https://m.opennet.dev/openforum/vsluhforumID3/115178.html В поставляемом в составе ядра Linux гипервизоре KVM выявлена (http://seclists.org/oss-sec/2018/q3/208) уязвимость (CVE-2018-10853 (https://security-tracker.debian.org/tracker/CVE-2018-10853)), позволяющая непривилегированному пользователю гостевой системы выполнить код с правами ядра в данной гостевой системе.<br><br><br><br>Проблема вызвана ошибкой в коде эмуляции инструкций sgdt/sidt/fxsave/fxrstor, в котором не выполнялась проверка текущего уровня привилегий, что давало возможность выполнения данных инструкций обычным пользователем для повышения полномочий внутри гостевой системы. Проблема проявляется начиная с ядра 4.10. Патч с исправлением уже принят (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=3c9fa24ca7c9c47605672916491f79e8ccacb9e6) в состав ядра Linux. Обновления пакетов выпущены для Debian (https://security-tracker.debian.org/tracker/CVE-2018-10853), SUSE, openSUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2018-10853), Ubuntu (https://people.canonical.com/~ubuntu-secu https://m.opennet.dev/openforum/vsluhforumID3/115178.html#36 Tue, 11 Sep 2018 11:24:20 GMT И не надо <br> https://m.opennet.dev/openforum/vsluhforumID3/115178.html#35 Tue, 11 Sep 2018 09:34:06 GMT Исправили и ладно...<br> https://m.opennet.dev/openforum/vsluhforumID3/115178.html#33 Tue, 04 Sep 2018 14:07:30 GMT наоборот же ж - когда было что бэкпортировать. btrfs по мнению гадов ненужно, zfs опасно (и в целом работает, пусть и не изкаропке), xfs и современные правки lvm не портируются а наоборот, активно развиваются редгадами и пушатся в апстрим. Чего нынче бэкпортировать-то?<br><br> https://m.opennet.dev/openforum/vsluhforumID3/115178.html#29 Mon, 03 Sep 2018 22:40:48 GMT Почему, был же случай, когда они уязвимости бэкпортировали вместе с кодом драйверов<br> https://m.opennet.dev/openforum/vsluhforumID3/115178.html#28 Mon, 03 Sep 2018 19:27:42 GMT Извините,в 2.6.18 пятой шапки, конечно же. <br> https://m.opennet.dev/openforum/vsluhforumID3/115178.html#27 Mon, 03 Sep 2018 19:25:53 GMT В пятую центось бекпортировали kvm, но это было во времена когда редхет был лидером, а не сидел под мелкой мягкой шконкой.<br> https://m.opennet.dev/openforum/vsluhforumID3/115178.html#26 Mon, 03 Sep 2018 19:21:53 GMT От беда, а РедХат не знала сие и ввела в 7-й версии системд на старых ядрах...<br> https://m.opennet.dev/openforum/vsluhforumID3/115178.html#24 Mon, 03 Sep 2018 18:17:19 GMT 12309 жеж!<br><br>кстати, успехов вам скомпилировать хоть один новый модуль кроме sekelton.c под 2.6.18<br>Мы вот быстро сдались.<br><br> https://m.opennet.dev/openforum/vsluhforumID3/115178.html#23 Mon, 03 Sep 2018 18:09:53 GMT да нет, с чего вы взяли? "stable api is no sense" - не наш лозунг.<br>Бэкпортируются драйвера, далеко не все, зачем нам всякий мусор типа rpi, только те что актуальны крупным клиентам, отдельные api, которых хочет докер-шмокер и прочая модная похабень, исправления в поддерживаемых нами (то есть не на букву b) файловых системах, сети и т п. Наоборот в апстрим пихается своя разработка, прежде всего в области xfs - будет оно там работать или развалится - нас не очень колышет, мы засабмитили и бабос заслали, пусть дальше Линус выгребает.<br><br>другое дело, что вряд ли средневзятый опеннет-др*чер сможет без подглядывания в гугл назвать принципиальные отличия между vanilla 3.10 и нынешним...каким там - не следим, сорри... 4.8? Или уже 5? 6? Какая, нахрен, разница...<br><br>