https://217.65.3.21/openforum/vsluhforumID3/109218.html В системе принудительного контроля доступа SELinux обнаружена (http://seclists.org/oss-sec/2016/q3/606) уязвимость (CVE-2016-7545 (https://security-tracker.debian.org/tracker/CVE-2016-7545)), позволяющая приложению обойти режим sandbox-изоляции SELinux и выполнить любую команду в рамках текущего пользовательского сеанса. Суть уязвимости в том, что приложение может воспользоваться ioctl-интерфейсом TIOCSTI для помещения произвольных символов в буфер ввода терминала, т.е. может симулировать набор команды в текущем терминале.<br><br><br>Уязвимость затрагивает утилиту /bin/sandbox из набора policycoreutils. Проблема уже устранена в Debian GNU/Linux и ожидает исправления в других дистрибутивах (RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2016-7545), CentOS (https://lists.centos.org/pipermail/centos-announce/2016-August/thread.html), Fedora (https://bodhi.fedoraproject.org/updates/?releases=F23&type=security), SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2016-7545)). Исправление также доступно в виде https://217.65.3.21/openforum/vsluhforumID3/109218.html#26 Fri, 24 Mar 2023 13:13:03 GMT "Уязвимость затрагивает утилиту /bin/sandbox из набора policycoreutils" может трактоватся и как уязвимость в самом механизме SELinux, который использует этот скрипт. Он прав в том, что текст новости написан неоднозначно. <br> https://217.65.3.21/openforum/vsluhforumID3/109218.html#25 Wed, 28 Sep 2016 16:13:08 GMT В новости ровно об этом и написано "Уязвимость затрагивает утилиту /bin/sandbox из набора policycoreutils". Просто читать нужно весь текст, а не только первое предложение.<br> https://217.65.3.21/openforum/vsluhforumID3/109218.html#24 Wed, 28 Sep 2016 12:37:06 GMT нет.<br> https://217.65.3.21/openforum/vsluhforumID3/109218.html#23 Wed, 28 Sep 2016 12:35:38 GMT вообще-то новость - невменяемая херня человека, не понявшего, о чем речь.<br>Я уж подумал, правда уязвимость в selinux. А оказывается - есть мелкая проблема в косорылом питоновском скрипте, позволяющем кое-как создать selinux-изолированное приложение, изначально на такое не рассчитанное.<br>Понятия не имею, кто этой поделкой пользовался - я вот счастливо не знал по сей день о ее существовании.<br><br>&gt; default sandbox domain only allows applications the ability to read and<br>&gt; write stdin, stdout and any other file descriptors handed to it. It is<br>&gt; not allowed to open any other files. <br><br>Что, чорд подери, вы собрались в таком виде запускать и что полезного оно могло бы в принципе делать?<br><br> https://217.65.3.21/openforum/vsluhforumID3/109218.html#21 Tue, 27 Sep 2016 07:40:34 GMT Вы предметно лучше отписывайтесь. А то ля-ля получается, про какое-то крещение и все такое. <br> https://217.65.3.21/openforum/vsluhforumID3/109218.html#20 Mon, 26 Sep 2016 20:52:16 GMT &gt; Чушь собачья. Особенно про бэкдор. Доказательств нет.<br><br>Очевидно, у вас есть доказательства отсутствия бэкдора? Вы в курсе вообще, как такие системы верифицируются или живёте по принципу "гром не грянет - мужик не перекрестится"?<br> https://217.65.3.21/openforum/vsluhforumID3/109218.html#19 Mon, 26 Sep 2016 13:13:41 GMT Чтобы не доверять плохим людям by default доказательства в каждм конкретном случае и не нужны.<br> https://217.65.3.21/openforum/vsluhforumID3/109218.html#18 Mon, 26 Sep 2016 11:55:00 GMT На одной бересте читал, что всё было по-другому. Сотрудники АНБ пропихивали SELinux в ядро, но Линус (или кто-то помельче) отказался брать код как есть, отмазавшись архитектурными соображениями. Чуваки из SUSE по-быстрому запилили LSM и AppArmor, а АНБ было предложено адаптировать SELinux под LSM (хотя занимались этим всё теже чуваки из SUSE, так SLE стал первым дистрибутивом с SELinux, в последствии отказавшись от него).<br> https://217.65.3.21/openforum/vsluhforumID3/109218.html#17 Mon, 26 Sep 2016 11:26:48 GMT увы, это единственный случай когда selinux реально отключен.<br>можете посмотреть по всяким security slab и ftrace.<br>