https://opennet.me/openforum/vsluhforumID3/139486.html Компания Qualys выявила 9 уязвимостей в системе мандатного управления доступом AppArmor, наиболее опасные из которых позволяют локальному непривилегированному пользователю получить права root в системе, выйти из изолированных контейнеров и обойти ограничения, заданные через AppArmor. Уязвимости получили кодовое имя CrackArmor. CVE-идентификаторы пока не назначены. Успешные примеры повышения привилегий продемонстрированы в Ubuntu 24.04 и Debian 13...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64984<br> https://opennet.me/openforum/vsluhforumID3/139486.html#143 Mon, 16 Mar 2026 08:06:16 GMT да Вы чо? там, наверное, астра была, c мандатым доступом?<br> https://opennet.me/openforum/vsluhforumID3/139486.html#142 Mon, 16 Mar 2026 06:30:33 GMT &gt; наиболее опасные из которых позволяют локальному непривилегированному пользователю <br>&gt; получить права root в системе, выйти из изолированных контейнеров и обойти ограничения,<br><br>Ничего нового, пример ЧАЭС с "улучшением безопасности" так некоторых ничему и не научил.<br> https://opennet.me/openforum/vsluhforumID3/139486.html#141 Mon, 16 Mar 2026 05:31:31 GMT ну так не ковыряй голым, трусы натяни сперва хотя бы.<br><br>Тебе когда-то (уже в дальнем прошлом видимо) величайшая из контрразведок написала прекрасную targeted policy. В которой во-первых почти все что нужно большинству обычных систем уже есть готовое и почти всегда - работает, во-вторых есть какая-никакая документация и инструментарий чтоб если что не работает быстро и легко починить, ну и в целом это хорошая точка для старта если прям чешется сделать что-то свое.<br><br>А у вас апармор успешен только в том что ломает запуск mysqld в контейнерах, путь ему видите ли не тот.<br><br>За всю жизнь я _ни_разу_ не видел пользы от его бездарного существования. (selinux таки мне однажды уже прорвавшегося в ситему червяка остановил)<br> https://opennet.me/openforum/vsluhforumID3/139486.html#140 Mon, 16 Mar 2026 05:27:09 GMT в том что оказалось что 13 лет они это делать вполне могли.<br> https://opennet.me/openforum/vsluhforumID3/139486.html#139 Mon, 16 Mar 2026 05:25:05 GMT вот тебе - пора пить таблеточки.<br><br>Безусловно, сишка виновата, на недоязычке-то нельзя ни файлик в /sys/ создать с правами 666, ни не проверить результат вызова, ни запустить что-то первое пришедшее в го... из окружения в недоверенной среде. <br><br>Ну конечно ж нельзя, ты ж ни на каком кодить не умеешь.<br><br> https://opennet.me/openforum/vsluhforumID3/139486.html#138 Mon, 16 Mar 2026 05:22:52 GMT always has been.<br><br> https://opennet.me/openforum/vsluhforumID3/139486.html#137 Mon, 16 Mar 2026 05:21:56 GMT внезапно оказалось что нет!<br><br> https://opennet.me/openforum/vsluhforumID3/139486.html#136 Sun, 15 Mar 2026 16:08:46 GMT &gt; Ну может не бэкдора, а собственной тяпляпости - т.е. знал что так делать нельзя, но спринт-не-ждет, таск должен быть закрыт, поэтому быстро попрятал крошки под ковер. И смотрите - на 13 лет хватило ведь! <br><br>Так это классическое программирование не СИшке.<br>Вон когда диды переписывали юникс на СИ, они точно так же овнчили.<br>"Ну сделал я буфер фикс длинны. Ну введет пользователь пароль больше 200 символов.<br>Мне пох, я проверки добавлять не буду. И тааак сойдет"<br><br> https://opennet.me/openforum/vsluhforumID3/139486.html#135 Sun, 15 Mar 2026 14:43:10 GMT &gt; в протухте убунты используется выбранная убунтой система ограничения доступов. Удивительно? <br><br>У них в snapstore большая часть приложений с classic confinement вообще https://snapcraft.io/docs/explanation/security/classic-confinement/<br>