https://www.opennet.dev/openforum/vsluhforumID3/115672.html Во входящем в состав systemd фоновом процессе systemd-networkd, реализующем компоненты для настройки параметров сети, найдена (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-15688) опасная уязвимость (https://bugs.launchpad.net/ubuntu/+source/systemd/+bug/1795921) (CVE-2018-15688 (https://security-tracker.debian.org/tracker/CVE-2018-15688)), которая потенциально может привести к выполнению кода при получении клиентом специально оформленного ответа от подконтрольного злоумышленнику DHCP-сервера. По умолчанию в systemd-networkd клиент DHCPv6 активируется автоматически при получении анонса от маршрутизатора IPv6 (RA, Router Advertisement).<br><br><br><br>Проблема вызвана (https://github.com/systemd/systemd/pull/10518) ошибкой в коде встроенного клиента DHCPv6, в котором неверно проверялся (https://github.com/systemd/systemd/commit/4dac5eaba4e419b29c97da38a8b1f82336c2c892) размер временного буфера, используемого для формирования пакета, отправляемого на сервер DHCPv6. При обработке определённого сочетания DHCP-опций https://www.opennet.dev/openforum/vsluhforumID3/115672.html#139 Thu, 01 Nov 2018 14:12:21 GMT &gt; А просто надоела дурацкая предвзятость, особенно когда умники надувающие щеки альтернатив <br>&gt; или не предлагают совсем, или предлагают такое что лучше б и не пытались.<br><br>Надоело дурацкая религиозность некторых лап4атых. <br>В бздах вообще-то есть свой sndio, c опциональным soundserver и шахматессами, не сильно-то и младше пульсы. Это если кого не устраивает реализация OSS (которой частенько - за глаза).<br>А пульсу &#8230; одно то, что аж 10 лет спустя исправили<br>&gt; Получение сигнала SIGTERM теперь не воспринимается как сбой и приводит к <br>&gt; нормальному завершению процесса с нулевым кодом возврата;<br><br>говорит многое, да и сами перепончатые уже, как бы, меняют ее на пайпвайр (хотя да, это может быть и данью традициям переписывания). <br>Но нет, как же так - неблагодарные бздуны послали лесом Шедевр Лёньки и смеют (вот странные и заносчивые люди!) воротить нос от продуктов персонажа "bsds are not relevant anymore!".<br><br><br> https://www.opennet.dev/openforum/vsluhforumID3/115672.html#138 Thu, 01 Nov 2018 09:22:30 GMT 802.11ас уже было 10 лет назад? 0_0<br> https://www.opennet.dev/openforum/vsluhforumID3/115672.html#137 Thu, 01 Nov 2018 05:21:03 GMT &gt;&gt; Только обычно между провайдером и локальной сетью стоит NAT, так что просто так <br>&gt;&gt; ни к какому systemd в локалке ничего не попадёт.<br>&gt; Лично себе я вообше собрал из мелких железок, контейнеров и vm весьма <br>&gt; забавную инфраструктурку. Под довольно пессимистичные допущения. Ничего лишнего не пролезет <br>&gt; ни снаружи, ни изнутри. И немного абстракций и телепортаций. Так что <br>&gt; и для сорма, и для рекламеров, и для кого там еще <br>&gt; у меня всегда найдется фига в кармане.<br><br>Узнаю User294 по фирменному хвастовству... ;)<br><br>&gt;&gt; В датацентрах хостингов и магистральных провайдеров, конечно, <br>&gt;&gt; немного по-другому, но там и кормить через DHCP весь интернет никто не будет.<br>&gt; Да на самом деле сабжевую атаку в результативном виде вообще провернуть достаточно <br>&gt; сложно, так что это фи конечно, но реальный урон от этой <br>&gt; атаки как мне кажется будет довольно маргинальным.<br><br>Я бы не назвал маргинальным урон, наносимый простым подключением ноутбука к Wi-Fi конторы, куда вы пришли по делам, &#8212; от DHCP вы там не убе https://www.opennet.dev/openforum/vsluhforumID3/115672.html#136 Thu, 01 Nov 2018 01:31:48 GMT &gt; # ifconfig tun0 create inet 2.2.2.2 1.1.1.1 up <br>&gt; # ifconfig tun0 <br><br>Это походу не линуксный ifconfig, так что иррелевантно. Ну и так для общего развития можно посмотреть что умеет ip и посмотреьт сколько из этого умеет ваш ifconfig. И все это конечно же не для красоты а потому что этим кто-то еще и пользовался.<br><br>//да, вот ман на ip - то еще гамно. Хотя на iw еще хуже.<br> https://www.opennet.dev/openforum/vsluhforumID3/115672.html#135 Thu, 01 Nov 2018 01:25:31 GMT &gt; Угу, каждому предлагается добавлять в свой код вызов sd_notify() иначе даже мониторинга <br>&gt; сервисов в нормальном виде нет.<br><br>А что есть "мониторинг в нормальном виде"? Вот этот вот sd_notify - хорош тем что не делает никакого допущения о природе моего сервиса. Поэтому пригоден даже для проверки живости например сервиса который на допустим нажатие кнопок юзером реагирует и допустим что-то локально делает. А например с сетью при этом не работает от слова совсем. А как бы это "нормально" мониторили вы, мистер-твистер?<br><br>На мой взгляд системд как раз сделал весьма разумную вещь - расшарил вачдог на всю ораву как иерархическое дерево. Если сдохнет сам s-d или ядро - аппаратный вачдог ребут закатит и система восстановит свою работу без участия людей в этом процессе. А эти ваши "нормальные" штуки почему-то думают что мониторить надо только то что с сетями работает, а остальное гори синим пламенем. Это как-то несколько однобоко. Мне вот например на вот этой железке надо мониторить сервис который нажатия юзером кн https://www.opennet.dev/openforum/vsluhforumID3/115672.html#134 Thu, 01 Nov 2018 01:16:58 GMT &gt; Вопит тут пока только кое-кто один.<br><br>Мне почему-то кажется, что вопит тут довольно много народа, и это явно более 1 человека.<br><br>&gt; исковеркали, да еще и с маленькой буквы написали!) так припекло, что <br>&gt; остальное он не читал, сразу бросившись на защиту.<br><br>А просто надоела дурацкая предвзятость, особенно когда умники надувающие щеки альтернатив или не предлагают совсем, или предлагают такое что лучше б и не пытались.<br> https://www.opennet.dev/openforum/vsluhforumID3/115672.html#133 Thu, 01 Nov 2018 01:10:26 GMT &gt; У провайдеров ещё есть СОРМ... <br><br>У меня нет основания полностью доверять провайдерской сети, равно как и остальным частям сети. В общем случае мне не известно что там есть, как содержится и на кого работает. Плюс-минус 1 хоп мало что меняет.<br><br>&gt; Только обычно между провайдером и локальной сетью стоит NAT, так что просто так<br>&gt; ни к какому systemd в локалке ничего не попадёт.<br><br>Лично себе я вообше собрал из мелких железок, контейнеров и vm весьма забавную инфраструктурку. Под довольно пессимистичные допущения. Ничего лишнего не пролезет ни снаружи, ни изнутри. И немного абстракций и телепортаций. Так что и для сорма, и для рекламеров, и для кого там еще у меня всегда найдется фига в кармане.<br><br>&gt; В датацентрах хостингов и магистральных провайдеров, конечно, <br>&gt; немного по-другому, но там и кормить через DHCP весь интернет никто не будет.<br><br>Да на самом деле сабжевую атаку в результативном виде вообще провернуть достаточно сложно, так что это фи конечно, но реальный урон от этой атаки как мне кажется будет д https://www.opennet.dev/openforum/vsluhforumID3/115672.html#132 Wed, 31 Oct 2018 22:48:57 GMT &gt; мы еще помнил, что это затронуло только любителей обмазываться свеженьким,<br><br>Свеженьким - это например чем? ISC DHCP самым обычным?<br><br>&gt; слепо установившим на свои хомячки новые-модные скриптованные dhcpd.<br><br>Да как бы большинство дистров это и раздали в дефолтовых инсталляциях. А что надо было делать? Статические айпишники прописывать везде? Или использовать тухлый энтерпрайз эпохи царя гороха на моем лаптопе? А что мне на лаптопе делать с тухлой энтерпрайзятиной, интересно?<br><br>&gt; А у кого он как двадцать лет назад никаких скриптов не запускал, <br>&gt; за ненадобностью, так и продолжил,<br><br>Ага, только на десктопах они такие красивые чаще всего почему-то маздаем пользуются и между делом майкрософт их сперва активациями пробэкдорил, а потом и вообще кейлогер вдуплил.<br><br>&gt; те только в очередной раз плечами пожали - что вы хотите от системы где "хочу как виндовс", <br>&gt; собственно, она, да, "за тебя и есть будет".<br><br>Дык люди существа ленивые и тыкать компьютер носом "вот я тебе вайфай свисток подключил, а вот дискетка https://www.opennet.dev/openforum/vsluhforumID3/115672.html#131 Wed, 31 Oct 2018 12:04:07 GMT &gt;&gt;&gt; Pulse работает не только на Линуксе (в портах *BSD оно имеется)<br>&gt;&gt; Но поттеринг говорил "никакого *BSD!".<br>&gt; Ну так он и не будет писать BSDшный код. Если б бсдшники сами писали код для поддержки своей платформы и майнтайнили его - всем было бы пофиг. <br>&gt;&gt;&gt; в портах *BSD оно имеется<br><br>/0?<br><br>&gt; А когда народ толко вопит и качает права - вот так опачки, проще послать вообще совсем.<br><br>Вопит тут пока только кое-кто один. У него видимо опять то ли от упоминания BSD, то ли дерзкого неуважения (фамилию Великого и Неповторимого исковеркали, да еще и с маленькой буквы написали!) так припекло, что остальное он не читал, сразу бросившись на защиту.<br><br>