В поставляемой в ядре Linux реализации сетевого протокола TIPC (Transparent Inter-process Communication) выявлена критическая уязвимость (CVE-2021-43267), позволяющая удалённо через отправку специально оформленного сетевого пакета добиться выполнения своего кода с привилегиями ядра. Опасность проблемы сглаживает то, что для атаки требуется явное включение поддержки TIPC в системе (загрузка и настройка модуля ядра tipc.ko), которая в неспециализированных дистрибутивах Linux не производится по умолчанию...Подробнее: https://www.opennet.me/opennews/art.shtml?num=56101
Attack surface маленькая, можно не беспокоиться.
Лучше 2.6 версии нет.
Потому что именно там был ярковыраженный 12309 и плохая реализация многопоточности, ставившая всю систему раком при сборке софта. Вспомнил - аж прослезился. Сейчас такие же заскоки можно узреть только во FreeBSD, склонировав большой проект, например, получив вставшую на 5 минут систему. А ведь когда-то это же самое было и в линуксе.
не гони на бзд линуксойд - не гоним будешь за свой сетевой стек и его производительность. лучше дружно жить
У меня таких проблем на фре, хотя у меня много чего не дофолтного в сисцтл.
Аха ... 12309 уже пофиксили ... конечно-же ... RHEL 7 на 12309 раком встаёт. Про 8-ку не знаю. На Gentoo уже лет 5 12309 не встречал ...
Ага. Я в генту избавился от этого только поставив 32 гига памяти и выделив в ней диск для временных файлов
> Потому что именно там был ярковыраженный 12309Появился вместе с планировщиком CFS, который был экспериментально доступен, если не ошибаюсь, с версии 2.6.16, а включен по умолчанию с 2.6.23 (а старый был полностью удалён). Линус Торвальдс встал на сторону Инго Молнара, и поддерживал его новый планировщик, несмотря ни на что. Линус сказал, что 12309 это совокупность мелких багов, которые сложно найти и исправить. Может это и так, но я не верю - во Фре же всё нормально.
Помню, я юзал SUSE 10.1 в 2007 году. Комп был Athlon XP на ядре Barton (довольно слабый комп на то время), оперативки было 256, видеокарта GeForce 4 Ti. Я редактировал какой-то текст в Опенофисе в одном окне, и играл в какую-то игру в другом (которую видеокарта "тянула"). И в этот момент я решил запустить Amarok. И вдруг я понял по поведению системы, что оперативка закончилась. Амарок стартовал секунд 40 (вместо трёх, как обычно), но при этом курсор не фризил, игра чуть подлагивала, а общая отзывчивость системы не упала. В итоге плеер загрузился, и я просто продолжил работу, выключив вручную самые тяжёлые приложения (игру).
Это было ядро 2.6.16. А через два года я юзал Ubuntu 8.10 на гораздо более быстром компе Athlon 64 с одним гигабайтом памяти. Не знаю версию ядра, подозреваю что 2.6.23 и есть. Именно на этой версии ОС я узнал, что такое 12309. Если случится так, что оперативная память закончилась, то всё фризит и ничего сделать невозможно. Даже залогиниться по Ctrl-Alt-F1, потому что "превышено время для ввода пароля". Именно поэтому я на первом виртуальном терминале теперь делаю автологин.
> Если случится так, что оперативная память закончилась, то всё фризит и ничего сделать невозможно. Даже залогиниться по Ctrl-Alt-F1, потому что "превышено время для ввода пароля".Вот такая грусть печаль. И бы недоумевал, если б сам не встречался с этим. В разных дистрах. До сих держу "под рукой" magic key, запускающий OOM. Потому что иначе всё колом. До сих пор. Я фиг знает, как такой трындец добрался в эти годы. Но он есть. У меня, тащем-то, два варианты: включённый magic SysRq, и/или отключённый overcommit. Но про overcommit отдельная история, без него нихрена не работает даже на 16Gb+.
P.S. За что, в том числе, фря и любима. Ни разу такой фигни не было. Но фря любит, чтобы пользователь был advanced и таки хоть немного разбирался в системе, а не "мне только стим запустить, мне пох, как оно там работает", и отвечает пользователю взаимностью. Когда после неё встретил такое на разных Линуксах, вообще не мог понять "да как же так?". Но под фрей меньше проприетарщины, которую начали делать под Линуксы, нет б-гмерзкого docker'а. И таки приходится грызть, плакать, но продолжать.
> Ни разу такой фигни не было. Но фря любит, чтобы пользователь был advancedИ памяти было не меньше, чем требуется запущенному софту. Иначе будет как в линуксе.
>> Если случится так, что оперативная память закончилась, то всё фризит и ничего сделать невозможно.
> И памяти было не меньше, чем требуется запущенному софту. Иначе будет как в линуксе.В рассказах опеннетчиков "В бздах наверняка все тоже самое что и в линуксе, только еще хуже! Том 119, дополненное издание" - несомненно.
В реальности, если выставить vm.pageout_oom_seq=4, то запуск и отработка OOM вполне можно заметить лишь постфактум "О, а куда делось жирно-брауз^W приложение?".
Фря - считай, целиком проприетарщина со своей лицензией. О "богомерзкий докер" - это вообще пять, как будто его под дулом пистолета заставляют использовать.Ну и линукса, в отличие от фри, много разного. От LFS или генты, вполне себе дружественных к тем, кто разбирается в системе, до убунты, которую можно просто поставить дедушке и не бояться, что тот наловит вирья.
12309 не ловил уже хз сколько лет. Гента.
> как будто его под дулом пистолета заставляют использоватьВы не поверите...
Да а как вы предлагаете его не использоваться, если он то тут, то там? Если он в каждой второй, мягко, говоря, конторе, которая занимается софтом. А уже если вебдев затронуть, то там докеры-на-кубернетесах-и-проч и докерами погоняют.Т.е. вроде бы может и не хочется, а таки прийдётся.
> нет б-гмерзкого docker'атак это ж наоборот хорошо! Но для любителей кактусов хипсторы запилили аж несколько аналогов на джейлах
Ты не понимаешь, это не баг, а фича, я вон как-то поставил себе Федорку 30, так эту фичу прям на старте мне сразу Gnome3 подарил, "а нех - сказал он мне, "со своими 4Gib ставить элитную ОСь"". Вот так Линукс и подстёгивает людей к саморазвитию, не то что десяточка, ей и 4Gib хватало, ну никакого к тебе уважения.
В десяточке на 4гигах никакой 12309 не нужен, он там перманентный.
А он про это знает? Нет друг, когда я использовал десяточку (неделю), то не встречал товарища, слава богу Хфедора нам организовала встречу, прям сразу.
"Винда тормозит" - притча во языцех ещё до 12309.
А причина всё та же, когда оно начинает подсвопливать - наступает 12309.
У меня конечно сейчас 64 гига рамы на десктопе и мне пофиг, но любители 4 гигов страдали и страдают.
> Сейчас такие же заскоки можно узреть только во FreeBSD, склонировав большой проект,
> например, получив вставшую на 5 минут систему.А ссылка на багрепорт или хотя бы подробное описание по воспроизведению будет?
Или "как обычно"?
"Склонировать большой проект" - уж куда как подробное.
Ну и не баг это, а нормальное поведение. Если систему нагрузить, то она будет тормозить. В линуксе это называется 12309, во фре пользователи - не белки-иcтерички, и не устраивают шум из-за вполне корректного поведения системы.
> "Склонировать большой проект" - уж куда как подробное.Яснопонятно.
>> получив вставшую на 5 минут систему
> Ну и не баг это, а нормальное поведение.
> ... во фре пользователи не белки-иcтерички, и не устраивают шум из-за вполне корректного поведения системы.Особенно при существовании "поведения" ислкючительно в комментах опеннета.
Бред. Я chromium клонировал без проблем. Куда еще больше?
ярковыраженный 12309 и в 5.15.0 есть с маслом вместо фс даже без свопа.
Без указания дистрибутива выглядит как наброс.
Да причём тут своп? Подкачка необходима всегда и везде, а 12309 это проблема наплевательского отношения самого Линуса к багу, мол совокупность и труднорешимость, "да и пошли вы все найух, я не за это зарплату в IBM получаю!".
> Потому что именно там был ярковыраженный 12309до 2.6.18 включительно - не был. А остальное и незачем.
> и плохая реализация многопоточности
то есть ненужного ненужно понатащеного из винды.
Уже качаю Убунту 7.04
там ушлепские ведра из под васянов-неосиляторов.Если что - могу тебе подарить полный комплект 6.какой-то. С всеми power64 и так далее.
Там как надо ведро (в смысле таких же васянов-неосиляторов, но без 12309)Убунта очень долго не могла нанять хотя бы одного чувака, способного хотя бы тривиальные копипасты из lkml делать, не то что понимать зачем.
> Протокол TIPC изначально разработан компанией EricssonА модуль - ими же?
Так, интересный небэкдор просто...
Это же эриксон, они под АНБ дырки делают.
А потом опсосы по всему миру покупают это за много денег и ставят себе.
Как и циска когда-то коммутаторы в Иран поставила...
Так это опсосы тупые, или Эрикссон умный?
никогда такого не было - и вот опять :-(
Опять с памятью накосячили. Ну как же так!
Надо же было просто взять и написать хорошо, а не вот это все!
> Подразумевается, что размер названия алгоритма фиксирован...Это из той же оперы, когда придумывали gets: "Подразумевалось, что юзер не введёт символов больше, чем размер буфера".
Ты что, "джентельменам верят на слово", негоже проверять входные данные, на это же тратятся ценные тики процессора!
Когда не знал ни о каком очередном ненужно протоколе, а оно - опять с дырой. Кто бы мог подумать да и было ли ему - чем.Но в модных современных системах ненужнопротоколы загружаются сами по себе, админу не надо для этого ничего делать.
> Кто бы мог подумать да и было ли ему - чем....разработан компанией Ericsson.
точно. кругом враги.Не вылезай из под кровати!
Уязвимости в ядре становятся обыденностью. Чтобы читатель не заснул на третьей строчке, напишите, например, какой изощрённой казни подвергли того, кто накодил эту уязвимость. "Линус карает животворящим перстом презренного ментейнера, осквернившего..." ну и т.д.
> Уязвимости в ядре становятся обыденностьюА вот нефик компилировать в ядро всякую всячину от всяких эриксонов и Ко.
А в BHYVE? Есть?
Удивительно, необычно, для 34 федоры зачем то решили собрать старое ядро (5.12.19-302.fc34) с исправлением:
https://koji.fedoraproject.org/koji/buildinfo?buildID=1852591
Justin обкурился походу.Это ядро уже 100 лет как не поддерживается.
Сглаженное линукс ядро не подвержено уязвимостям.
Чтобы открыть уязвимость, необходимость сперва устранить сглаженность - активировать какую-нибудь специфическую настройку или запустить ненужный модуль ядра.
прикладная топология? сглаженный рефлексный линуксоид в вакууме (никакой неопределенности, осиянная выверенность) с автономным парсером (пересоздается на ресете), процессором (горячо заменяется на безопасный прямо с завода), драйверами (выбранными из сотен, предоставляемых вендорами от щедрот).
Ужас
Если модуль не загружен - уязвимость митигирована?