| 1.1, leibniz (??), 13:45, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 это ядро монструозно, в нём слишком много кода и, соответственно, ошибок
| | |
| |
| 2.3, Аноним (3), 13:47, 09/04/2021 [^] [^^] [^^^] [ответить]
| –6 +/– |
плюсую, гайка или маленькая птичка, пьющая нектар, выглядят поинтереснее
| | |
| |
| 3.61, анончик (?), 21:22, 09/04/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
у птички, пьющей нектар, экзистенциальный кризис очень давно, лет так 7 точно. Разрабы чето коммитят, но у проекта вообще никаких целей нет. Полная разруха и анархия
| | |
|
| 2.5, Аноним (5), 13:52, 09/04/2021 [^] [^^] [^^^] [ответить]
| +/– |
Отчасти ebpf и решает эту проблему, вынося специфические части в байткод и юзерспейс.
| | |
| |
| 3.58, ананим.orig (?), 20:46, 09/04/2021 [^] [^^] [^^^] [ответить]
| +3 +/– | |
да,да. которые в конечном счете грузятся.. куда?
точно! сабж жеж!
смешно
и всегда было смешно.
| | |
|
| 2.13, Alen (??), 14:12, 09/04/2021 [^] [^^] [^^^] [ответить]
| –2 +/– |
В статье нет самого главного!
Для тех у кого есть голова и руки, в ядре опция:
/Networking support/Networking options/enable BPF Just In Time compiler
должна быть отлкюченной. Н этом инцидент исчерпывается.
| | |
| 2.22, kai3341 (ok), 14:48, 09/04/2021 [^] [^^] [^^^] [ответить]
| +4 +/– |
 > это ядро монструозно, в нём слишком много кода и, соответственно, ошибок
Если бы всё было так просто. eBPF -- попытка выжать максимум производительности. Производительности же всегда мало -- как однажды сказал мой друг, задачи в идеале должны выполняться за отрицательное время
| | |
| |
| 3.24, ryoken (ok), 14:52, 09/04/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
 >> задачи в идеале должны выполняться за отрицательное время
так их сформулировать не успеете
| | |
| |
| 4.39, Аноним (39), 15:39, 09/04/2021 [^] [^^] [^^^] [ответить]
| +10 +/– |
Формулировка будет строиться после выполнения, т.е. подгоняем ТЗ под результат.
| | |
| 4.56, ананим.orig (?), 20:39, 09/04/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> задачи в идеале должны выполняться за отрицательное время
> так их сформулировать не успеете
с тех пор так и живем.
| | |
|
| 3.46, Ананоним (?), 16:37, 09/04/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
Пусть твоему другу зарплату платят в отрицательном количестве. А если серьёзно, остерегайся таких друзей.
| | |
|
| 2.112, Zz (?), 20:04, 11/04/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
Не хотите багов и кода от трансов?
Добро пожаловать в OpenBSD
| | |
|
| 1.2, пох. (?), 13:46, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
sysctl net.core.bpf_jit_enable=0
sysctl: setting key "net.core.bpf_jit_enable": Invalid argument
(с echo все прокатит, но внутри файлика останется 1)
Что-то этот хак редхата, похоже, только для редхата. У которого там и так 0
| | |
| |
| 2.64, bpf (?), 21:36, 09/04/2021 [^] [^^] [^^^] [ответить]
| +2 +/– | |
$ man 2 bpf
Since Linux 4.15, the kernel may configured with the
CONFIG_BPF_JIT_ALWAYS_ON option. In this case, the JIT compiler
is always enabled, and the bpf_jit_enable is initialized to 1 and
is immutable. (This kernel configuration option was provided as
a mitigation for one of the Spectre attacks against the BPF
interpreter.)
| | |
| |
| 3.65, пох. (?), 21:49, 09/04/2021 [^] [^^] [^^^] [ответить]
| +1 +/– | |
бггг. Поебдили несуществующую атаку, оставив незакрываемую реальную дыру. Молодцы, чо.
| | |
|
|
| |
| 2.10, Онаним (?), 14:09, 09/04/2021 [^] [^^] [^^^] [ответить]
| +14 +/– |
С моднявыми язычками ситуация ещё интереснее
"Нет софта - нет уязвимостей" называется
| | |
| 2.19, Урри (ok), 14:40, 09/04/2021 [^] [^^] [^^^] [ответить]
| +4 +/– |
 В данном случае проблема алгоритма реализации. Ваш модномолодежный язык такие проблемы не умеет решать.
Впрочем, никого из использующих модномолодежные языки к реализации таких сложных задач и не подпускают.
| | |
| |
| 3.40, Аноним (39), 15:40, 09/04/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Согласен, такие задачи надо решать на COBOL, а не этих ваших молодежных Си.
| | |
|
| 2.55, Аноним (55), 20:33, 09/04/2021 [^] [^^] [^^^] [ответить]
| +/– | |
Дурачок?
Тебе тут целый Jit запилили. Можешь хоть на Расте писать и в него перегонять.
Проблема, таже, что и у JS. Не должен никакой левый код выполняться в ядре, как и в браузере.
| | |
| |
| 3.105, Аноним (105), 23:25, 10/04/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> Не должен никакой левый код выполняться в ядре, как и в браузере.
Несравнимо. В ядре, в отличие от браузера, будет выполнятся только тот eBPF-код, которому ты позволишь выполниться и это не будет код от любой программы в системе. И программ в твоей системе меньше чем сайтов, которые ты посещаешь в интернете. А в браузер тебе прилетает нечто обфускированное в мегабайт весом, что ты не в силах проанализировать до конца жизни. И сайтов этих "тыщи"
| | |
|
|
| 1.6, Аноним (6), 14:00, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +12 +/– |
Давайте запихнём в ядро виртуальную машину с JIT!
Что может пойти не так?
| | |
| 1.8, Lex (??), 14:03, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
А все потому, что джит.
Даёт серьезный прирост скорости норм ЯП, но делая само выполнение кода фундаментально дырявым.
| | |
| 1.9, Онаним (?), 14:08, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ну наконец-то
Я прямо ждал когда в этом ядерном JIT-шерете что-нибудь таки протечёт
JIT в ядре - зло
| | |
| |
| 2.41, Аноним (39), 15:42, 09/04/2021 [^] [^^] [^^^] [ответить]
| +/– |
В ядре и в частях без JIT регулярно дырки находят, это подов запретить любые рантаймы? Нет кода - нет проблем, я считаю!
| | |
|
| |
| 2.32, Аноним (32), 15:02, 09/04/2021 [^] [^^] [^^^] [ответить]
| +3 +/– |
В данном случае не поможет. Проблема реализации алгоритмов самого JIT.
| | |
|
| 1.14, Аноним (14), 14:12, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Никогда не было и вот опять. Я и в polkit отключил жит и в qml, хотя непроверенный уод вроде не собираюсь исполнять.
А от eBPF мне до сих пор щекотно, потому что позволять пользователю загружать код в вм с житом прямо в ядре, ну то такое. К сожалению, это единственная надежда для динамического файервола (чтобы блокировать и фильтровать исходящий трафик на уровне приложений, скажем).
| | |
| |
| 2.16, Аноним (14), 14:16, 09/04/2021 [^] [^^] [^^^] [ответить]
| +/– | |
Я пытался отключить в ядре, но оно что-то больше не отключается. Однако, в proc не светится. Т.е. никаких /proc/sys/net/core/bpf_*
CONFIG_BPF=y
# CONFIG_BPF_SYSCALL is not set
CONFIG_ARCH_WANT_DEFAULT_BPF_JIT=y
# CONFIG_NETFILTER_XT_MATCH_BPF is not set
# CONFIG_BPFILTER is not set
# CONFIG_BPF_JIT is not set
CONFIG_HAVE_EBPF_JIT=y
| | |
| |
| 3.80, Аноним (14), 00:27, 10/04/2021 [^] [^^] [^^^] [ответить]
| +/– |
>> Я и в polkit отключил жит
> Как?
Собрал spidermoney с которым тот линукется без жита. И надеюсь, что этого достаточно. Наверно достаточно, я не проверял.
| | |
|
| 2.84, Гриша (?), 03:27, 10/04/2021 [^] [^^] [^^^] [ответить]
| +/– |
 Какие-же вы странные все.
Этот JIT очень простой, он, просто транслирует байткод в машинные инструкции практически 1-в-1. Никакой сложной логики обычно ассоциированной со словом JIT там нет, там файл на 2к строк кода всего.
Ошибка не связанна с JIT. Это, насколько я понимаю, обычный buffer overrun при копированнии массива. Там как-то не так проверяют его длинну.
| | |
| |
| 3.90, Аноним (14), 10:17, 10/04/2021 [^] [^^] [^^^] [ответить]
| +/– |
Проблема в том, что у пользователя вообще есть возможность загружать "машинный код" в ядро. Так лучше?
| | |
| |
| 4.94, Аноним (94), 18:32, 10/04/2021 [^] [^^] [^^^] [ответить]
| +/– |
Чем это отличается от загрузки модуля ядра, о великий эксперт openneta?
| | |
| |
| 5.98, Аноним (14), 18:46, 10/04/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> Чем это отличается от загрузки модуля ядра, о великий эксперт openneta?
Модуль может загрузить только пользователь с правами рута, тут же смысл в том чтобы позволять это делать всем пользователям.
| | |
| 5.100, Аноним (14), 18:49, 10/04/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> Чем это отличается от загрузки модуля ядра, о великий эксперт openneta?
Причём, левые модули не загружаются в норме, рут имеет только возможность выбирать из готового и подписанного набора модулей. Так что, отличается.
| | |
|
| 4.95, Анончик (?), 18:38, 10/04/2021 [^] [^^] [^^^] [ответить]
| +/– |
"опасность проблемы зависит от доступности пользователю системного вызова eBPF"
Так доступно?
| | |
| |
| 5.97, Аноним (14), 18:45, 10/04/2021 [^] [^^] [^^^] [ответить]
| +/– |
> "опасность проблемы зависит от доступности пользователю системного вызова eBPF"
> Так доступно?
Перечитай ещё раз и попробуй осмыслить.
| | |
|
|
|
|
| 1.15, Аноним (15), 14:12, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
>>в специальной виртуальной машине с JIT
Это из самого названия понятно что это не может быть без дыр априори. Это два сложных непонятных механизма закрученный один в другой.
| | |
| |
| |
| 3.50, пох. (?), 18:35, 09/04/2021 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> да ещё и в юзерспейсе
там не юзерспейс, там именно kernel space, с доступом к коду из userspace.
Причем, если мой эклер мне опять изменяет, еще и с возможностью доступа от непривиллегированного юзера в некоторых комбинациях настроек.
| | |
|
|
| 1.17, Алексей (??), 14:21, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– | |
> уязвимость может быть эксплуатирована при включении BPF JIT и наличии у пользователя прав CAP_SYS_ADMIN
То есть root может взломать сам себя? Галактика в опасности!
| | |
| |
| 2.18, Аноним (14), 14:27, 09/04/2021 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Я тоже был уверен, что старательно везде убрал на всех бинарях (а ты проверь кстати в своём дистре), а потом ой /usr/bin/PCSX2 cap_net_admin,cap_net_raw=eip какие-то лишние права.
А вот cap_sys_admin я отключал у кучи софта. Хорошо теперь есть cap_checkpoint_restore и можно убрать sys_admin и с criu.
| | |
| |
| 3.20, Онаним (?), 14:44, 09/04/2021 [^] [^^] [^^^] [ответить]
| +/– | |
Как-то всё проще.
/usr/bin/newgidmap = cap_setgid+ep
/usr/bin/ping = cap_net_admin,cap_net_raw+p
/usr/bin/newuidmap = cap_setuid+ep
/usr/sbin/arping = cap_net_raw+p
/usr/sbin/clockdiff = cap_net_raw+p
/usr/sbin/fping = cap_net_raw+ep
И всё, в общем-то. А пользовательские файлухи вообще с noxattr монтируются, поэтому идут нафиг.
| | |
| |
| |
| 5.38, пох. (?), 15:31, 09/04/2021 [^] [^^] [^^^] [ответить]
| +/– |
лучше. Его сразу видно, о нем не забудешь, и писатели не надеются на "волшебные" механизмы.
Не говоря уже о том что лап4@поделка.
| | |
| 5.91, Онаним (?), 10:39, 10/04/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> Ну да, suid, конечно же, лучше.
suid очень ограниченно.
Пользовательские файлухи ещё и с nosuid, ага. Местами с noexec вдогонку.
| | |
|
|
|
|
| 1.21, Аноним (94), 14:46, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– | |
Эх, не умеют они готовить святой C и C++. Сплошные дыры в безопасности (включая прошлые новости с конфы по взлому всего и вся на C и C++)
Вот туда бы экспертов с opennet...ууууххх
...они бы показали обезьяно-макакам (JS) и ржавым петушкам (Rust) как писать идеальный код без ошибок!
| | |
| 1.25, Michael Shigorin (ok), 14:53, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
 "Шо, опять?!" (ц)
PS: и да, на e2k его не портировали ещё; по-моему, на данном этапе извития данной хреновины это скорее плюс.
| | |
| |
| 2.34, Аноним (34), 15:04, 09/04/2021 [^] [^^] [^^^] [ответить]
| +/– |
Порядочные люди при сборке ядра выключают всякое ненужное непотребство используемое лишь в редких сценариях.
| | |
| |
| 3.51, пох. (?), 18:36, 09/04/2021 [^] [^^] [^^^] [ответить]
| +3 +/– |
> Порядочные люди при сборке ядра выключают всякое ненужное непотребство используемое лишь
> в редких сценариях.
порядочные люди не занимаются пересборками ведра, у них дел и так полно.
К тому же определить, что там нужно, а что не очень - задача для несреднего васяна.
| | |
| |
| |
| |
| 6.81, Alen (??), 00:32, 10/04/2021 [^] [^^] [^^^] [ответить]
| –3 +/– | |
>Всё-таки "уметь" и "заниматься" - понятия разные.
И часто у вас "уметь" наступает без "заниматься"? Вы теоретик ядерного удара?
А главное, основная мысль была не в том, что все должны уметь, а в том, что я написал - невежеством хвалиться стыдно.
| | |
|
| 5.85, пох. (?), 09:27, 10/04/2021 [^] [^^] [^^^] [ответить]
| +3 +/– |
Ну так и не хвались. Твое умение кое-как собрать ведро - не повод для гордости.
Ты не понимаешь больше половины "выключаемых" тобой закорючек.
| | |
| |
| 6.102, Аноним (102), 21:05, 10/04/2021 [^] [^^] [^^^] [ответить]
| –2 +/– |
С чего не понимать то? Там ко всему есть комментарии в коде и можно загуглить. За 3 дня разобраться вполне можно.
| | |
|
|
|
|
| 2.36, Аноним (36), 15:12, 09/04/2021 [^] [^^] [^^^] [ответить]
| +/– |
МСБС вовсе 2х юзают кажется. Умные люди. Вылизали версию и не парятся.
| | |
| |
| 3.89, пох. (?), 09:39, 10/04/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
застрять на древней неподдерживаемой версии - вовсе не равно "вылизали".
| | |
|
|
| 1.26, ryoken (ok), 14:54, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Почему-то как вижу тут на опеннете новости, где есть фраза "позволяющий запускать обработчики", так и начинаю подсознательно ждать всяческих граблей.
| | |
| |
| 2.88, пох. (?), 09:37, 10/04/2021 [^] [^^] [^^^] [ответить]
| +1 +/– | |
да, я обеими лапами за. Еще много всякой й-ной фигни бы не было, от CoC.md и README вреда никакого.
| | |
| |
| 3.107, Аноним (106), 10:24, 11/04/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Насчёт CoC.md ты заблуждаешься. От его содержимого зависит то, кто будет коммитить в ядро.
| | |
|
|
| |
| 2.60, Аноним (102), 20:54, 09/04/2021 [^] [^^] [^^^] [ответить]
| +/– |
А у меня включен почему-то.
Это вообще роль какую-то играет если компьютером пользуюсь только я?
| | |
|
| 1.54, Ingener (??), 19:07, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
>уязвимость (CVE-2021-29154), позволяющая локальному пользователю добиться выполнения свого кода на уровне ядра
Что и говорили. В Лин полно закладок. Еще десятки лет их будут находить.
| | |
| |
| 2.68, Аноним (102), 22:23, 09/04/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
Мне кажется в лине даже больше закладок чем в винде. Ещё и код открытый, в разы легче исследовать
| | |
| |
| 3.70, Аноним (70), 22:51, 09/04/2021 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>Ещё и код открытый, в разы легче исследовать
Именно поэтому закладок меньше. Если безопасность строится на закрытости кода, грош ей цена.
| | |
| 3.86, пох. (?), 09:31, 10/04/2021 [^] [^^] [^^^] [ответить]
| +1 +/– | |
у вас опечатка в слове "добавлять"
Индуса в ms-то и выпороть могут за такое. А тут пожалуйста -
Signed-off-by: Dave Chinner <dchinner@redhat.com>
Reviewed-by: Carlos Maiolino <cmaiolino@redhat.com>
Reviewed-by: Darrick J. Wong <darrick.wong@oracle.com>
Signed-off-by: Darrick J. Wong <darrick.wong@oracle.com>
(трогательное сотрудничество редхатовского мекса с оракловым китаезой, не правда ли? Да, это подпись под изменением, делающим fs нерабочей. И ни один тысячекосоглаз не выступил - тут кого надо нога! Даже две!)
| | |
| |
| 4.109, andy (??), 13:16, 11/04/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
А ссылку на коммит можно. Или напиши пожалуйста, что там именно ломается?
| | |
| |
| |
| |
| 7.114, пох. (?), 23:21, 11/04/2021 [^] [^^] [^^^] [ответить]
| +/– |
его робот удалит.
Да и причем бы тут ebpf. Только при том что тут все такими же руками сделано...
| | |
|
|
|
|
| 3.103, Ananimasss (?), 22:06, 10/04/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
Проиграл. Тебе с шиндовс апдейтом может прилететь что индусу угодно и даже мнением твоим не поинтересуются.
| | |
| |
| 4.104, пох. (?), 22:40, 10/04/2021 [^] [^^] [^^^] [ответить]
| +/– |
Конечно же редхатовский кумар очень поинтересуется твоим мнением, и конечно же тысячегласс непременно помешает обновлению его авторства добраться до твоей б-жественной бубунточки.
(нет)
| | |
| |
| 5.108, Ananimasss (?), 12:29, 11/04/2021 [^] [^^] [^^^] [ответить]
| +/– |
> Конечно же редхатовский кумар очень поинтересуется твоим мнением, и конечно же тысячегласс
> непременно помешает обновлению его авторства добраться до твоей б-жественной бубунточки.
> (нет)
С бубунточкой мимо, у меня бсд, но у лин.упсов автоапдейты хотя бы опциональны, а еще есть генту, где непонятная бинарь прилетит разве что с блобиками в ядре.
А у шиндовс стали хотя бы спрашивать о перезагрузке после неотключаемых обновлениях?
Я вообще в шоке от шиндусятников, когда в 7ке микрософт без спроса обновил проверку лицензионности, с отключенными автообновлениями, ор поднялся выше гор, а как пришла 8ка с неубиваемым дефендером и 10ка с неотключаемыми обновлениями, так все просто проглотили и попросили добавить унижений.
До сих пор ржу с "игрового режима" десяточки, когда отключалась вся ненужная пользователю деятельность, просто чтобы хотя бы выдавать схожую с 7кой производительность.
| | |
| |
| 6.117, пох. (?), 15:45, 13/04/2021 [^] [^^] [^^^] [ответить]
| +/– |
> С бубунточкой мимо, у меня бсд, но у лин.упсов автоапдейты хотя бы
> опциональны, а еще есть генту, где непонятная бинарь прилетит разве что
угу, опциональны, поэтому меня долбят sshшные трояны от таких необновлянцев.
> А у шиндовс стали хотя бы спрашивать о перезагрузке после неотключаемых обновлениях?
У нее круче - она уже три года как ПЕРЕСТАЛА под руку спрашивать эти глупости, и просто аккуратно перезагружается во время, по данным ее телеметрии, когда тебе точно не нужен компьютер.
Да, это можно на некоторое небесконечное время - отложить (ну и правильно написанный софт просто не даст перезагружаться пока обрабатывает фоновую задачу). Но обычно ненужно. Все делает за тебя, и ест тоже.
> Я вообще в шоке от шиндусятников, когда в 7ке микрософт без спроса
> обновил проверку лицензионности, с отключенными автообновлениями, ор поднялся выше гор,
у мелких воришек-то? Я вот ничего не заметил.
Наверное, потому что ей нечего там было проверять?
> До сих пор ржу с "игрового режима" десяточки, когда отключалась вся ненужная
> пользователю деятельность, просто чтобы хотя бы выдавать схожую с 7кой производительность.
признак дурачины, угу.
А на деле - убираются всего лишь интерактивные оповещения, лезущие не в том графрежиме или пытающиеся управлять звуком.
| | |
|
|
|
|
|
| 1.62, анончик (?), 21:24, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
а при Rust'е все будет зашибись, там все будет бесплатно и все будет в кайф. Надо только немножко подождать
| | |
| |
| 2.96, Анончик (?), 18:44, 10/04/2021 [^] [^^] [^^^] [ответить]
| +/– |
Надеюсь ты хотя бы знаешь кто это, может потом даже научишься его к месту упоминать правильно.
| | |
|
| 1.69, Аноним (69), 22:29, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
Есть же еще kernel.unprivileged_bpf_disabled = 1 и net.core.bpf_jit_harden = 2.
А на что повлияет полное отключение BPF JIT?
| | |
| |
| |
| |
| 4.87, пох. (?), 09:35, 10/04/2021 [^] [^^] [^^^] [ответить]
| +1 +/– | |
iptables - нет. Но он несовременный и его срочно надо выбросить.
А над тем что вы хотите - работают, но пока, вроде, ничего кроме нерабочих poc не родили, nft только планирует перевестись на bpf-машину, когда-нибудь, потом.
| | |
|
|
|
| 1.93, Аноним (93), 17:42, 10/04/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
> выполняемые внутри ядра Linux в специальной виртуальной машине с JIT
JIT - зло которое надо искоренить!
| | |
|
