URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 123368
[ Назад ]
Исходное сообщение
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-окружений"
Отправлено opennews , 24-Фев-21 12:02 
В развиваемой проектом FreeBSD системе изолированных окружений jail выявлены две уязвимости:...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=54642

Содержание
Сообщения в этом обсуждении
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено James Bond , 24-Фев-21 12:02 
Не только докер оказался решет0м
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 12:03 
с хрустом так не было бы!
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 12:05 
блдж когда уже «Не время умирать» выйдет?!
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 17:59 
С хрустом небыло бы вообще ничего. Как ничего до сих пор и нет.
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 19:12 
Так это и есть высшая степень надёжности! Если ничего нет, то ничего и не сломаешь :-)
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Umata , 24-Фев-21 19:09 
Что за хруст? Под капотом?
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 13:20 
> Не только докер оказался решет0м

Главное, только дальше заголовка не читай ...

> jail_remove(2) includes a loop that sends SIGKILL to all processes
> in a jail, but skips processes in PRS_NEW state.  Thus it is possible
> the a process in mid-fork(2) during jail removal can survive the jail
> being removed.

--
> A process running inside a jail can avoid being killed during jail termination.
> If a jail is subsequently started with the same root path, a lingering jailed process may be able to exploit the window during which a devfs filesystem is mounted but the jail's devfs ruleset has not been applied, to access device nodes which are ordinarily inaccessible.

Делов-то - иметь рут, иметь монтирование devfs вообще, потом подгадать момент, когда jail решат прихлопнуть и сделать массовй форк, затем подгадать момент, когда запустят такой же и в промежуток времени между монтированием devfs и применением правил ...

Совсем то же самое что и
>  повышение привилегий (выполнение кода с правами root) в процессе декодирования специально оформленных архивов LZMA (.xz);
> проблемы с проверкой идентификатора образа контейнера, которые могут быть использованы для подмены загружаемого из репозитория образа или выхода за пределы допустимого файлового пути.
> возможность записи во внешние части ФС и выхода за пределы контейнера через манипуляции с абсолютными символическими ссылками;

Вот!

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 25-Фев-21 11:29 
> jail_remove(2) includes a loop that sends SIGKILL to all processes
> in a jail, but skips processes in PRS_NEW state.  Thus it is possible
> the a process in mid-fork(2) during jail removal can survive the jail
> being removed.

какая-то шутка понятная только единственному ее разработчику. prs_new , так и вижу такого шипилявого деда, любителя маленьких мальчиков, prs_new , mid_fork и понимает что не can survive in the jail в случае чего, вот сидит и шутит в коде.

такое впечатление, вот действительно лучше дальше заголовка не читать

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 25-Фев-21 13:46 
>> jail_remove(2) includes a loop that sends SIGKILL to all processes
>> in a jail, but skips processes in PRS_NEW state.  Thus it is possible
>> the a process in mid-fork(2) during jail removal can survive the jail
>> being removed.
> какая-то шутка понятная только единственному ее разработчику. prs_new ,

А глянуть в заголовочный файл (sys/proc.h) не позволяет обет комментатора опеннета "никогда не пытаться узнать матчасть" ?


/*
 * Process structure.
 */
struct proc {
        LIST_ENTRY(proc) p_list;        /* (d) List of all processes. */
        TAILQ_HEAD(, thread) p_threads; /* (c) all threads. */
        struct mtx      p_slock;        /* process spin lock */
        struct ucred    *p_ucred;       /* (c) Process owner's identity. */
        struct filedesc *p_fd;          /* (b) Open files. */
        struct filedesc_to_leader *p_fdtol; /* (b) Tracking node */
        struct pstats   *p_stats;       /* (b) Accounting/statistics (CPU). */
        struct plimit   *p_limit;       /* (c) Resource limits. */
        struct callout  p_limco;        /* (c) Limit callout handle */
        struct sigacts  *p_sigacts;     /* (x) Signal actions, state (CPU). */
        int             p_flag;         /* (c) P_* flags. */
        int             p_flag2;        /* (c) P2_* flags. */
        enum {
                PRS_NEW = 0,            /* In creation */
                PRS_NORMAL,             /* threads can be run. */
                PRS_ZOMBIE
        } p_state;

Вместе с комментами вполне просто догадаться из контекста, что PRS_NEW - это когда процесс на стадии создания и еще не готов к выполнению.

Но да, тут некогда глядеть, тут ведь комментировать нужно!

> так и вижу такого шипилявого деда, любителя маленьких мальчиков, prs_new , mid_fork и понимает что не can survive in the jail в случае чего, вот
> сидит и шутит в коде.

О*еть фантазии. Ну хоть не маленьких пингвиняток ...

> такое впечатление, вот действительно лучше дальше заголовка не читать  

У меня такое впечатление, что большей части местных комментаторов это ничего не даст по причине отсутствия базовых знаний. Что не мешает им высказывать свое ценное мнение.

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 15:54 
Докер vs jail - это как теплое с мягким. Jail vs cgroups тогда уж
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 16:09 
Нет, это ты сравниваешь тёплое с мягким. Механизм изоляции и контроль ресурсов.
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 18:20 
Он имел в виду linux namespaces, дополнением функциональности которого cgroups является.
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Синдарин , 25-Фев-21 17:00 
Jail vs LXD/LXC

Фря сдохла, мало людей, мало глаз и рук, дальше хуже. В космос летает нынче RTLinux с 3ным консенсус рантайм конвеером, а на Марс и вовсе Ubuntu Core слетала в лице марсохода.

NASA выбирает Ubuntu Linux, а вы и дальше конпиляйте роллинг релизы от Арча.

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено a , 24-Фев-21 22:26 
Offtop:

Для Jail есть что-то типа kubernetes?

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 22:38 
> Offtop:
> Для Jail есть что-то типа kubernetes?

https://www.nomadproject.io/
https://papers.freebsd.org/2020/fosdem/pizzamig-orchestratin.../

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено a , 24-Фев-21 22:40 
Thanks!
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 25-Фев-21 11:30 
А вы поезжайте в Питер и спросите.
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено a , 25-Фев-21 17:33 
Спасибо, умный пескарь (С)
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 12:10 
И все равно я считаю BSD хорошей операционной системой. Да, бывают уязвимости, но у кого их не было? Я сейчас копаюсь в TempleOS -- тоже еще одна экзотическая ось, и вот в сравнении с ней BSD выглядит довольно-таки выигрышно.
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено n00by , 24-Фев-21 12:45 
А мне не очень понравилась FreeBSD. Представляете, на тамошнем форуме нет срача. Как можно так жить? Потому сменил её на Rosa Tresh. Вот где настоящая фридум и гармония: пользователи вправе называть эту ОС г-ном, а разработчики пользователей -- свиньями. Ну а другие Линукс по сравнению с ней априори дно, потому что в них нет World of Tanks и самого большого вежливого сообщества.
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено пох. , 24-Фев-21 12:53 
> А мне не очень понравилась FreeBSD. Представляете, на тамошнем форуме нет срача.

Да ты просто не умеешь.

К тому же там довольно быстро банют, долго ходить по грани не всем дано.

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 13:25 
> К тому же там довольно быстро банют, долго ходить по грани не всем дано.

Поэтому ты пришло сюда.

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено n00by , 24-Фев-21 14:36 
>> А мне не очень понравилась FreeBSD. Представляете, на тамошнем форуме нет срача.
> Да ты просто не умеешь.

Это потому что у меня допуска к БД нет, и он мне даже в страшных снах не снится. Помню, обменистратор одного широко известного в узких кругах сайтенга прочёл главу из книжки "MySQL для чайников" и изменил мои сообщения, что бы на том основании меня забанить. Но лажанул и выразился умеючи, на чём два других админа и спалили его махинации по логам апача. Так я понял, что незачем управлять Вселенной, она и без меня знает что делать. :)

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Ananimasss , 24-Фев-21 21:19 
Что это за бред и как логи апача, в которых максимум видно гет запросы к некому скрипту для администрирования, связаны с допуском к бд?
Пример логов от админики с гет запросами можно? Еще до вебдванольщины для этих целей использовался пост.
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено n00by , 25-Фев-21 08:07 
> как логи апача, в которых максимум видно
> гет запросы к некому скрипту для администрирования, связаны с допуском к
> бд?

Разжёвываю:
1. содержание якобы моего сообщения было настолько тупо, что вызвало недоумение администрации;
2. активность под моей учёткой на момент редакции сообщения отсутствовала;
3. ровно в тот момент имела место авторизация обменистратора для каких-то действий с базой, что для него нетипично;
4. этих фактов хватило, что бы обменистратор обделался в глазах двух админов, а потом и остальных, поскольку действия ламера получили огласку.

> Пример логов от админики с гет запросами можно? Еще до вебдванольщины для
> этих целей использовался пост.

Конечно можно, ведь это не запрещено правилами.

> Что это за бред

Ммм. Вопрос не по моему профилю. Впрочем, очевидно, что кто-то увидел "гет" и "пост", тогда как в объективной реальности, данной нам в виде моего сообщения выше, таковые слова отсутствуют.

Замечу ещё, что с процитированной проекции любит начинать свои выступления вот этот https://www.opennet.me/~yamah
активист Rosa Tresh, за хамство лишенный права использовать мой код для установки оной ОС на NVMe.

Искренне надеюсь, что Вы не он, иначе следует уже удалить наконец Rosa Tresh, что бы не триггерило, и обратиться к специалисту по бредовым состояниям.

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Ананимас008 , 25-Фев-21 14:23 
>Ммм. Вопрос не по моему профилю

Оно и видно, потому как для подобных скриптов используется только пост и все, что ты там увидишь в "логах апача", это будет факт самого вызова скрипта, а что именно он делал  и с какими параметрами запускался, какие поля передавал - нет.
Поэтому твои "доказательства" с помощью оных выглядят довольно смешно.

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено n00by , 26-Фев-21 12:20 
> это будет факт
> самого вызова скрипта, а что именно он делал  и с
> какими параметрами запускался, какие поля передавал - нет.

Ну да. У меня и написано, что поля никто и смотреть не стал. Думал, что достаточно разжевал.

> Поэтому твои "доказательства" с помощью оных выглядят довольно смешно.

В тот раз я под стол упал вместе со стулом, а сейчас уже не так так смешно -- боюсь, что грешно. Вроде ясно написано, что админам _хватило_ факта доступа, следовательно мне ничего никому доказывать не потребовалось.

> все, что ты там увидишь в "логах апача"

О, так Вы ещё и моими глазами смотрите. Это точно не мой профиль. Мне лишь интересно, это на Вас  так воздействует Rosa Tresh или что?

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 13:03 
Ты просто не застал bsd-срачи в ЖЖ.
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 19:07 
>> на тамошнем форуме нет срача.
> Ты просто не застал bsd-срачи в ЖЖ.

ЖЖ отличный пример исконно-бсдшного интернационального форума (сарказм)

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено наме , 25-Фев-21 11:11 
дааа. интересно, куда подевался "специалист" слонегвдомене)))
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 14:44 
> в них нет World of Tanks

В них есть World of Tanks

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено n00by , 24-Фев-21 15:06 
>> в них нет World of Tanks
> В них есть World of Tanks

Ну так то есть, но это Вам самостоятельно придётся возиться. Тогда как баш-программисты операционной системы Rosa Tresh создали гениальный rpm пакет, который устанавливает инсталлятор PortWoT. ОднойКнопкой™.

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Michael Shigorin , 25-Фев-21 19:54 
Случайно не по мотивам моего userinstall-helper, который лет пять назад накропал для установки vmware-horizon на машинки имени tonk.ru? ;-)
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено n00by , 26-Фев-21 13:07 
> Случайно не по мотивам моего userinstall-helper, который лет пять назад накропал для
> установки vmware-horizon на машинки имени tonk.ru? ;-)

К сожалению, я не созерцал сам процесс компиляции. Помню лишь, что он был долог и Мистер dd впоследствии высмеивал компетентность одного из участников проекта, поскольку тот оказался занят на работе и не помог.

Насколько понял, он вот https://abf.io/games/portwot-install/blob/rosa2016.1/portwot...
скопирую на всякий случай сюда, поскольку там "В связи с наплывом каких-то непонятных ботов регистрация закрыта", да и мало ли какой найдётся повод отложить выпуск 2018й ещё на 2-3 года.)

По поводу оригинала могу лишь сказать, что ставить пробел после знака комментария вот так:
# desktop file
для автора характерно не было.


%define oname    PortWoT
%define ver32    127
#%%define ver64    122
Summary:    Fidblog's PortWoT is installer for World Of Tanks
Name:        portwot-install
Version:    12.7
Release:    1
License:    Proprietary
Group:        Games/Arcade
Url:        http://portwine-linux.ru/world-of-tanks-linux/
#%%ifarch %%{ix86}
Source0:    http://portwine-linux.ru/download/%{oname}-&#...
#%%endif
#%%ifarch    x86_64
#Source0:    http://portwine-linux.ru/download/%%{oname...
#%%endif
Source1:    %{name}.png
Source2:    README.urpmi
%ifarch        %{ix86}
Suggests:    wine
%endif
%ifarch        x86_64
Suggests:    wine64
%endif
Requires:    zenity
%description
%{summary}
%files
%attr (0755,root,root) %{_bindir}/%{name}
#%%ifarch %%{ix86}
%{_bindir}/%{oname}-%{ver32}
#%%endif
#%%ifarch    x86_64
#%%{_bindir}/%%{oname}-%%{ver64}
#%%endif
%{_datadir}/applications/%{name}.desktop
%{_datadir}/pixmaps/%{name}.png
%{_docdir}/%{name}/README.urpmi
#----------------------------------------------------------------------------
%prep
%build
# Nothing to build yet
%install
# desktop file
mkdir -p %{buildroot}%{_datadir}/applications
cat > %{buildroot}%{_datadir}/applications/%{name}.desktop << EOF
[Desktop Entry]
Type=Application
Name=PortWoT install
Name[ru]=Установка WoT
Comment=PortWoT Installer for World Of Tanks 
Comment[ru]=Установка и настройка PortWoT World Of Tanks
Exec=portwot-install
Icon=portwot-install
StartupNotify=false
Terminal=false
Categories=Game;
EOF
# script files
#%%ifarch %%{ix86}
mkdir -p %{buildroot}%{_bindir}/
cat > %{buildroot}%{_bindir}/%{name} << EOF
#!/bin/sh
%{_bindir}/%{oname}-%{ver32}
EOF
install -m755 %{SOURCE0} %{buildroot}%{_bindir}/
#%%endif
#%%ifarch    x86_64
#mkdir -p %%{buildroot}%%{_bindir}/
#cat > %%{buildroot}%%{_bindir}/%%{name} << EOF
#!/bin/sh
#%%{_bindir}/%%{oname}-%%{ver64}
#EOF
#install -m755 %%{SOURCE0} %%{buildroot}%%{_bindir}/
#%%endif
# icon file
mkdir -p %{buildroot}%{_datadir}/pixmaps
install -m644 %{SOURCE1} %{buildroot}%{_datadir}/pixmaps/
# README file
mkdir -p %{buildroot}%{_docdir}/%{name}
install -p -m644 %{SOURCE2} %{buildroot}%{_docdir}/%{name}
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноньё , 24-Фев-21 15:55 
> Представляете, на тамошнем форуме нет срача

Ужас-ужас

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноньимъ , 24-Фев-21 19:50 
>Представляете, на тамошнем форуме нет срача.

Там запрещено обсуждать FreeBSD.

Более того, есть высокий риск того, что в вашу тему непонравившуюся фанатиками набегут фряшники крича о том, что фря не линукс. После чего вашу тему удалят обосновав это тем, что вы обсуждаете FreeBSD, что запрещено.

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 13:09 
За наводку, конечно, спасибо!

Но рил ?? Вы серьезно сравниваете ХрамОС с бздей?)))

Может к врачу обратиться ?

ХрамОС написан шизофреником во спасение своей души, человек то молодец и ситуация страшная на самом деле,
но, блин, сравнивать такие проекты - это както немного провяляет клиническую картину у сравнивающего ...

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 14:34 
> ХрамОС написан шизофреником во спасение своей души

Можно подумать FreeBSD была для других целей написана...

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 14:41 
Ну не зря же маскот - чертёнок а у открытого форка UNIX-а название illumos. Совпадение, не думаю.
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 14:42 
Что за ХрамОС это мем какой-то?
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 14:50 
https://ru.wikipedia.org/wiki/TempleOS
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 13:09 
В сравнении с ОСью от поехвашего что угодно выглядит выигрышно.
Но бзди действительно красивы своим акодемизмом.
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 13:29 
> В сравнении с ОСью от поехвашего что угодно выглядит выигрышно.

Я почему-то подумал про Бздю, но не про Ось Храма.

> Но бзди действительно красивы своим акодемизмом.

Есть варианты покруче. Например - Миникс. Тененбаум например, всем кому нужно видео - рекомендует запустить вантуз. Так что, познай лучше силу микроядра и будь счастлив.

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 14:23 
До коле!?
Миникс - иллюстрация к учебному курсу. Сам Танненбаум устал повторять, что в жизни это не применимо. Потому что очень много чего, осталось за границами учебного курса.
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Lex , 24-Фев-21 15:12 
Их несколько, тех миниксов.
И третий миникс нифига не для обучения, а для «прода»
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 17:39 
Паскаль тоже в прод пошел. Когда приставку Object прилепили. Но не надолго и не широко.
А миникс от Таненбаума в прод никак. С допилами и то низенько-близенько.
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 18:32 
> А миникс от Таненбаума в прод никак. С допилами и то низенько-близенько.

А интеловцы-то и не знали c ихним Intel ME

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Lex , 25-Фев-21 08:43 
> А миникс от Таненбаума в прод никак. С допилами и то низенько-близенько.

Дык ты про третий почитай все-таки для начала. Его в некоторой встройщине вполне используют, где требуется максимальная отказоустойчивость

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 14:29 
>Есть варианты покруче. Например - Миникс. Тененбаум например, всем кому нужно видео - рекомендует запустить вантуз. Так что, познай лучше силу микроядра и будь счастлив.

Я не могу рассматривать MINIX3 как полноценную ОС. А вот illumos вполне себе открытый настоящий UNIX.

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено ryoken , 24-Фев-21 15:03 
>> Я не могу рассматривать MINIX3 как полноценную ОС.

А вот интелогоблины как-то - вполне. И поселили сие в своём ME.

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 16:19 
То есть для тебя нет разницы между Встроенное программное обеспечение и ОС? Ты сам вероятно MINIX3 используешь на своем персональном компьютере как основную ОС ???
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 13:23 
> И все равно я считаю BSD хорошей операционной системой.

Всё относительно. Вот я на одной из своих машин дуалбутаю фрибзду из гроба. Оба метода(chainload, /boot/loader as kfreebsd) - работают. Штеуд-войфай есть и видево на i915 без ускорения. А вот считать её сколь-нибудь хорошей осью - слегка опрометчиво. Раньше её считали эталоном стабильности даже.
- При выключении посылает какой-то мусор в PC-speaker, что иногда на этапе Syncing Dosks получаем 10 секунд громкого писка.
- Иногда при выключении можно потерять UFS2 вне зависимости от SU или J. Проблема извечная, чинить никто не будет.
- Очень тормозная графика. Наверное из-за того, что я давно привык к линуксовым оптимизациям и плавной прокрутке.
- Жёсткий тиринг, которого в линуксе не было даже 13 лет назад. Что было раньше - не знаю.
- Мало софта, почти нерабочий линуксатор. Но на это вроде обратили внимание.
- Когда-то я жаловался на непросыпающийся войфай, но сейчас, увы, не могу это проверить. Видево недавно тоже перестало просыпаться. Хорошо "решили" проблему.

И это всё на Lenovo E440.

> Я сейчас копаюсь в TempleOS

Мне видяшки Терри очень доставляют. Но в Храмовой ОСи есть то, чего так не хватает Фрибзде - стабильность.

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 13:44 
> - Иногда при выключении можно потерять UFS2 вне зависимости от SU или J. Проблема извечная, чинить никто не будет.

Ссылку на багрепорт или балабол.
> - Очень тормозная графика. Наверное из-за того, что я давно привык к
> линуксовым оптимизациям и плавной прокрутке.

... или к пингвиняьему балабольству ...
> - Мало софта, почти нерабочий линуксатор.

Почти нерабочий наброс, потому что слишком жЫрный.

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 14:06 
Блоб нвидиа ставите и как в линуксе видео, вообще никакой разницы, я и игры даже под вином играл во бзде. Прокрутка тоже норм, правда только огнелиса ставил. Хром мне и в линукс не нравится.
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 14:17 
> Блоб нвидиа ставите и как в линуксе видео, вообще никакой разницы, я
> и игры даже под вином играл во бзде. Прокрутка тоже норм,
> правда только огнелиса ставил. Хром мне и в линукс не нравится.

Так не мне это писать надо ... впрочем - тому кадру тоже не надо, ему это не интересно, он тут каждый раз так набрасывает ...


"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Ананимас008 , 25-Фев-21 14:27 
Какие еще блобы невидии, человек сказал что у него i915.
Ну не осилил он поставить нужные драйвера и не лезть ручками в Xorg.conf, что же теперь поделать.
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 14:34 
>- Мало софта, почти нерабочий линуксатор. Но на это вроде обратили внимание

Как может быть софта меньше чем под Линукс, если софт под Линукс открытый и портировать его легко? Не понимаю.

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено анонн , 24-Фев-21 14:59 
>>- Мало софта, почти нерабочий линуксатор. Но на это вроде обратили внимание
> Как может быть софта меньше чем под Линукс, если софт под Линукс
> открытый и портировать его легко? Не понимаю.

У местных пингвният в бсдшной новости еще и не такое бывает.
https://repology.org/

By number of non-unique1 packaged projects

    nix (nixpkgs unstable) - 48457
    AUR - 27469
    Debian+derivs (Raspbian Testing) - 25863
    FreeBSD Ports - 23073
    Fedora (Fedora 29) - 19648
    Rosa (Rosa 2016.1) - 17844
    Gentoo (LiGurOS develop) - 15153

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноньимъ , 24-Фев-21 19:56 
>Раньше её считали эталоном стабильности даже.

Раньше так и было, работало много чего, в том числе реалтековские сетевушки.

А потом вместо драйверов и фиксов стали пилить фичи.

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 14:26 
Выявление уязвимостей это хорошо, это рабочий процесс. Не понимаю почему кто-то сравнивает FreeBSD и Linux. Радуются выявленным уязвимостям как дети, как будто Линукс от этого лучше стал.
Если человеку интересно СПО он должен радоваться развитию любой открытой ОС в том числе и выявлению уязвимостей.
Последнее время в FreeBSD активно находят уязвимости, это признак развития.
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноньимъ , 24-Фев-21 19:56 
Тащемто я рад что уязвимость нашли и устранили.
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено kvaps , 24-Фев-21 12:27 
Ну контейнеры это совсем не про изоляцию.
Даже в linux рекомендуется отбирать у контейнеров root.
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Anonymouss , 24-Фев-21 12:35 
Правильно говорить: "Но контейнеры это совсем не средство изоляции" ("про" здесь неуместно и делает фразу корявой)
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено пох. , 24-Фев-21 12:40 
это в ваших линуксах какие-то контейнеры, которые не про изоляцию.
jail это как раз про изоляцию, и изначально - только и исключительно про нее.

Стапроцентной гарантии, впрочем, не дает, а с модными "конь-тейнерными" фичами и тем более.

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 13:36 
> это в ваших линуксах какие-то контейнеры, которые не про изоляцию.
> jail это как раз про изоляцию, и изначально - только и исключительно
> про нее.

Ну ты же понимаешь, что дальше заголовков пингвинята не читают, а там ясно написано, что УЯЗВИМО!

И пох, что в одном случае для ptrace нужно иметь соотв. привилегии _и_ как-то угадать время запуска и PID, а в другом - сначала делать постоянный и массовый форк, чтобы иметь шанс пережить прибитие джейла, а затем не менее "незаметный" poll доступных dev-нод (если они есть вообще) ...

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 14:12 
Школота может умничает?
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено псевдонимус , 24-Фев-21 17:53 
Джайл именно про изоляцию, прочие фичи вторичны
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 13:32 
Никогда на бзяшном десктопе ими не пользовался, хотя честно старался привыкнуть к бзде, но перетыкивать колонки и наушники такое себе удовольствие. В линукс проще с этим делом из-за алсы.) В остальном одинаково.
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено псевдонимус , 24-Фев-21 17:55 
Что за набор случайных слов я сейчас прочитал?
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 19:39 
Ешё раз перечитайте и если повезёт, сумеете понять. Пользуйтесь переводчиком если такое возможно.
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено псевдонимус , 24-Фев-21 20:14 
> Ешё раз перечитайте и если повезёт, сумеете понять. Пользуйтесь переводчиком если такое
> возможно.

Я пока понял, что ты фрибсд не на десктопе ни на сервере не юзал. Потыкал, увидел, что это не Линукс, снёс.

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 25-Фев-21 03:20 
Да, примерно так и есть. Со звуком сделать ничего не сумел. Если же в остальном тот же линукс в принципе, то страдать на бзде нет особого желания. Старые бздуны пытались помочь, но не с моей конфигурацией железа продолжать...(
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 25-Фев-21 03:25 
lenovo H530
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-окружений"
Отправлено Аноним , 24-Фев-21 14:01 
>> When a process, such as jexec(8) or killall(1), calls jail_attach(2)

to enter a jail, the jailed root can attach to it using ptrace(2) before
the current working directory is changed.
>> Проблема проявляется во время вызова jail_attach при помощи команд jexec или killall, и позволяет привилегированному процессу, изолированному внутри jail, изменить свой корневой каталог и получить полный доступ ко всем файлам и каталогам в системе.

Ух ты.
Как-то угадать время вызова _и_ PID и получить доступ на тот самый промежуток времени, когда процессу прикрепили JID, но _еще не поменяли_ working dir - стало простым и незатейливым "полный доступ ко всем файлам и каталогам в системе"

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-окружений"
Отправлено Аноним , 24-Фев-21 14:08 
Ну вот тоже заголовок новости удивил. Желтизна какая-то.
По факту: "обладая даром ясновидения и удачей +100500 вам возможно удастся повысить привилегии, но это не точно".
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-окружений"
Отправлено пох. , 24-Фев-21 14:10 
Ну типичный ж race, может повезти. Осталось только уговорить подобное позапускать энцать раз подряд.

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-окружений"
Отправлено Аноним , 24-Фев-21 14:13 
Проделайте это хоть раз, везучий вы наш :)
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-окружений"
Отправлено Карабьян , 24-Фев-21 18:05 
Тут уже законы Мерфи сработают: в лотерею фиг выиграешь, а вот против теья редкая гадость непременно случится
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-окружений"
Отправлено Sw00p aka Jerom , 24-Фев-21 15:01 
>Ну типичный ж race,

сначала ведь нужно владеть рутом внутри джейла не?

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-окружений"
Отправлено пох. , 24-Фев-21 15:24 
Ты хорошо понимаешь, что такое jail? Это ни разу не дыркер для донесения крошек с разарботчиковой клавиатуры до прода в неизменной позиции. Это именно про изоляцию. И в ней нашли очередную проблему (ну и будут, это люди писали а не с неба дадено)

Мы для того в нем что-то запускаем (в том числе и как правило так и да - рутовое), чтобы ограничить ущерб в случае чего. Вот если это что-то поломали (очередной bind с сишной дырой) - чтоб там и остались. Поэтому возможность вылезти из chroot - безусловно нехорошо, даже вот такая, не факт что exploitable да еще чтоб не шибко заметным образом.
При том что вся остальная изоляция, естественно, сохранится - в конце-концов, у меня на каждой системе есть по одному jail где / совпадает с системным изначально, by design.

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-окружений"
Отправлено Sw00p aka Jerom , 24-Фев-21 20:11 
> Ты хорошо понимаешь, что такое jail?

рассмешили, 15 лет как юзаю, любой сторонний софт в собственном джейле, под собственным юзером, исключение те которые требуют рута, и рута еще необходимо получить в случае с первой уязвимостью.

> Это именно про изоляцию.

А вот тут уточните тогда, какую именно изоляцию раз уж с докером сравниваете?

> Мы для того в нем что-то запускаем (в том числе и как
> правило так и да - рутовое), чтобы ограничить ущерб в случае
> чего.

Ущерб чему? Че-то все так расплывчиво поясняете.

> При том что вся остальная изоляция, естественно, сохранится - в конце-концов, у
> меня на каждой системе есть по одному jail где / совпадает
> с системным изначально, by design.

бсдешные джейлы это псевдо-изоляция раз уж такие проблемы

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-окружений"
Отправлено Аноним , 24-Фев-21 21:11 
> бсдешные джейлы это псевдо-изоляция раз уж такие проблемы

То ли дело полноценная виртуализация, угу ...

https://www.opennet.me/opennews/art.shtml?num=53085
> Опасные уязвимости в QEMU, Node.js, Grafana и Android
> 04.06.2020 08:43
> Несколько недавно выявленных уязвимостей:
> Уязвимость (CVE-2020-13765) в QEMU, которая потенциально может привести к выполнению кода с правами процесса QEMU

https://www.opennet.me/opennews/art.shtml?num=51520
> Уязвимость в vhost-net, позволяющая обойти изоляцию в системах на базе QEMU-KVM
> 19.09.2019 08:14

https://www.opennet.me/opennews/art.shtml?num=51764
> 10 уязвимостей в гипервизоре Xen
> 28.10.2019 08:51

https://www.opennet.me/opennews/art.shtml?num=47200
> Очередная порция критических уязвимостей в Xen
> 14.09.2017 11:30
> Спустя месяц с момента публикации сведений о прошлой порции критических проблем доступна информация о новых 4 уязвимостях

https://www.opennet.me/opennews/art.shtml?num=44409
> QEMU/KVM и Xen подвержены уязвимости в коде эмуляции VGA

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-окружений"
Отправлено Sw00p aka Jerom , 24-Фев-21 22:41 
Изоляция и виртуализация - разные понятия.
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-окружений"
Отправлено пох. , 25-Фев-21 09:54 
> рассмешили, 15 лет как юзаю, любой сторонний софт в собственном джейле

то есть занимаешься совершенно бессмысленной херней. Ок, вопрос снимается.

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-окружений"
Отправлено Sw00p aka Jerom , 25-Фев-21 11:54 
Выходит так, теперь ясно почему сами разработчики болт забили на сей механизм изоляции. пркдлагаете что-то другое?
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-окружений"
Отправлено пох. , 25-Фев-21 13:05 
Не забили, просто, вероятно, парочка из них еще знают, зачем этот механизм нужен и как его целесообразно применять, а ты - похоже, что нет.

Программу, запускаемую от обычного юзера, нет смысла запускать в jail. Операционная система unix 1970го года издания и без того обеспечивает вполне достаточную изоляцию пользователей друг от друга. С дополнениями в виде ограничений видимости и прочим bsd hardening - даже более чем достаточную (часто уже в ущерб удобству).

Единственное исключение это как раз пользователь с uid=0, для него дополнительная изоляция иногда бывает полезна, поскольку изначальная концепция такой не предусматривала. jail ее и обеспечивает, в достаточной степени и с минимумом накладных расходов.

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-окружений"
Отправлено Sw00p aka Jerom , 25-Фев-21 16:08 
> Не забили, просто, вероятно, парочка из них еще знают, зачем этот механизм
> нужен и как его целесообразно применять, а ты - похоже, что
> нет.

ага изолировать рута от рута

> Программу, запускаемую от обычного юзера, нет смысла запускать в jail.

для вас нет


> обеспечивает вполне достаточную изоляцию

это не изоляция, а разграничения

> в достаточной степени и с минимумом накладных расходов.

на столько, что рут в джейле вдруг становится рутом в хост системе?



"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-окружений"
Отправлено пох. , 25-Фев-21 21:48 
Бть... они ж реально _непроходимо_ т-пые...

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено ryoken , 24-Фев-21 15:08 
Оффтоп. На выходных в очередной раз пытался водрузить сабж на PowerMacG5. В очередной раз - мимо кассы. Контроллер дисковый нашло (LSISAS 3041E-R), поставиться по дефолту с дефолтной разметкой - смогло. На установке загрузчика - сдохло. На попытку из своего же меню запустить установку повторно - ноль реакции. С учётом вполне себе работающего с этого же контроллера Void-а - чёт тут не так, с бсдёй.
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 15:46 
А я на выходных в баню ходил и пиво пил.
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 15:53 
Дефолтно это с ЗФС то там же джпт и сраный уефи. Дальше руками ефибутмгр -с и т.д. А вот если легаси биос с мбр уфс и всем таким, то там норм работает само.
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено ryoken , 24-Фев-21 16:00 
Это вы сейчас кому и на что отвечали? То, что архитектура ppc64, где APM & OpenFirmware - не видно?
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 16:07 
Вы про загрузчик писали. Какая блин разница.
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено пох. , 24-Фев-21 17:05 
Специалисты впопеннета, какая, действительно, им разница... Подумаешь, нет на G5 никакого uefi и gpt тоже некому читать, и досовский masterboot не спасет ни разу.  Некогда думать, трясти надо!

Ну а топикстартеру не расстраиваться  - непременно еще лет через десять твоя неподдерживаемая давно уже выброшенная на свалку архитектура заинтересует какого-то разработчика фри достаточно, чтоб ее начать чинить.

Тут, блин, ныне выпускаемую и вполне востребованную-то никто не захотел поддерживать, а ты со своим гепять...

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 17:24 
Сам я не тыкал и в глаза не видел, но вдруг поможет.
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Карабьян , 24-Фев-21 18:08 
Че-то ржу
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Какаянахренразница , 24-Фев-21 16:50 
Опять демоны вылазят из контейнеров...
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 17:17 
> Опять демоны вылазят из контейнеров...

Учитывая pid_max = 99999 и pid_random - только в день равноденствия, если этот день = четверг високосного года, имеет место солнечное затмение и только что прошел дождь.

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 17:37 
Хоть я и пользую Фрибсд уже более 15 лет я к сожалению не получил их официальную рассылку об уязвимостях потому что у них DKIM подпись в письмах неверная и их админы считают что это ок)))

> We cannot guarantee correctness of DKIM signatures going through the

mailing lists.

> Looking into why security@ fails DKIM is on my list but it's pretty far down.  I suggest you try to fix your mail server so it reacts correctly to a broken DKIM signature, as documented in RFC 6375,

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено пох. , 25-Фев-21 09:50 
Учите матчасть.

Скудоумные гуглерабы просто не знали, что бывают какие-то еще мэйллисты, когда изобретали свою оверинжинеренную бесполезную поделку. Просто в головы им такое не приходило, а пришло так и ушло, там все занято, там смузи плещется.

Поэтому да, dkim ломается на мэйллистах. Настраивай сервер правильно - на тотальный игнор бесполезных заголовков. Я еще ни разу за последние лет десять не видел спамера, который присылал бы неподписанный спам, им-то это как раз несложно делать.

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 25-Фев-21 11:46 
У настоящего админа на мейллистах дким не ломается. Это просто показывает профессионализм админов структуры фрибсд(
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено пох. , 25-Фев-21 12:54 
> У настоящего админа на мейллистах дким не ломается.

потому что он во всосапе и сцайпе сидит только?

> Это просто показывает профессионализм

это просто показывает твой непрофессионализм. Поскольку ты не понимаешь ни как работают мэйллисты, ни почему dkim - бред таких же как ты непрофессионалов, и работать с ними не будет никогда.

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 25-Фев-21 16:51 
Я как раз таки понимаю и мои мейл листы с коммерческими рассылками подписываются правильно. Если ума не хватает настроить, то не надо на других свои косяки списывать.
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Michael Shigorin , 25-Фев-21 19:59 
> и мои мейл листы с коммерческими рассылками

Вам знакомо слово mailman?

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено пох. , 25-Фев-21 21:46 
зачем ему, он же непригоден для спама.
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 26-Фев-21 14:15 
Админ любого уровня способен подправить mailman. Но если даже мозгов нет, то это элементарно гуглится по запросу "mailman dkim".
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено пох. , 25-Фев-21 21:43 
Ну, все правильно - твой спам рассылается, как надо. dkim работает ровно для того для чего придуман гуглем, максимально усложнить жизнь всем, кроме спаммеров и самого гугля.

Чем ты недоволен, не пойму?

Имей ты хоть каплю мозгов, ты бы понимал, чем спам отличается от нормальных рассылок для людей - но у тебя они такие же точно куриные как у авторов идеи.  Поэтому не нужны тебе никакие мэйллисты никакой bsd, они не для тебя предназначены. Читай свои "коммерческие рассылки".

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Michael Shigorin , 25-Фев-21 19:58 
> Я еще ни разу за последние лет десять не видел спамера, который
> присылал бы неподписанный спам, им-то это как раз несложно делать.

А то и тупо через гугловые же MX.

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено пох. , 25-Фев-21 21:45 
Можно через mx, а можно просто найти нажористый сервер во внутренней гуглевой сети (месяца два валом валило с них - не с нормального релея, а явно с чего-то вообще не для того предназначенного, зато кем надо найденного) - ведь abuse у них тоже давным-давно нет.

Корпорация делания правой рукой, фигле.

И обратите внимание - местные альтернативно-одаренные всячески одобряют.

"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 26-Фев-21 14:16 
Они могли хотя бы отключить дким для субдомена рассылки если руки из жопы.
"Уязвимости во FreeBSD, позволяющие обойти ограничения jail-о..."
Отправлено Аноним , 24-Фев-21 20:05 
Ну хоть какую-то уязвимость нашли.