В Netfilter, подсистеме ядра Linux, используемой для фильтрации и модификации сетевых пакетов, выявлена уязвимость (CVE-2021-22555), позволяющая локальному пользователю получить привилегии root в системе, в том числе находясь в изолированном контейнере. Для тестирования подготовлен рабочий прототип эксплоита,  обходящий механизмы защиты KASLR, SMAP и SMEP. Исследователь, выявивший уязвимость, получил от Google вознаграждение, размером 20 тысяч долларов, за выявление метода обхода изоляции контейнеров Kubernetes в  кластере kCTF...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=55488

• Уязвимость в подсистеме ядра Linux Netfilter ,Хан, 13:41 , 15-Июл-21
  • Уязвимость в подсистеме ядра Linux Netfilter ,anonymous, 22:01 , 15-Июл-21
    • Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 10:11 , 16-Июл-21
      • Уязвимость в подсистеме ядра Linux Netfilter ,gogo, 20:13 , 16-Июл-21
      • Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 18:38 , 17-Июл-21
    • Уязвимость в подсистеме ядра Linux Netfilter ,Брат Анон, 11:32 , 16-Июл-21
• Уязвимость в подсистеме ядра Linux Netfilter ,Анонимъ, 13:41 , 15-Июл-21
  • Уязвимость в подсистеме ядра Linux Netfilter ,Хан, 13:42 , 15-Июл-21
    • Уязвимость в подсистеме ядра Linux Netfilter ,Анонимъ, 13:51 , 15-Июл-21
  • Уязвимость в подсистеме ядра Linux Netfilter ,Анонимъ всё, 13:56 , 15-Июл-21
  • Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 14:46 , 15-Июл-21
    • Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 14:58 , 15-Июл-21
  • Уязвимость в подсистеме ядра Linux Netfilter ,iCat, 15:08 , 15-Июл-21
  • Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 15:20 , 15-Июл-21
  • Уязвимость в подсистеме ядра Linux Netfilter ,Корец, 18:00 , 15-Июл-21
• Уязвимость в подсистеме ядра Linux Netfilter ,Хан, 13:42 , 15-Июл-21
  • Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 13:46 , 15-Июл-21
    • Уязвимость в подсистеме ядра Linux Netfilter ,Хан, 13:51 , 15-Июл-21
    • Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 13:57 , 15-Июл-21
      • Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 14:01 , 15-Июл-21
        • Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 15:23 , 15-Июл-21
          • Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 15:25 , 15-Июл-21
          • Уязвимость в подсистеме ядра Linux Netfilter ,Олег, 21:45 , 15-Июл-21
• Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 13:42 , 15-Июл-21
  • Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 15:25 , 15-Июл-21
• Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 13:42 , 15-Июл-21
• Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 13:45 , 15-Июл-21
  • Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 14:04 , 15-Июл-21
  • Уязвимость в подсистеме ядра Linux Netfilter ,пох., 14:54 , 15-Июл-21
  • Уязвимость в подсистеме ядра Linux Netfilter ,макпыф, 15:26 , 15-Июл-21
• Уязвимость в подсистеме ядра Linux Netfilter ,КО, 13:46 , 15-Июл-21
  • Уязвимость в подсистеме ядра Linux Netfilter ,пох., 13:59 , 15-Июл-21
  • Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 14:24 , 15-Июл-21
  • Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 14:52 , 15-Июл-21
• Уязвимость в подсистеме ядра Linux Netfilter ,pin, 13:49 , 15-Июл-21
  • Уязвимость в подсистеме ядра Linux Netfilter ,СеменСеменыч777, 17:59 , 15-Июл-21
    • Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 19:57 , 15-Июл-21
      • Уязвимость в подсистеме ядра Linux Netfilter ,gogo, 23:35 , 16-Июл-21
        • Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 09:44 , 17-Июл-21
• Уязвимость в подсистеме ядра Linux Netfilter ,InuYasha, 13:49 , 15-Июл-21
  • Уязвимость в подсистеме ядра Linux Netfilter ,anonymous, 22:05 , 15-Июл-21
    • Уязвимость в подсистеме ядра Linux Netfilter ,lockywolf, 05:22 , 16-Июл-21
      • Уязвимость в подсистеме ядра Linux Netfilter ,anonymous, 12:34 , 18-Июл-21
      • Уязвимость в подсистеме ядра Linux Netfilter ,anonymous, 13:05 , 18-Июл-21
• Уязвимость в подсистеме ядра Linux Netfilter ,Хан, 13:50 , 15-Июл-21
• Уязвимость в подсистеме ядра Linux Netfilter ,Хан, 13:52 , 15-Июл-21
  • Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 14:02 , 15-Июл-21
    • Уязвимость в подсистеме ядра Linux Netfilter ,Хан, 14:31 , 15-Июл-21
      • Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 16:38 , 15-Июл-21
      • Уязвимость в подсистеме ядра Linux Netfilter ,Fracta1L, 20:07 , 15-Июл-21
    • Уязвимость в подсистеме ядра Linux Netfilter ,Аноньимъ, 17:37 , 15-Июл-21
    • Уязвимость в подсистеме ядра Linux Netfilter ,Kuromi, 17:58 , 15-Июл-21
      • Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 18:31 , 15-Июл-21
        • Уязвимость в подсистеме ядра Linux Netfilter ,anonymous, 22:07 , 15-Июл-21
    • Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 10:58 , 16-Июл-21
  • Уязвимость в подсистеме ядра Linux Netfilter ,1, 17:18 , 15-Июл-21
  • Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 10:32 , 16-Июл-21
  • Уязвимость в подсистеме ядра Linux Netfilter ,Анон123амм, 16:32 , 17-Июл-21
    • Уязвимость в подсистеме ядра Linux Netfilter ,z, 22:45 , 19-Июл-21
• Уязвимость в подсистеме ядра Linux Netfilter ,пох., 13:57 , 15-Июл-21
  • Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 14:05 , 15-Июл-21
    • Уязвимость в подсистеме ядра Linux Netfilter ,пох., 14:31 , 15-Июл-21
• Уязвимость в подсистеме ядра Linux Netfilter ,And, 13:58 , 15-Июл-21
• Уязвимость в подсистеме ядра Linux Netfilter ,псевдонимус, 13:59 , 15-Июл-21
• Уязвимость в подсистеме ядра Linux Netfilter ,Zenitur, 14:06 , 15-Июл-21
  • Уязвимость в подсистеме ядра Linux Netfilter ,пох., 14:32 , 15-Июл-21
  • Уязвимость в подсистеме ядра Linux Netfilter ,Нанобот, 15:00 , 15-Июл-21
• Уязвимость в подсистеме ядра Linux Netfilter ,Анон Анонов, 14:54 , 15-Июл-21
  • Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 00:25 , 16-Июл-21
    • Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 01:24 , 16-Июл-21
      • Уязвимость в подсистеме ядра Linux Netfilter ,And, 08:39 , 16-Июл-21
• Уязвимость в подсистеме ядра Linux Netfilter ,Нанобот, 14:58 , 15-Июл-21
• Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 15:13 , 15-Июл-21
  • Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 15:25 , 15-Июл-21
• Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 15:19 , 15-Июл-21
  • Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 15:38 , 15-Июл-21
    • Уязвимость в подсистеме ядра Linux Netfilter ,pin, 17:21 , 15-Июл-21
• Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 15:56 , 15-Июл-21
  • Уязвимость в подсистеме ядра Linux Netfilter ,Аноньимъ, 17:34 , 15-Июл-21
  • Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 21:57 , 15-Июл-21
  • Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 00:27 , 16-Июл-21
• Уязвимость в подсистеме ядра Linux Netfilter ,Ordu, 16:15 , 15-Июл-21
  • Уязвимость в подсистеме ядра Linux Netfilter ,anonymous, 22:09 , 15-Июл-21
    • Уязвимость в подсистеме ядра Linux Netfilter ,Ordu, 22:41 , 15-Июл-21
      • Уязвимость в подсистеме ядра Linux Netfilter ,anonymous, 12:36 , 18-Июл-21
        • Уязвимость в подсистеме ядра Linux Netfilter ,Ordu, 13:14 , 18-Июл-21
• Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 16:31 , 15-Июл-21
  • Уязвимость в подсистеме ядра Linux Netfilter ,Kuromi, 17:59 , 15-Июл-21
    • Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 11:10 , 16-Июл-21
    • Уязвимость в подсистеме ядра Linux Netfilter ,Анончик, 21:13 , 18-Июл-21
• Уязвимость в подсистеме ядра Linux Netfilter ,Alexey Chernyavskiy, 18:56 , 15-Июл-21
  • Уязвимость в подсистеме ядра Linux Netfilter ,And, 08:41 , 16-Июл-21
• Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 20:52 , 15-Июл-21
  • Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 23:27 , 15-Июл-21
  • Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 00:34 , 16-Июл-21
    • Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 11:12 , 16-Июл-21
  • Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 01:25 , 16-Июл-21
    • Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 11:14 , 16-Июл-21
      • Уязвимость в подсистеме ядра Linux Netfilter ,Брат Анон, 11:37 , 16-Июл-21
• Уязвимость в подсистеме ядра Linux Netfilter ,Великая SystemD, 21:23 , 15-Июл-21
• Уязвимость в подсистеме ядра Linux Netfilter ,srgazh, 03:28 , 16-Июл-21
  • Уязвимость в подсистеме ядра Linux Netfilter ,And, 08:43 , 16-Июл-21
• Уязвимость в подсистеме ядра Linux Netfilter ,Аноним, 17:33 , 19-Июл-21
• Уязвимость в подсистеме ядра Linux Netfilter ,Michael Shigorin, 13:41 , 21-Июл-21

Одна новость лучше другой((

Чем больше дыр найдут, тем меньше останется :)

не существует такой корреляции.

Вполне себе нормальная корреляция. Чем больше внимания к софту, чем он вылизанней.

Вообще-то существует.

Патч дыры добавляет ещё полторы.

Надо на Rust переписать.

Из под WSL юзать

В офтопике свои дырени.

на D

Перепиши. Впрочем, известно, что растаманы на своём Ruste могут писать только helloworld'ы.

Половину дела сделала.

на PowerShell

Дурачок. Это растоман и сделал ошибку. Rust примерно тогда и начали пилить. Это тот-же неосилятор который в расте неправильно доступную память считал.

Уже скоро

Ни дня без дыры

Вчера не было

Недоработка, значит сегодня две дырени должны быть

Этой дырени 15 лет, вчера она была

Я про поступление дыр раз в день. А не про сколько эта дыра была.

Ну дак так и говори - вчера дыр в ядро не поступало, и пруфцов приложи конечно же

Держи пруфцы. https://www.opennet.me/ и https://www.opennet.me/#mini

и мак ос до полного управления почты никогда не ломали через почтовый клиент)

А будь оно на расте такого б не случилось

Вы слишком много возлагает надежд на компиляторы.

Эксплуатация переполнения буфера контролируется ядром ОС
CONFIG_PAX_KERNEXEC=y
CONFIG_PAX_RANDKSTACK=y
CONFIG_GRKERNSEC_KSTACKOVERFLOW=y

И процесором: NX, ..

В случае контроля ядром ОС и процом есть гарантии, а в случае контроля компилятором их нет.

Горшочек не вари.

Непонятно когда оно в mainline исправлено.

Под 5.12.13:

$ ./exploit
[+] Linux Privilege Escalation by theflow@ - 2021

[+] STAGE 0: Initialization
[*] Setting up namespace sandbox...
[*] Initializing sockets and message queues...

[+] STAGE 1: Memory corruption
[*] Spraying primary messages...
[*] Spraying secondary messages...
[*] Creating holes in primary messages...
[*] Triggering out-of-bounds write...
[*] Searching for corrupted primary message...
[-] msgrcv: Function not implemented

// b.

На всякий обновился до 5.12.17 - сообщения те же.

// b.

"linux-next" же ж...

5.12.X это stable, а не mainline

В общем, как обычно чтобы даже уязвимость заработала, надо поипаться с установкой.
Типичный линух.

Просто нужно использовать настоящий ентер-прайсный редхат (или хотя бы его пре-альфа версию) а не васян-дистры с напрочь отключенным ненужно-неймспейсом.

Поэтому линукс и защищенный.

Над вирусами ещё поглумись

> user namespaces

Без них никак, очень полезная фича.

это что ли "CONFIG_USER_NS" ? не подскажете ли, для чего она вам настолько полезная ?

вот описание, и там в конце подсказка для дураков:

This allows containers, i.e. vservers, to use user namespaces
to provide different user info for different servers.
When user namespaces are enabled in the kernel it is
recommended that the MEMCG option also be enabled and that
user-space use the memory control groups to limit the amount
of memory a memory unprivileged users can use.

If unsure, say N.

Symbol: USER_NS [=n]

Контейнеры и изоляция (емнип включая флатпак и ко), unshare без рута, песочница браузеров без рута.

Да, без рута. Только дырки почему-то рута хацкерам отдают...

> Да, без рута. Только дырки почему-то рута хацкерам отдают...

Альтернатива только суидные бинари и там уже нарутальный рут.

Пока читал заголовок, ждал уязвимостей в eBPF :)

Хватит уже путать Linux-овый eBPF с реальным packet filter :)

Расскажи мне об этом, анонимус.

BPF -- это разве не Berkeley Packet Filter из BSD?

В контексте Linux скорее "нет", чем "да". Там остались лишь одно название и идея как исполнять код.

Просто для примера. В Linux, например, некоторые инженеры используют BPF для поиска memleak-ов в своих приложениях.

Ачотакова?

Linux это безопасно, не то что дырявая винда... говорили они

В линуксе дыры находят, а затем исправляют. А кто найдет дыру в винде, если код закрыт?

По частоте обнаружения дыреней в ядре, такое чувство что само ядро линукса это и есть дырень

В винде дыр нет?
Абсолютно непроницаемое ядро? )

Оно просто написано на дырявом языке

В винде то-же находят и исправляют. Код винды не закрыт от тестировщиков разработчиков и аудиторов.

Ну и немножко разные продукты, виндовс уже успела несколько версий EOL объявить, то есть в винде столько времени дыры не живут.

Зато когда в Винде дыру находят, то закрывают самого нашедшего.

Были прецеденты?

Работаю в смежной area, и действительно: публиковать уязвимости проприетарщика обычно малореально (чтобы не нарваться на судебные проблемы).

>А кто найдет дыру в винде, если код закрыт?

Кто найдёт, тот всем не расскажет. Только за денежку кому нужно продаст.

ну дык ... как тебе эпичнейший PrintNightmare ?

Докопаться до пары найденных уязвимостей в Linux мы умны, а на 100+ уязвимостей в винде которые сидят там уже лет 40 - на это плевать. Фанатики винды не перестают удивлять своим мышлением о том, что в винде нет дыр)) А и пофиг на критическую дыру в службе печати, зато на линуксах этих ваших можно рут получить, ой ооой ойойой

а просто нефиг 99% мануаллов начинать с "отключите SELinux" ))) Тогда и проблем таких будет на пару порядков меньше.

А как тогда жить? ковырять эту хреновину на каждый чих? давай еще касперского поставим, а потом будем по 100 раз комп ребутить, чтобы заработало что-то там

АААААА.... опять пятнадцатилетняя дыра!!!

Уп-с? Требует рута или юзернеймспейс? Расходимся, пацаны...

> юзернеймспейс

Включено by default в туче дистрибутивов, включая enterprise где оно особенно важно - ваши домашние машинки на хрен никому не сдались.

// b.

> включая enterprise где оно особенно важно

в rhel не включено. А кто себе ентерпрайсов насобирал с помоешной бубунточки чтоб ненех никому не платить - ну, сами виноваты.

(в бубунтином ядре есть, если что, дебиановский патч c kernel.unprivileged_userns_clone - но ваши домашние машинки нахрен никому не сдались, поэтому там 1)

> Пользователь может создать контейнер с отдельным пользователем root и из него эксплуатировать уязвимость.

В топе из того, что игнорируют на проектах с аудитами без-ти и т.п. тонкими применениями.

Опять неймспейс..

Ого, какой древний бэкдор. Как там расширенная поддержка RHEL5? Не истекла ещё?

там выключено при сборке ведра - необратимо и невключаемо.

А там ядро 2.6.18, в котором проблемы еще нет

> приводящей к переполнению буфера

Ой, классика. Рассказывайте теперь как деды раньше писали софт на сях без ошибок. Все ошибаются. А хейтеры раста, видимо, младше этой ошибки.

В rust в этом месте был бы unsafe и точно такая же ошибка.

Таки проще заметить ошибку в блоке "тут может быть ошибка", чем когда весь код - одна сплошная возможная ошибка ;)

Что проще, так это не напрягаться. Точно.

> Проблема проявляется начиная с ядра 2.6.19, выпущенного 15 лет назад

Тогда это не было проблемой, т.к. требовало права рута

А куда Фрактал пропал?

не выдержал конкуренции с местными клоунами

> размера памяти при сохранении

И ядру 15 лет. Совпадение? Не думаю.

Я знаю кто эту ошибку сделал. Он её потом в rust повторил. Это один и тот-же неосилятор работы с памятью как и всё сообщество rust

>Он её потом в rust повторил

Чак Норрис?

Синтия Ротрок.

Миллиарды глаз, просто миллиарды.

Позвольте уточнить. То, что вы называете глазами, на самом деле является Си глазами. Это не просто глаза, потому что просто глаза в Си код смотреть неспособны, это особый вид глаз, Си глаза, именно Си глаза смотрят в Си код.

Только глаза шоколадные

У тебя с логикой проблемы.

Долой BPF!

Он-то тут вообще при чём?)

> Он-то тут вообще при чём?)

Всем известно, что BPF запиливают в ядро, чтобы там было больше дыр. Причём, в первую очередь, в сетевом стеке.

Скажите честно, вы хоть раз пробовали смотреть что есть BPF в Linux?

> Скажите честно, вы хоть раз пробовали смотреть что есть BPF в Linux?

Нет, конечно, зачем? Вонь против BPF на опеннете не требует смотреть на него. Достаточно вонять погромче.

>Исследователь, выявивший уязвимость, получил от Google вознаграждение, размером 20 тысяч долларов

А мог бы получить миллионы от легальных киберпреступников.

А еще погоны или пулю в лоб от суперлегальных (в смысле находящихся над законом) "компетентных органов", тут как повезет.

Или гонорар на домик в Солсберри. Ну а потом саого же в этом домике...

С такими рассуждениями выше летёхи вам не светит.

Не зря я свои сервера на Debian поднимаю

И десктопы на Linux Mint Debian Edition - качать тут: https://linuxmint.com/download_lmde.php

А писали бы на C++ - не было бы таких ошибков

А вот писали бы без ошибков, то ошибков бы и не было

API ядра в виде классов и перегруженных функций? По моему в BeOS такое API было, жаль microsoft её уничтожила, интересно было бы сравнить сколько сейчас там бы было ошибок по сравнению с операционными системами с C API.

Так Хайка есть.

На C++ точно такие же ошибки могут быть, он точно такой же full unsafe и никакие костыли его не спасут.

Ну какой-нибудь стандарт C++2z может добавить @safe/@unsafe

Просто возьми нормальный язык, который такое не позволяет. То, что ты предлагаешь называется "костыль".

Ого как жёстко! Во все дыры и щели!

Представляю если бы такОЕ нашли Hyper-V  

Может и находят. KB-шки выходят потихоньку. Ведь так?
Только из описаний деталей не понять.

РЕ

CONFIG_USERNS вновь наносит ответный удар, ага.