| 1.1, Аноним (1), 15:48, 11/12/2023 [ответить] [﹢﹢﹢] [ · · · ] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| –2 +/– | |
> выявлены шесть уязвимостей, позволяющих в ходе перехвата транзитного трафика (MITM) добиться внесения изменений в генерируемые системные образы или организовать выполнение кода на уровне сборочной системы.
какая-то чушь от свидетелей безопаснсти, во первых пакетики без хешей только совсем малонужные и неиспользуемые - поэтому и нет хешей, и что мешает легально добавить сборочный сценарий с валидными хешами но с неизвестным содержимым в исходниках, как будто кто-то там проверяет все сценарии make
| | |
| |
| 2.12, 007 (??), 21:52, 11/12/2023 [^] [^^] [^^^] [ответить] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +/– | |
Там эпичность в том, что тулчейн RISC-V как самый "модно-молодежный" входит в набор, которым пользуются 80% меинтейнеров тамошних пакетов при локальном тестировании сборок.
Ну а хеши этого горе-тулчейна там дропнули, ибо задолбались менять (и коммитить эти изменения в репу), так как ночвые бага-фичи в тулчейн добавляются быстрее чем исправляются старые.
| | |
| |
| |
| 4.22, 007 (??), 13:01, 12/12/2023 [^] [^^] [^^^] [ответить] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +/– | |
> они в контейнерах и виртуалках тестируют
Это спасает от шуток типа "rm -rf /", но никак не от более-менее приличной целевой атаки.
Тут почти 100% вероятность возможности пробития и компрометации всей инфраструктуры buildroot, включая 50% мэинтейнеров.
Другое дело, что (скорее всего, пока еще) это никому не было нужно.
Хотя мэинтейнеров я бы подергал за причинные места - и для профилактики, ну и ради баловства.
| | |
| |
| |
| 6.24, 007 (??), 14:45, 12/12/2023 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +/– | |
> каким образом если каждая запущенная сборочная задача тестирует свою локальную копию ?
Не образом, а подсвешником ;)
Например, пробивается через:
- подстановку payload по статусу сборок в gitlab (периодически находят и фиксят, сейчас вроде-бы чисто);
- подстановку payload для пробития при разоре заголовков в proxy между серверами c CI-агентами и самим gitlab;
- эскалацию привилегий с пробитием через какой-нибудь драйвер/шлюз/namespace;
- побег из виртуалки, суммарно примерно десяток способов;
- а половина меинтейнеров запускает сборку просто на рабочей машине, это вообще примерно везде так... (а собрав ключи можно вообще всю инфраструктуру застелсить/заруткитеть).
В целом, пока не показаны положительные результаты приличного аудита, можно считать что рeшет0.
За >10 лет практики ни разу не видел иначе.
Погуглите хвастовство Positive Technologies, Digital Security, Group-IB, Касперов и т.д.
> кросскомпилятор riscv вообще для барметал - сборку пакетов на нём не тестируют, он их просто не соберёт
Buildroot он как-бы в принципе для bare metal и традиционных deb/rpm пакетов там нет.
А "пакеты" (ну или как их назвать) собираются именно тулчейнами для конечных платформ -- это примерно 90% объема "тестирования" как такового.
Где-то есть запуск тестов под qemu, кто-то из меинтейнеров использует железо, но в основном просто производится сборка, а тесты по конкретным жалобам пользователей.
| | |
| |
| 7.25, Аноним (14), 14:58, 12/12/2023 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +/– | |
> Buildroot он как-бы в принципе для bare metal и традиционных deb/rpm пакетов там нет.
ты конкретно не понимаешь - есть кросскомпилятор для сборки для Linux а есть для bare metal, линуксовым можно собрать барметал а наборот - нет, этот барметал компилятор для конкретного загрузчика от процессора sifive потому что он какой-то кривой и линуксовым не собирается
> This commit adds a new package for a prebuilt bare-metal toolchain for
> RISC-V 64-bit. Indeed, some bootloader/firmware for the BeagleV (and
> potentially later for other platforms?) do not build with a
> Linux-capable toolchain. | | |
|
|
|
|
|
|
| |
| 2.32, Аноним (32), 20:13, 12/12/2023 [^] [^^] [^^^] [ответить] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +/– |
Вы простите, надеюсь вы меня услышите: что ваше решение - крайность, имхо, что оригинальное "нет хеша? Так просто его не проверяем".
У вас - "просто отрезать возможность https".
В оригинале - "сбилдить во чтобы-то не стало".
То, что вы предлагаете, это, кажется, нынче называется технофашизм? Т.е. "мне пох, как у вас там что, теперь только tls и сношайтесь как хотите". Решение неплохое, строгое... но радикальное.
Кажется, норм дефолтным вариантом было бы "всегда https, всегда проверять хеши, если хешей нет, стопиться". А для тех, кому это не подходит, возможность выставить ключики типа --https-only=false и skip-no-hash=true?
| | |
|
| 1.4, Аноним (4), 16:24, 11/12/2023 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +1 +/– |
>пакеты aufs и aufs-util загружались по HTTP и не проверялись по хэшам
>Некоторые пакеты, такие как ядро Linux, U-Boot и versal-firmware, допускали загрузку последних версий, для которых ещё не сформированы проверочные хэши
И как использование безопасных языков поможет боротся с такими уязвимостями?
| | |
| 1.21, Аноним (14), 09:57, 12/12/2023 [ответить] [﹢﹢﹢] [ · · · ] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
| +1 +/– | |
> позволяющих в ходе перехвата транзитного трафика (MITM) добиться внесения изменений в генерируемые системные образы
а как это происходит - хаекры вычисляют сборщика buildroot, едут к нему из другой страны, нейтрализуют соседей и ждут в их квартире когда он начнёт прошивку собирать чтобы митмить его вафай ? а если он в текущем году не намерен собирать - ворвутся к нему и заставят собирать чтобы помитмить ?
| | |
|
