Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Уязвимость в реализации сокетов AF_PACKET ядра Linux " | +/– | |
Сообщение от opennews (??), 04-Сен-20, 08:45 | ||
Спустя три года с момента волны уязвимостей (1, 2, 3, 4, 5) в подсистеме AF_PACKET ядра Linux выявлена ещё одна проблема (CVE-2020-14386), позволяющая локальному непривилегированному пользователю выполнить код с правами root или выйти из изолированных контейнеров, при наличии в них root-доступа... | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения | [Сортировка по ответам | RSS] |
1. Сообщение от Аноним (1), 04-Сен-20, 08:45 | +7 +/– | |
Значит может появиться рут патчинг для андроид? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #21 |
2. Сообщение от Lex (??), 04-Сен-20, 08:56 | –7 +/– | |
2020 - Уязвимость в реализации сокетов AF_PACKET ядра Linux | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #3 |
3. Сообщение от Анонимъ (?), 04-Сен-20, 09:03 | +9 +/– | |
А вот было бы оно написано на Rust... | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #2 |
4. Сообщение от Аноним (4), 04-Сен-20, 09:14 | +4 +/– | |
Хорошо хоть не удаленная уязвимость. Было бы весело. Да и локально это далеко не каждому грозит, как я понял. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #7 |
5. Сообщение от Fracta1L (ok), 04-Сен-20, 09:27 | –12 +/– | |
> вызовет переполнение | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #26, #32, #99 |
6. Сообщение от mickvav (?), 04-Сен-20, 09:30 | +5 +/– | |
> Для создания сокета AF_PACKET и эксплуатации уязвимости требуется наличие полномочий CAP_NET_RAW. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #8, #9, #10, #34 |
7. Сообщение от Онаним (?), 04-Сен-20, 09:43 | +4 +/– | |
В основном опять любители доскеров пострадают. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #4 Ответы: #14, #27 |
8. Сообщение от Lex (??), 04-Сен-20, 09:46 | +/– | |
>> Для создания сокета AF_PACKET и эксплуатации уязвимости требуется наличие полномочий CAP_NET_RAW. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #6 Ответы: #25 |
9. Сообщение от Аноним (9), 04-Сен-20, 09:48 | +/– | |
Капы как раз нужны, чтобы не было возможности делать что угодно. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #6 Ответы: #135 |
10. Сообщение от пох. (?), 04-Сен-20, 09:49 | –7 +/– | |
> Ну то есть "почти рут" | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #6 Ответы: #42 |
14. Сообщение от пох. (?), 04-Сен-20, 10:02 | –3 +/– | |
Там s stands for "security", так что только самые глупые. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #7 Ответы: #31 |
18. Сообщение от Michael Shigorin (ok), 04-Сен-20, 10:20 | –7 +/– | |
Ну вот, вчера как раз за USER_NS говорили (и почему отключаю в "своих" ядрах)... | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #22, #97 |
20. Сообщение от solardiz (ok), 04-Сен-20, 10:42 | +9 +/– | |
> Проблема присутствует в ядре с июля 2008 года, т.е. проявляется во всех актуальных ядрах. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
21. Сообщение от n80 (?), 04-Сен-20, 10:42 | +3 +/– | |
Хорошо бы, но вряд ли: сначала нужно найти, например, ранее неизвестную дыру в mediaserver, позволяющую выполнять произвольный код (такое бывало конечно, но известные-то уже давно закрыты), а потом ещё запастись большим везением. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #1 Ответы: #96 |
22. Сообщение от Аноним (22), 04-Сен-20, 10:45 | +5 +/– | |
Боюсь, Михаил, вы тоже ничего не поняли, как и ваш протеже. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #18 Ответы: #23, #24, #28, #46, #55 |
23. Сообщение от Аноним (22), 04-Сен-20, 10:57 | +/– | |
Именно поэтому основной вектор атаки - эксплуатация уязвимостей в программах, которым выдана привилегия cap_net_raw. И отключения в ядре USER_NS никак от этого не поможет. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #22 |
24. Сообщение от Xasd6 (?), 04-Сен-20, 11:02 | –2 +/– | |
> в докере user namespaces по умолчанию отключены | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #22 |
25. Сообщение от mickvav (?), 04-Сен-20, 11:04 | +1 +/– | |
> .. с четвертой - 12 лет "искали" | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #8 Ответы: #41 |
26. Сообщение от Аноним (26), 04-Сен-20, 11:12 | –3 +/– | |
Ну то есть даже если разработчик знает о том, в каком месте постоянно возникают такие ошибки он не в состоянии безопасно работать с указателями. Это говорит многое о языке. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #5 Ответы: #108, #114 |
27. Сообщение от Аноним (27), 04-Сен-20, 11:42 | +1 +/– | |
> любители доскеров пострадают | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #7 |
28. Сообщение от Michael Shigorin (ok), 04-Сен-20, 11:46 | +1 +/– | |
> Для выдающихся умов повторяю: в докере | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #22 |
31. Сообщение от Аноним (31), 04-Сен-20, 11:58 | +1 +/– | |
Да я бы не сказал, что контейнеры проще настраивать, чем виртуалки. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #14 Ответы: #128 |
32. Сообщение от Аноним (31), 04-Сен-20, 12:02 | +6 +/– | |
Для особо одарённых - уязвимость вызвана ошибкой вычисления переменной netoff, т.е. это алгоритмическая ошибка. Твой, пииии, Rust не способен угадывать правильность алгоритма. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #5 Ответы: #35, #63 |
33. Сообщение от Аноним (31), 04-Сен-20, 12:04 | –1 +/– | |
Вот накуя андрюшиному медиасерверу доступ к RAW-сокетам? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #43, #44, #49, #62 |
34. Сообщение от НяшМяш (ok), 04-Сен-20, 12:06 | +1 +/– | |
Я бы больше боялся за миллионы Android устройств без поддержки, потому что | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #6 Ответы: #54 |
35. Сообщение от Аноним (26), 04-Сен-20, 12:07 | +/– | |
Да, от ошибки в вычислении раст не спасёт. Но будет ли происходить запись в память за пределами выделенного буфера? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #32 Ответы: #37, #40 |
37. Сообщение от Аноним (31), 04-Сен-20, 12:50 | +1 +/– | |
Это код ядра, в этом месте потребовалось бы unsafe. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #35 Ответы: #47, #69 |
40. Сообщение от Аноним (40), 04-Сен-20, 13:03 | –2 +/– | |
Предлагаешь разрешить выполняться сборщику мусора на OSI 2 lvl? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #35 Ответы: #48, #107 |
41. Сообщение от Аноним (40), 04-Сен-20, 13:06 | +/– | |
А разве нету какой-то системы "доверия" коду, типо пометки "прочитали -цать раз, всё перепроверили, этот код ошибок не содержит"? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #25 Ответы: #52 |
42. Сообщение от Аноним (40), 04-Сен-20, 13:12 | +/– | |
Вы уж определитесь, кто у вас дурак — производители сетевых железок, пользующиеся «устаревшим юниксом» и чётко понимающие, что рут - это рут, и к нему доступ без вмешательства человека с консолью заварен найух, или любители дерьмонасов, которые даже не пытались вникнуть в то, почему существует так много разных "пользователей" и групп почти под каждую задачу. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #10 Ответы: #53 |
43. Сообщение от Аноним (40), 04-Сен-20, 13:14 | +/– | |
Дудосить пацанской музыкой наушники в метро? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #33 Ответы: #64 |
44. Сообщение от гугель (?), 04-Сен-20, 13:15 | +1 +/– | |
Что это за медиасервер, который использует немодные и устаревшие протоколы, может еще скажете - tcp? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #33 |
46. Сообщение от timur.davletshin (ok), 04-Сен-20, 13:23 | +/– | |
https://docs.docker.com/engine/security/rootless/ - перепроверь официальное руководство. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #22 |
47. Сообщение от Аноним (47), 04-Сен-20, 13:25 | +1 +/– | |
> Это код ядра, в этом месте потребовалось бы unsafe. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #37 Ответы: #72 |
48. Сообщение от Аноним (47), 04-Сен-20, 13:25 | +3 +/– | |
> Предлагаешь разрешить выполняться сборщику мусора на OSI 2 lvl? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #40 Ответы: #58 |
49. Сообщение от n80 (?), 04-Сен-20, 13:30 | +2 +/– | |
Забавно: попытался я найти ответ на этот вопрос, а вместо этого нашлись новости за 2016 и 2017 г. почти слово-в-слово совпадающие с этой. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #33 |
52. Сообщение от пох. (?), 04-Сен-20, 13:59 | +/– | |
stable api nonsense же ж. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #41 Ответы: #60 |
53. Сообщение от пох. (?), 04-Сен-20, 14:06 | –1 +/– | |
> это рут, и к нему доступ без вмешательства человека с консолью заварен найух | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #42 |
54. Сообщение от пох. (?), 04-Сен-20, 14:18 | +2 +/– | |
> Я бы больше боялся за миллионы Android устройств без поддержки | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #34 Ответы: #56 |
55. Сообщение от пох. (?), 04-Сен-20, 14:28 | +/– | |
> Для выдающихся умов повторяю: в докере user namespaces по умолчанию отключены | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #22 Ответы: #112 |
56. Сообщение от Аноним (-), 04-Сен-20, 14:55 | +1 +/– | |
без пакетной передачи (и в режиме ожидания с 0-м балансом) совсем разгульным банкет не будет | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #54 |
57. Сообщение от Hellscream (?), 04-Сен-20, 15:08 | –1 +/– | |
Linux — это безопасно.(с) | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #71 |
58. Сообщение от Аноним (58), 04-Сен-20, 15:27 | –2 +/– | |
Анонимный растоперейсатель намба трипицотчетыре | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #48 Ответы: #103 |
59. Сообщение от Аноним (58), 04-Сен-20, 15:30 | +2 +/– | |
Что делают все эти свидетели раста в топиках про сишный, богомерзкий линукс ? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #61 |
60. Сообщение от Webmonkey (?), 04-Сен-20, 15:36 | –1 +/– | |
Не поменялось там нихрена, единственное tp_drops в stats лежит: | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #52 Ответы: #68 |
61. Сообщение от Hellscream (?), 04-Сен-20, 15:38 | –4 +/– | |
Хотят предложить спасение. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #59 Ответы: #67, #78 |
62. Сообщение от Аноним (62), 04-Сен-20, 15:43 | +/– | |
Протоколы в локальной сети для обмена аудио | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #33 Ответы: #86 |
63. Сообщение от Webmonkey (?), 04-Сен-20, 15:43 | –2 +/– | |
У любителей сижки все ошибки алгоритмические, особенно записи за пределы буфера. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #32 Ответы: #105 |
64. Сообщение от Аноним (31), 04-Сен-20, 15:57 | +/– | |
Так для RTP нужен UDP. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #43 Ответы: #123 |
65. Сообщение от Аноним (97), 04-Сен-20, 15:59 | +/– | |
С одной стороны "опять"?, А с другой, с CAP_NET_RAW ты уже рут или лицо исполняющее его обязанности, что вы так прицепились к этим неймспейсам (без которых всё равно жизни нет). | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
66. Сообщение от oni66678910111213 (?), 04-Сен-20, 15:59 | +/– | |
>переполнение | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #70, #74, #81 |
67. Сообщение от Аноним (31), 04-Сен-20, 16:01 | –2 +/– | |
Они уже своего Пророка выбрали? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #61 Ответы: #79 |
68. Сообщение от пох. (?), 04-Сен-20, 16:02 | –2 +/– | |
> Не поменялось там нихрена, единственное tp_drops в stats лежит: | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #60 Ответы: #82 |
69. Сообщение от ананимас (?), 04-Сен-20, 16:04 | +/– | |
В ядре все фиксированно и очень мало, особенно стек. Там подсказки раста - как сказать макаке, что валуны есть нельзя. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #37 |
70. Сообщение от Аноним (31), 04-Сен-20, 16:06 | –1 +/– | |
Есть такое чуйство, что на чём бы не переписали, а в этом месте понадобится @unsafe. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #66 Ответы: #76 |
71. Сообщение от Аноним (31), 04-Сен-20, 16:10 | +/– | |
Точнее, открытый код безопаснее закрытого. В открытом-то вероятность обнаружить каку значительно больше. Когда находят, то это становится публично доступным, исправление наступает быстро. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #57 |
72. Сообщение от Аноним (31), 04-Сен-20, 16:13 | –1 +/– | |
Свидетель Раста животворящего. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #47 Ответы: #102 |
74. Сообщение от Аноним (97), 04-Сен-20, 16:22 | –1 +/– | |
Писать ядро на языке с принудительным гц отличная идея, далеко пойдёшь. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #66 Ответы: #77 |
76. Сообщение от oni66678910111213 (?), 04-Сен-20, 16:25 | +2 +/– | |
в любой программе, надобность в unsafe можно свести к минимуму: к нескольким функциям, которые можно пометить "для особого ревью всей командой".. - значительно безопаснее, чем всё писать на опасном языке. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #70 Ответы: #116 |
77. Сообщение от oni66678910111213 (?), 04-Сен-20, 16:26 | +/– | |
во всех перечисленных языках гц можно отключать или (в Go) выбирать стратегию разработки, которая не требует гц. - да, сложнее,.. но возможно. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #74 Ответы: #88 |
78. Сообщение от Аноним (78), 04-Сен-20, 16:27 | –1 +/– | |
И это все вместо того чтобы хотяб 1 драйвер на расте написать? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #61 |
79. Сообщение от Hellscream (?), 04-Сен-20, 16:29 | –3 +/– | |
Верно, без пророка в IT никуда. Ведь всем известно, что большинство айтишников — это инфантильные имбецилы, напрочь оторванные от реальности. Поможем нашим маленьким друзьям найти своего Джобса/Торвальдса? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #67 Ответы: #83 |
81. Сообщение от Аноним (78), 04-Сен-20, 16:29 | –1 +/– | |
где писатели драйверов на расте? кто железом будет рулить? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #66 Ответы: #84, #120 |
82. Сообщение от Webmonkey (?), 04-Сен-20, 16:29 | +1 +/– | |
Это статистика, она особо ни на что не повлияет. Правильно будет инкрементить ++, взяв sk_receive_queue.lock. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #68 Ответы: #89 |
83. Сообщение от Аноним (31), 04-Сен-20, 16:31 | –1 +/– | |
Вашим маленьким друзьям-растаманам. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #79 |
84. Сообщение от oni66678910111213 (?), 04-Сен-20, 16:31 | +/– | |
та идёт-идёт! Ритчи, в своё время, осознал ошибку и пошёл Limbo пилить с Plan9.. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #81 Ответы: #85, #91, #92 |
85. Сообщение от Аноним (78), 04-Сен-20, 16:33 | –2 +/– | |
Y FreeBSD тоже шло, а что в итоге? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #84 Ответы: #87, #117 |
86. Сообщение от Аноним (31), 04-Сен-20, 16:33 | +/– | |
Для этого UDP достаточно. Ну может UDPLite, тоже отдельный тип сокета, доступный всем пользователям. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #62 Ответы: #106 |
87. Сообщение от oni66678910111213 (?), 04-Сен-20, 16:34 | +1 +/– | |
миллионы не ошибаются - ога | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #85 |
88. Сообщение от Аноним (97), 04-Сен-20, 16:34 | –1 +/– | |
Очень теоретически (в д, поскольку библиотека на него завязана емнип), или через содомию, которая всё равно неэффективна (го). На го уже написали "ядро" таким образом. Теоретическая возможность не гарантирует практической применимости. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #77 Ответы: #95 |
89. Сообщение от пох. (?), 04-Сен-20, 16:39 | –1 +/– | |
> Это статистика, она особо ни на что не повлияет. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #82 |
91. Сообщение от Аноним (31), 04-Сен-20, 16:43 | +/– | |
Смотрим исходники Plan 9 http://9p.io/sources/plan9/sys/src/ и... О ужас, да они же на богомерзком C! | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #84 |
92. Сообщение от пох. (?), 04-Сен-20, 16:45 | +/– | |
> та идёт-идёт! Ритчи, в своё время, осознал ошибку и пошёл Limbo пилить | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #84 |
95. Сообщение от Аноним (31), 04-Сен-20, 16:54 | +/– | |
Справедливости ради, в D использовать libgphobоs не обязательно. Только тогда придётся все необходимые функции самому. Но это и соотвествует ситуации писания ядер. Там, ведь, не используют стандартные библиотеки функций. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #88 Ответы: #98 |
96. Сообщение от Атон (?), 04-Сен-20, 16:55 | +/– | |
Но например, ты можешь написать свой собственный mediaserver! | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #21 Ответы: #100 |
97. Сообщение от Аноним (97), 04-Сен-20, 17:01 | +/– | |
Отключение неймспейсов очень ограничивает применимость и защищённость такого ядра и программ под его управлением. В том числе браузеров, суидная песочница не многим лучше. Не обязательно же от рута сидеть в нём. Ещё бы можно было менять пользователя в неймспейсе (т.е. выполнил настройку от рута и сбросил привилегии, после чего уже запретил изменение), но так к сожалению нельзя, во всяком случае у меня не получилось. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #18 Ответы: #111 |
98. Сообщение от Аноним (97), 04-Сен-20, 17:11 | +/– | |
А что там останется от ди без библиотеки? Заново его изобретать только уже со своим нескучным рантаймом? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #95 Ответы: #119, #124 |
99. Сообщение от Odalist (?), 04-Сен-20, 17:41 | +1 +/– | |
>Ахахахахаха | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #5 |
100. Сообщение от Odalist (?), 04-Сен-20, 17:43 | +2 +/– | |
Как раз пишу на хаскеле для тайлинга такое. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #96 |
102. Сообщение от Аноним (102), 04-Сен-20, 18:00 | +/– | |
> Свидетель минимального знания обсужддаемого предмета. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #72 |
103. Сообщение от Аноним (102), 04-Сен-20, 18:01 | +2 +/– | |
> Анонимный растоперейсатель намба трипицотчетыре | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #58 |
105. Сообщение от Аноним (105), 04-Сен-20, 18:42 | +/– | |
Ну ведь так и есть. Чтобы не допускать buffer overflow, нужно добавить проверки. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #63 Ответы: #115 |
106. Сообщение от Аноним (106), 04-Сен-20, 19:18 | +/– | |
Для проприетарных протоколов андроида? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #86 |
107. Сообщение от Аноним (107), 04-Сен-20, 19:59 | +1 +/– | |
в расте нет GC | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #40 Ответы: #122 |
108. Сообщение от Аноним (108), 04-Сен-20, 20:09 | –2 +/– | |
Если бы Rust был так прост и удобен, то все уже давно бы переехало на него, | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #26 |
111. Сообщение от Аноним (97), 04-Сен-20, 21:00 | +/– | |
getcap -r /bin /sbin /lib* /usr | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #97 Ответы: #127 |
112. Сообщение от timur.davletshin (ok), 04-Сен-20, 21:12 | +/– | |
Это проблема вообще многих советов онлайн. Часто советуют вполне себе опасные вещи (или полную чепуху) с лицом, полным уверенности. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #55 Ответы: #113 |
113. Сообщение от онанимуз (?), 04-Сен-20, 23:32 | +/– | |
я давеча наблюдал на одном форуме, как люди, называющие себя системными администраторами, на серьёзных щщах обсуждают полнодисковое шифрование LUKS на виртуальных машинах. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #112 Ответы: #130 |
114. Сообщение от draw1 (?), 05-Сен-20, 03:05 | +1 +/– | |
Если разработчик знает о том, в каком месте постоянно возникают такие ошибки и при этом он не в состоянии безопасно работать с указателями, то это в первую очередь говорит многое о разработчике. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #26 |
115. Сообщение от draw1 (?), 05-Сен-20, 03:12 | +1 +/– | |
Ни в одном стандарте (языка, кодирования, проектирования и т. п.) не видел фразы "реализовывать проверки строго запрещается". | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #105 Ответы: #129 |
116. Сообщение от draw1 (?), 05-Сен-20, 03:32 | –1 +/– | |
этот "минимум" может оказаться весьма обширен. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #76 |
117. Сообщение от Hellscream (?), 05-Сен-20, 11:14 | +1 +/– | |
FreeBSD так-то является самой популярной в мире игровой платформой, правда в обёртке от Sony и Nintendo. Но тут и линуксу похвастать нечем, ведь для обычного человека он пригоден к использованию только в виде Android. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #85 |
119. Сообщение от Аноним (119), 05-Сен-20, 13:20 | +/– | |
Очевидно компилятор. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #98 Ответы: #125 |
120. Сообщение от Webmonkey (?), 05-Сен-20, 14:36 | +/– | |
>где писатели драйверов на расте? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #81 |
122. Сообщение от Аноним (122), 05-Сен-20, 21:18 | –1 +/– | |
А как раст проверяет границы буфера? При каждой записи дополнительные проверки делает? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #107 |
123. Сообщение от Аноним (122), 05-Сен-20, 21:26 | +/– | |
А зачем для udp raw сокеты? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #64 |
124. Сообщение от Аноним (97), 05-Сен-20, 22:02 | +/– | |
Разве это не в старом д компилятор? В новом -- рантайм. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #98 |
125. Сообщение от Аноним (97), 05-Сен-20, 22:03 | +/– | |
Разве это не в старом д компилятор? В новом -- рантайм. / | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #119 |
126. Сообщение от Аноним (126), 06-Сен-20, 03:59 | +/– | |
Мне один сисадмин-икзперт рассказывал на собеседовании, что контейнеры/виртуализация самая защищенная вещь и что не надо в случае обнаружении вирусни на сервере с хостингом переустанавливать ОС. Ну, что чудило, понял в чем ты ошибался или до сих пор строишь из себя икзперта по ИБ? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #131, #138 |
127. Сообщение от onanim (?), 06-Сен-20, 09:55 | +/– | |
sh-4.4# getcap -v /usr/lib64/libexec/kf5/start_kdeinit | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #111 Ответы: #132 |
128. Сообщение от And (??), 06-Сен-20, 10:40 | +/– | |
У контейнеров назначение другое. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #31 |
129. Сообщение от And (??), 06-Сен-20, 10:43 | +/– | |
Всегда в коллективе есть хоть один, не делающий проверок и искреннее обиженный, когда заставляют. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #115 |
130. Сообщение от Легивон (?), 06-Сен-20, 13:19 | +/– | |
Ну на 95% случаев тупого изъятия сервера товарищем майором это сгодится. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #113 Ответы: #134 |
131. Сообщение от Легивон (?), 06-Сен-20, 13:26 | +/– | |
А разве это не близко к истине? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #126 Ответы: #136, #137 |
132. Сообщение от Аноним (97), 06-Сен-20, 19:35 | +/– | |
Ну вообще, именно это конфигурируется, а по последниму у тебя версия двухлетней давности и с тех времён изменений очень много было. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #127 Ответы: #133 |
133. Сообщение от Аноним (97), 06-Сен-20, 19:50 | +/– | |
//последнему* | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #132 |
134. Сообщение от онанимуз (?), 06-Сен-20, 21:24 | +/– | |
если у товарища майора айсикью чуть выше, чем у хлебушка, то он попросит хсотера сделать дамп оперативной памяти этой виртуалки, прежде чем изымать сервер целиком. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #130 |
135. Сообщение от mickvav (?), 07-Сен-20, 01:53 | +/– | |
Это правда. Но стоит последить за связанными с capabilities уязвимостями, как становится понятно - когда ядро начиналось, этого не было. И в голове у многих разработчиков застряла эта идея - рут-не-рут, третьего не дано. В итоге ошибки дизайна вылезают как уязвимости вида "почти рут может стать рутом". | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #9 |
136. Сообщение от Аноним (136), 07-Сен-20, 14:44 | +/– | |
devops pipeline это отличный организационный объект, которому требуется системная защита, виртуализация это только у Rутковской и фриков про безопасность, а у системщиков свои принципы (минимум кодовой базы и т.д.). возможно пост выше про это. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #131 |
137. Сообщение от Аноним (137), 08-Сен-20, 07:50 | +/– | |
>А разве это не близко к истине? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #131 |
138. Сообщение от Аноним (138), 08-Сен-20, 20:48 | +/– | |
В случае, если вирусня не вылезла в dom0, действительно не надо. Но у такого эксперта вряд ли хватит квалификации понять, вылезла ли. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #126 Ответы: #139 |
139. Сообщение от Аноним (137), 09-Сен-20, 04:05 | +/– | |
Давай порядок действий как опеределить влезли в dom0 или нет. Просто опиши шаги, которые нужно выполнить как минимум. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #138 |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |