 22:16 
> А что. Не актуально? Сколько таких дыр в приопретарных продуктах которые не
> ревизируются порой не то что тысячью глаз, но даже собственными разрабами

а вот есть ещё алкоголики, которые много пьют..
а вот в странах третьего мира жрать нечего..

ну что, будем ещё искать "как у них ещё хуже"?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

12. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  +2 +/
Сообщение от . on 29-Окт-15, 23:28 
А ви таки зачем спгашиваете? :)

Лично тебе кто то не давал исправит её? У тебя 7 лет было, Карл! 7 лет :))))
Ну а вот кто то из али-бабы смог. Увидел, понял, оху***, исправил, поржал, поделился.
Вот видишь - целая жизнь. А с проприетарным *** ты всего этого лишён, а дыр и багов - таки нет. Жрите'с :)

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

15. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  –5 +/
Сообщение от Аноним (??) on 29-Окт-15, 23:42 
> Лично тебе кто то не давал исправит её? У тебя 7 лет
> было, Карл! 7 лет :))))
> Ну а вот кто то из али-бабы смог. Увидел, понял, оху***, исправил,
> поржал, поделился.
> Вот видишь - целая жизнь. А с проприетарным *** ты всего этого
> лишён, а дыр и багов - таки нет. Жрите'с :)

мля.. ну что за дети всё-таки на опеннете

я твержу не про то что где-то ЕЩЁ ХУЖЕ, мне на самом деле пох где там и как там
я твержу про то, что эти тысячи глаз нихрена не решают и десятой доли проблемы.
Такова люди!
Тысячим, мать их, глаз смотрят туда куда показывают, где млин сиськи, или туда куда им самим нужно, но не туда куда нужно коду.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

25. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  +3 +/
Сообщение от Аноним (??) on 30-Окт-15, 01:18 
> я твержу про то, что эти тысячи глаз нихрена не решают и десятой доли проблемы.

Так может у тебя есть предложение, как ее решать лучше? Или очередной зашедший поныть о тщете всего сущего?

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

30. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  –2 +/
Сообщение от Аноним (??) on 30-Окт-15, 09:25 
> Так может у тебя есть предложение, как ее решать лучше? Или очередной
> зашедший поныть о тщете всего сущего?

тебе не понравится

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

31. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  +1 +/
Сообщение от Аноним (??) on 30-Окт-15, 09:38 
Слив засчитан.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

32. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  –2 +/
Сообщение от Аноним (??) on 30-Окт-15, 10:21 
> Слив засчитан.

с чего ты так решил?
ведь действительно - решение не понравится 90% здешних любителей розовых пони. Это ж ведь придётся думать, разрушать такие прекрасные воздушные замки, которые они понастроили у себя в головах. всё. надоело.
аdios

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

52. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  +/
Сообщение от XoRe (ok) on 31-Окт-15, 23:48 
> Такова люди!

made my day!

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

53. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  +/
Сообщение от XoRe (ok) on 31-Окт-15, 23:54 
Качество - это количественный показатель, а не бинарный.
Все познается в сравнении и все можно оценить.
Например...

> я твержу про то, что эти тысячи глаз нихрена не решают и десятой доли проблемы.

Как вы посчитали, что это именно десятая доля проблемы?

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

55. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  –1 +/
Сообщение от Аноним (??) on 01-Ноя-15, 20:42 
> Качество - это количественный показатель, а не бинарный.
> Все познается в сравнении и все можно оценить.
> Например...
>> я твержу про то, что эти тысячи глаз нихрена не решают и десятой доли проблемы.
> Как вы посчитали, что это именно десятая доля проблемы?

давай так, я просто процитирую первоисточник, а там уже сами решай
где тут количественный, а где бинарные показатели,
и заодно ткнёшь пальцем - где тут сравнения с проприетерастами вообще, с Windows в частности

Linus's Law "given enough eyeballs, all bugs are shallow”
(https://ru.wikipedia.org/wiki/Закон_Линуса)

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

58. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  +/
Сообщение от scorry (ok) on 02-Ноя-15, 12:07 
> я твержу не про то что где-то ЕЩЁ ХУЖЕ, мне на самом
> деле пох где там и как там
> я твержу про то, что эти тысячи глаз нихрена не решают и
> десятой доли проблемы.

Дурачок. Это сообщение о том, что в опенсорсе такие проблемы решаются, в отличие от.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

59. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  –1 +/
Сообщение от Аноним (??) on 02-Ноя-15, 14:31 
> Дурачок. Это сообщение о том, что в опенсорсе такие проблемы решаются, в
> отличие от.

..у меня такое ощущение, что у местных какие-то фильтры перед глазами..
Ежу понятно, что новость о том что уязвимость найдена, а не потеряна.

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

60. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  –1 +/
Сообщение от Аноним (??) on 02-Ноя-15, 15:45 
Найдена... через 7 лет. А до этого тысячи глаз ничего не видели.
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

61. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  –1 +/
Сообщение от Аноним (??) on 02-Ноя-15, 17:56 
> Найдена... через 7 лет. А до этого тысячи глаз ничего не видели.

об и чем речь
(спасибо за поддержку, я уж думал тут один отбиваюсь)

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

63. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  +1 +/
Сообщение от scorry (ok) on 02-Ноя-15, 23:07 
>> Найдена... через 7 лет. А до этого тысячи глаз ничего не видели.
> об и чем речь
> (спасибо за поддержку, я уж думал тут один отбиваюсь)

Да таких, как ты, стыдящихся имя указать, тут тачка и пучок сверху.

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

64. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  –2 +/
Сообщение от Аноним (??) on 02-Ноя-15, 23:45 
>>> Найдена... через 7 лет. А до этого тысячи глаз ничего не видели.
>> об и чем речь
>> (спасибо за поддержку, я уж думал тут один отбиваюсь)
> Да таких, как ты, стыдящихся имя указать, тут тачка и пучок сверху.

Александр, не неси чушь, без официально заверенных методов идентификации личности все твои попытки вытужить важность нелепы. Заниматься подтверждением пары слов набитых тобой в графе ФИО желания не имею абсолютно. Удачи.

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

33. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  +/
Сообщение от Аноним (??) on 30-Окт-15, 10:58 
>Сколько таких дыр в приопретарных продуктах которые не ревизируются порой не то что тысячью глаз, но даже собственными разрабами

А сколько дыр намеренно вносится в приопретарные продукты по собстенной инициативе проприерастов или по "ненавязчивой" просьбе всевидящего "брата"? И они не видны тысячам глаз, а собственные разрабы дали подписки о неразглашении.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

36. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  +/
Сообщение от Аноним (??) on 30-Окт-15, 11:24 
> А сколько дыр намеренно вносится в приопретарные продукты по собстенной инициативе проприерастов
> или по "ненавязчивой" просьбе всевидящего "брата"? И они не видны тысячам
> глаз, а собственные разрабы дали подписки о неразглашении.

ты реально думаешь что в среде опенсорса их нет? :-) наивный

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

37. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  +/
Сообщение от Аноним (??) on 30-Окт-15, 12:19 
В среде опенсорса есть независимый неформальный аудит, те самые тысячи глаз.
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

46. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  –2 +/
Сообщение от Аноним (??) on 30-Окт-15, 20:42 
> В среде опенсорса есть независимый неформальный аудит, те самые тысячи глаз.

:)))))))))))

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

10. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  +10 +/
Сообщение от Нимано on 29-Окт-15, 22:29 
> интересно, кто-то ещё помнит байку про открытый код и тысячи глаз?

То ли дело акробат ридер или флэш!

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

23. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  –1 +/
Сообщение от Аноним (??) on 30-Окт-15, 00:32 
> То ли дело акробат ридер или флэш!

да ты петросян! :-)

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

41. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  +1 +/
Сообщение от Нимано on 30-Окт-15, 16:29 
> да ты петросян! :-)

Скорее – Кэп.
Петросянство, это вон к тому самому Анониму, который выдал штамп насчет тысяч глаз.

Ну серьезно – берем ту же ХРюшу:
https://www.cvedetails.com/product/739/Microsoft-Windows-Xp....
Code Execution: 313
https://www.cvedetails.com/product/6761/Adobe-Flash-Player.h...
Code Execution: 443
https://www.cvedetails.com/product/497/Adobe-Acrobat-Reader....
Code Execution: 346
Ну и возьмем, что бы не было обидно https://www.cvedetails.com/vendor/33/Linux.html
Code Execution: 67

Я конечно в курсе некоторой сомнительности относительно точности подсчета, особенно для отдельных продуктов ...
Однако, как не считай, а более 400 сотен серьезных дыр в простом просмотрщике документов – это как-то уже за гранью добра и зла.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

43. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  +/
Сообщение от Аноним (??) on 30-Окт-15, 17:04 
> Скорее – Кэп.
> Петросянство, это вон к тому самому Анониму, который выдал штамп насчет тысяч
> глаз.

тот самый Аноним: а теперь сравни пользовательские базы Windows и Linux

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

44. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  +/
Сообщение от Нимано on 30-Окт-15, 17:25 
> тот самый Аноним: а теперь сравни пользовательские базы Windows и Linux

А причем тут пользовательские базы?
Я вроде ФЛЭШ c акробатом сравнил с ХРюшей, ну и пингвином заодно.
Или вы таки хотите рассказать мне сказку о том, что ХР почти никем не использовалась? А может, вы тупо перепечатываете из методички?

И кстати, насчет пользовательской базы: вы не поверите, но помимо настольных кампутеров уже пару лет как существуют еще смартфоны и планшеты!
И форточек там не то что бы очень много:
https://www.netmarketshare.com/operating-system-market-share...
http://www.idc.com/prodserv/smartphone-os-market-share.jsp

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

45. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  –1 +/
Сообщение от Аноним (??) on 30-Окт-15, 17:54 
> А причем тут пользовательские базы?

в степени притягательности уязвимостей

> А может, вы тупо перепечатываете из методички?

:/ ну что за народ пошёл ..

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

11. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  +/
Сообщение от Аноним (??) on 29-Окт-15, 23:01 
То что проблема была в коде 7 лет не означает, что её можно было семь лет назад уже эксплуатировать. Возможно на старом железе и/или в старом окружении оно гораздо реже проявлялось либо невелировалось какой-то настройкой, багой, фичей и т.д.

>Проблема была выявлена инженерами компании Alibaba, которые недавно подключились к разработке Xen

Вот у этих в стране очень много глаз, видать и набралась критическая масса...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

17. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  +2 +/
Сообщение от Аноним (??) on 29-Окт-15, 23:52 
> То что проблема была в коде 7 лет не означает, что её
> можно было семь лет назад уже эксплуатировать. Возможно на старом железе
> и/или в старом окружении оно гораздо реже проявлялось либо невелировалось какой-то
> настройкой, багой, фичей и т.д.

возможно так, а возможно и не так, пока никто не знает

>>Проблема была выявлена инженерами компании Alibaba, которые недавно подключились к разработке Xen
> Вот у этих в стране очень много глаз, видать и набралась критическая
> масса...

какое-то страшное словосочетание "критическая масса глаз".. бр-р..

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

49. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  –1 +/
Сообщение от Аноним (??) on 31-Окт-15, 00:34 
После накопление критической массы пишется патч и начинаются холивары о тысячах глаз.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

13. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  +2 +/
Сообщение от angra (ok) on 29-Окт-15, 23:35 
Ну ведь данный случай отличная иллюстрация правильности этого принципа. Баг нашли не взломщики, а разработчики, причем не начальные, а те кто присоединился к проекту.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

16. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  –5 +/
Сообщение от Аноним (??) on 29-Окт-15, 23:44 
> Ну ведь данный случай отличная иллюстрация правильности этого принципа. Баг нашли не
> взломщики, а разработчики, причем не начальные, а те кто присоединился к
> проекту.

ты сам то веришь во что говоришь?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

40. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  +/
Сообщение от анонимус (??) on 30-Окт-15, 15:15 
Вы путаете "нашли" с "опубликовали". Взломщики держат найденное в тайне. Как было с hearthbleed, например, которую года два втихую использовали.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

42. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  +/
Сообщение от Аноним (??) on 30-Окт-15, 16:55 
> Вы путаете "нашли" с "опубликовали". Взломщики держат найденное в тайне. Как было
> с hearthbleed, например, которую года два втихую использовали.

если не больше

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

21. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  +/
Сообщение от й on 30-Окт-15, 00:10 
были ещё сказки про кардинальную безопасность microkerel
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

48. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  –1 +/
Сообщение от Аноним (??) on 31-Окт-15, 00:31 
В винде, в windows.h определён тип BOOL. Знаешь сколько он занимает? 4 байта. Зачем. Нет, я не говорю что это уязвимость, но это недостаток. В опенсорсном проекте либо устраняют недостатки, либо проект исчезнет. А проприетарный продукт по прежнему будет !работать.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

51. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  –1 +/
Сообщение от Аноним (??) on 31-Окт-15, 07:38 
Затем же почему все операции сравнения в Си возвращают int, а не байт. А в Си это скорее всего нужно чтобы избежать использования операций расширяющий byte в int, потому как результаты сравнения могут быть использованы не только в if/while/for, но и в арифметических операциях использующих int. В тоже время никто в здравом уме не станет хранить данные в BOOL, так как флаги принято хранить в отдельных битах. BOOL существует только для передачи между функциями.
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

2. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  +/
Сообщение от Fracta1L (ok) on 29-Окт-15, 21:03 
Когда Рутковская перейдёт на KVM?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  –1 +/
Сообщение от Аноним (??) on 29-Окт-15, 21:17 
Так вроде уже можно юзать  через прослойку.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  +/
Сообщение от БилГейТсс on 29-Окт-15, 21:53 
подскажите нубу: qemu в составе Xen сильно нужен? а то надо передавать конфигуратору и мейку дополнительные параметры и энвайнменты и влом перепиливать исходники для этого.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  +/
Сообщение от leap42 (ok) on 30-Окт-15, 03:36 
нужен как минимум для hvm, pv, думаю, может и без qemu обойтись
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

38. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  –1 +/
Сообщение от Аноним (??) on 30-Окт-15, 12:29 
> подскажите нубу: qemu в составе Xen сильно нужен? а то надо передавать
> конфигуратору и мейку дополнительные параметры и энвайнменты и влом перепиливать исходники
> для этого.

В xen есть свой форк qemu, но можно с дополнительными движениями собрать xen  с апстримовским qemu. Тогда виртуалку можно запускать как с qemu-dm (форк qemu от xen), так и с системной qemu. Но вот в дебьяне, например, старательно выпиливают ксеновский форк qemu, оставляя лишь возможность запуска с системной qemu.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

39. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  +2 +/
Сообщение от Аноним (??) on 30-Окт-15, 12:39 
Да, вроде были планы в xen отказаться от своего форка qemu и перейти на апстримовский. На момент xen-4.4 ещё можно было использовать свой qemu-dm. Как в 4.5 и 4.6 не знаю. По крайней мере, 4.5 в убунте уже собран без поддержки qemu-dm, только апстримовский. Но там ноги растут от дебьяна, а команда сопровождающих в дебьяне несколько неадекватна и вообще положила болт на xen.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

8. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  –1 +/
Сообщение от Аноним (??) on 29-Окт-15, 22:14 
Поделитесь эксплойтом?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  +5 +/
Сообщение от Led (ok) on 29-Окт-15, 23:54 
Давай ip и root-доступ по ssh - заброшу - будешь самым модным в классе.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

54. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  –1 +/
Сообщение от Аноним (??) on 01-Ноя-15, 16:36 
127.0.0.1 без пароля!!
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

22. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  +/
Сообщение от grec on 30-Окт-15, 00:29 
100 раз говорили: виртуализация != безопасность.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  +/
Сообщение от Аноним (??) on 30-Окт-15, 11:09 
Точнее, тут как матлогике про необходимое и достаточное. Только виртуализация недостаточна для безопасности.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

35. "Критическая уязвимость в Xen, позволяющая получить контроль ..."  –1 +/
Сообщение от Аноним (??) on 30-Окт-15, 11:21 
> Точнее, тут как матлогике про необходимое и достаточное. Только виртуализация недостаточна
> для безопасности.

вообще, даже немного вредна

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру