Компания Qualys выявила уявзвимость (CVE-2021-4034) в системном компоненте Polkit (бывший PolicyKit), используемом в дистрибутивах Linux для организации выполнения непривилегированными пользователями действий, требующих повышенных прав доступа. Уязвимость позволяет непривилегированному локальному пользователю повысить свои привилегии до пользователя root и получить полный контроль за системой. Проблема получила кодовое имя PwnKit и примечательная подготовкой рабочего эксплоита, работающего в конфигурации по умолчанию большинства дистрибутивов Linux...Подробнее: https://www.opennet.me/opennews/art.shtml?num=56580
> а следующую за пределами буфера память как далее идущее содержимое массиваHaha, classic. Причем хорошо выдержанная, с мая 2009.
Тут вчера была новость что туда JS движок добавили и люди пишут что "кранты Polkit", боятся что оно теперь превратится в решeто, уязвимости полезут.
Так вот, хорошая новость что JS не поменяет защищенность Polkit.
Плоха - оно и так решeто :(
Но ведь дело может быть и не в программисте и не в языке. А в том что кто-то специально оставил лазейку для кого надо (может для себя). И от этого не застрахован никакой язык никакой программист и никакой опенсорсный проект.
А как же ревьюверы! А как же ментейнер!
А как же тысячи глаз про которые я каждый раз слышал в темах "почему open source круто, а корпорасты отстой"!?Если язык не позволяет тебе выйти за границы массива by design, и придется написать специальных кодов чтобы это сделать, то допустить ошибку или оставить закладку становится сложнее.
И шанс что ревьювер спросит "а нафига тут это" значительно выше.
а какова вероятность обнаружения и исправления аналогичной ошибки в компоненте с закрытым исходным кодом?
0±ε
Вероятность не может быть отрицательной величиной. В худшем случае случае это "пук в лужу", в лучшем у вас эпсилон равен нулю (что, в принципе, так же "пук в лужу" но не столь заметный)
С формально-математической точки зрения, может, и не может быть отрицательной. А вот с бытовой -- элементарно: это когда что-то неожиданное или нелепое (и, соотвественно, неучитываемое) активно препятствует наступлению события.
Если каждый прожитый день уменьшает вероятность прожить следующий, будет ли скоро вероятность прожить еще один день вообще отрицательной? Нет, она просто будет стремиться к нулю. Даже если башку прострелят, вероятность не станет отрицательной. Не занудства ради.
Но производная вероятности может.
Которую придется искать в утечках (если они были) или проводить реверс инжиниринг (что весьма трудозатратно - читай дорого).
А тут открываешь гит и тебе на блюдечке все кода.
Просто применяешь анализатор кода и смотришь на все подозрительные места. Фиксить их все равно не будут до нахождения CVE))Так что да, вероятность обнаружения ошибки в закрытом обфуцированном коде меньше.
Security through obscurity ещё никому не помог. Либо помог, но ненадолго.
Громкое заявление, просить пруфы я коненчо не буду, тк сомневаюсь что они есть.
Но если вдруг есть какие-то исследования на эту тему - буду благодарен
В каких утечках? Проспись. Эту уязвимость продадут всем кто заплатит от государств до частных организцаий и еще перепродажу уязвимостей организуют. И ты об дыре узнаешь только тогда, когда её из праздного любопытсатва купит какой-нибудь исследователь безоасности за недого и не выложит куда положено только чтобы показать какой он крутой исследователь безопасности.
> В каких утечках?в утечках исходного кода естественно
> Эту уязвимость продадут всем
lol, чтобы что-то продать, нужно что-то найти
а где найти легче мы уже обсудилиИ что мешало найти и продать кому-то эту уязвимость? Если код открыт то хакеры постесняются продавать эксплойт? Скажут "ой, это opensource, не будем продавать за много денег, лучше патчик напишем и отправим"
Или любую другую уязвимость типа heartbleed, bashdoor и прочих культовых дыр в решете?
> И ты об дыре узнаешь только тогда
12 лет оно жило в кодах, наверное это нормально
Всё ясно отбитый. Что искать? Разработчики уже заложили уязвимость её не надо искать надо стричь купусту, а ты её никогда сам не найдешь.
Для кого исходный код закрыт, а для кого исходный код вполне себе доступен по работе. По ту сторону тоже пишут код, тестят, ищут ошибки и исправляют. Вот лично на опеннете не всегда докладывают, это да
> По ту сторону тоже пишут код, тестят, ищут ошибки и исправляют.По остаточному принципу. А ещё иногда добавляют бэкдоры. И даже руководство не всегда в курсе.
> в открытом ПО
надо безопасно - взял-проверил или нанял тех, кто проверит.
> а какова вероятность обнаружения и исправления аналогичной ошибки в компоненте с закрытым исходным кодом?Справедливости ради, хоть я и не безопасник, но посетил пару выставок, и хочу сказать, что есть автоматические тулзы, которые ищут уязвимости прямо в ассемблере. Поэтому вопрос только в том, станут ли искать эту уязвимость.
Привести пример просто: Windows
Значительно ниже ДЛЯ ВСЕХ, включая злоумышленников. +Здесь потребовалось >10 лет чтобы решить проблему, думаю не нужно объяснять, насколько это длительный срок для IT. +С открытым кодом злоумышленник всегда может следить над тем, какие производятся изменения в коде. Закрытую систему разработчик может менять как ему вздумается и даже найдя уязвимость, её могут косвенно и/или недостаточно пофиксить при обновлении, однако злоумышленник уже не будет ничего об этом знать. Многое из сказанного также относится к любимой коммуняками лицензии GPL, хотя на практике её использование вне ЗАЩИТЫ проектов (например Blender использует GPL - и это БЛАГО, т.к. все наработки навсегда защищены от корпоратов, при этом это ПО никак не связано с безопасностью). Что до Linux - так его и так используют корпорации (создавая свои коммерческие дистрибутивы, где формально ТОЖЕ открыты исходники, но фактически, чтобы получить к ним доступ - нужно пройти через бюрократический ад, при этом несмотря на то, что GPL (не LGPL!) предписывает открывать ВСЕ исходники, если задействован GPL-код, на практике это обходят с помощью прослоек на MIT-подобных лицухах (это на деле тоже запрещено GPL, НО В РЕАЛЬНОЙ ЖИЗНИ этот клубок лицензий никто распутывать не будет! Разработчики здесь бесплатная рабочая сила, которая запросто не сможет даже СВОИ СОБСТВЕННЫЕ наработки использовать в личных проектах не открывая код. К сожалению здесь никогда не поймут разницы, когда GPL используется во благо, а когда с целью тебя поиметь. GPL и LGPL хороши для сравнительно небольших и заведомо НЕКОММЕРЧЕСКИХ проектов, в противном случае GPL имеет уже не корпоратов, а корпораты имеют всех GPL. Минусуйте!
> А как же ревьюверы! А как же ментейнер!Полагаю, они смотрят, чтобы выглядело корректно и работало как задумано, а не ищут, как в коммите можно извратиться - память лишнюю прочитать или как LD_PRELOAD с левой либой воткнуть.
>тысячи глазКОГДА ТЫСЯЧИ ГЛАЗ
@
ОКАЗЫВАЮТСЯ ШОКОЛАДНЫМИ
> И от этого не застрахован никакой язык никакой программист и никакой опенсорсный проект.Надо было коммунизм доделывать )
Не "JS движок добавили", а заменили один JS движок, на другой.
Ну, если уже цепляться к словам, то не "заменили один на другой", а добавлен еще один. Потому что предыдущий (пока) не выпилили. Но принципиально это ничего не меняет.
Ну нет, это не цепляться. Всё-таки «не было, а теперь есть» немного отличается от «сорта сортов».
Ок, принято.
Но это не помешало комментаторам писать "Боже, пропал дом!"
> JS движокОн там всегда был. Только раньше требовался жс из файрфокса, а теперь на выбор либо из ff либо ducktape
> либо ducktapeТак его всё таки добавили?
> Тут вчера была новость что туда JS движок добавилиЭтой новости лет десять уже. Причём душевнобольных шляпников хватило на то, чтобы потащить туда сразу mozjs...
> душевнобольных шляпниковОни только прикидываются. За mozjs в средстве повышения привилегий люди в строгой форме одежды сделали им хорошее анонимное финансовое пожертвование.
Там, ЕМНИП, какой-то древний mozjs, писанный альтернативно одаренными, считающими, что их поделка слишко много знает об окружении.
Вчера вечером обновился. Все тихо, спокойно. Void Linux. Люблю роллинг-дистры.
👍🏻
Манжаба тоже ничего, прилетел апдейт сегодня
В CentOS 7 тоже сегодня прилетел.
А я люблю троллинг-дистры. Arch, ALT, FreeBSD например
на FreeBSD нет systemd, а какой без него троллинг ?
FreeBSD делает больно иначе.
Когда иксы слетают, то это не боль. Это что-то другого уровня. Что-то типо всего спектра боли, что-то типо радуги.
> Когда иксы слетают, то это не боль. Это что-то другого уровня. Что-то типо всего спектра боли, что-то типо радуги.Или что-то типа рассказов "Как оно там на БЗДах все на самом деле, опеннетный сборник правдивейших слухов о БЗДах, том 118"
ps a -o start,comm |grepi xorg && uname
17Dec21 Xorg
FreeBSD
В Слаке:Wed Jan 26 04:37:35 UTC 2022
l/polkit-0.120-x86_64-2.txz: Rebuilt.
[PATCH] pkexec: local privilege escalation.
Thanks to Qualys Research Labs for reporting this issue.
For more information, see:
https://blog.qualys.com/vulnerabilities-threat-research/2022...
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-4034
(* Security fix *)
Да, дары. Да, Линукс. Зато опубликовано и залатано."Если мне докажут, что Линукс лежит вне сферы истины, я откажусь от истины и останусь на Линуксе." Ф.М. Достоевский
> Да, дары. Да, Линукс. Зато опубликовано и залатано.Да, такие вот дары РедГада. Кушайте, не обляпайтесь!
мммм хочу что бы они меня поглотили, полностью
> мммм хочу что бы они меня поглотили, полностьюМ-м-м, вы, пожалуй, сайтом ошиблись, батенька ( ͡° ͜ʖ ͡°)
> дарыБойтесь данайцев, дары приносящих? :)
Лёня Поттеринг и дары Линукса
А ведь прикольно получилось!
Ну вот что за новости унылые пошли. Раньше всегда предлагали файл, который нужно скомпилировать, чтобы посмотреть на уязвимость, а тут пилите сами. Никакого уважения к сообществу. То что DEшки завязаны на udisks и тот завязан на полкит, а значит, от него никуда не деться, это конечно немного грустно. Я бы давно выпилил отовсюду -- мне не жалко флешки рутом монтировать раз в месяц
Эксплоит описан во всех подробностях и его элементарно можно повторить, обладая базовыми познаниями о работе execve (которые и так описаны в новости) и изучив сигнатуры функций iconv чтобы повторить их в своей злой либе (либо взять сам iconv и сделать злым уже его).
Вот я и говорю, 0 уважения, призывают тратить время на бесполезную хрень.
Пф, за что тебя уважать-то? За лень и неспособность подумать головой, поучиться и применить это на практике? Специалисты спасибо скажут за готовую пошаговую инструкцию к действиям, мамкины хакиры будут требовать всё готовое забесплатно и даже потом выражать недовольство "а чиво ысплоет неработаит". Учись, уважаемый ты наш.
> бесполезную хрень.Вот тем более. Тебе оно не нужно, а требуешь. Тебя никто не призывает это делать, особенно если тебе самому это не надо.
Классная уязвимость.
>Проблема пока не исправлена в Gentoo и Arch Linux.https://github.com/archlinux/svntogit-packages/commits/packa...
Исправлено 15 часов назад.
> в Gentoo и Arch Linuxесли это логическое И то
ЛОЖЬ И ИСТИНА = ЛОЖЬ
мб тебе в школу сходить на риторику?(проблема не исправлена в gentoo). (и животноводство)
> используемом в дистрибутивах для организации выполнения непривилегированными пользователями действий, требующих повышенных прав доступа.Зачем пользователю иметь повышения прав?
(у меня только для ping & записи CD/DVD болванок надо маленькое повышение, и хватает CAP)
Связку systemd, dbus, polkitd+JS надо выкидывать полностью со всех Linux дистров!
Какой самый удобный формат для написания и просмотра правил контроля доступа?
https://www.linux.org.ru/forum/security/15600248?cid=15622030
Классической системы контроля доступа вполне хватает. CAP делает ненужным SUID вообще для еденичных исключений.Дистрам надо занятся настройкой DAC и выпиливанием systemd, dbus, polkitd+JS.
Ненужнисты ненужны
systemd, dbus, polkitd+JS - не нужны.Нужны те кто собирает Linux дистры без них.
Devuan кроме системд отвязывают от дбаса еще софт. Насчет полкита - хз.
https://www.opennet.me/openforum/vsluhforumID3/126553.html#89Зачем использовать JavaScript для написания правил контроля доступа?!!
JS, сам по себе, вобщем-то, неплохой язык, который многие не любят из-за того, как его используют, типа раздражающих свистелок и тарахтелок на веб-страницах или помойки NPM.
Я исправлю предыдущего оратора, зачем тьюринг-полный язык для написания правил контроля доступа?
А почему бы нет? Ставить людей перед необходимостью учить ещё один язык, специализированный для описания правил безопасности - подозреваю, это не облегчит жизнь простому труженнику ИТ.
Как бы людям допущенным к написанию правил безопасности JS знать незачем, поэтому они его скорее всего не знают, так что им в любом случае его учить.При этом в критическую систему безопасности добавляют сомнительный и сложный интерпретатор ещё более сомнительного и сложного ЯП.
Какие знания-умения-навыки должны быть у людей, допущенных к написанию правил безопасности - это решают те, кто допускает (или не допускает) людей к написанию правил безопасности, а не анонимы с Опеннета
Потому что он для этого избыточен. зато, теоретически, правило полкита может быть движком для doom.
Я рекоменду вам почитать статьи отсюда: https://langsec.org
Там очень хорошо и доходчиво объясняют почему нет.
В двух словах, тезисно, пересказать можете?
Если коротко не делай неправильно, делай правильно. Мы за всё хорошее против всего плохого. Лучше быть сытым и богатыми… Ну дальше вы поняли.
Генеально!
Потеринг сэкономил на разработке формата правил контполя доступа и написании его компилятора тупо взяв JS.Результат - не читаемый код контроля доступа собираемый сомнительным компилятором.
Контроль доступа уже есть в ядре: DAC, CAP, MAC и следует использовать именно его, а не сказки systemd-dbus-polkitd+JS.
Вот совершенно не хочется выступать адвокатом авторов полкита, но, подозреваю, они исходили из того, что найти жабаскриптера проще, чем спеца по безопасности со знанием, например, CIL (или какие там ещё есть языки для определения правил доступа).
> они исходили из того, что найти жабаскриптера прощеПотерингу тупо не хотелось придумывать формат правил контроля доступа и писать его компилятор, а под рукой оказался свободный быдлокодер на жабаскрипте, которого отовсюду погнали и даже быдлосайтики писать не доверяли. Вот он, потерингу, идеально подошел для написания правил контроля доступа! Результат его работы эта новость.
> проще, чем спеца по безопасности со знанием, например, CIL (или какие там ещё есть языки для определения правил
https://www.linux.org.ru/forum/security/15600248?cid=15622030
Здесь все разъяснено: https://www.opennet.me/openforum/vsluhforumID3/126553.html#89JS для контроля доступа не подходит из-за плохой читаемости правил человеком.
Ну как? "Просто"ведь. Просто и пнятно.
печально конечно, но как обычно для эксплуатации нужно много черной магии.
ценность соотв. сомнительна.
Вовсе нет. Не нужны никакие особенные привилегии и экзотические параметры конфигурации, ничего. Достаточно всего лишь обычного юзера и места, куда можно положить фейковый iconv, ну и возможность запустить программу-эксплоит.
Пароль от суперюзера уже не нужен?
Для эксплуатации уязвимости не нужен. Достаточно пароля юзера (например, чтобы примонтировать флешку), если так настроен дистр, а большинство настроены как раз так.
ну примонтируешь... а там noexec, как и у хомяка.
> Проблема присутствует с мая 2009 годаМоя Ubuntu 8.10 не подвержена, ура!
Ничего себе, даже в SLES 11 используется более старый PolicyKit, хотя дистр выпущен в 2009 году. Похоже, что заморозка кода перед релизом была несколько раньше, чем май 2009
Void Linux дико стагнирует после того, как толпа SJW-макак выгнали создателя и по совместительству единственного человека, кто умел программировать на низкоуровневых языках.
Войд это, конечно, хорошо. Но когда там уже появятся необязательные зависимости?
У них уже три года lightdm требует accountsservice, несущий больше вреда чем пользы.
отвяжи. это ж изи-пизи.
зеня, как семейная касса собака старая
в Gentoo уже положили патч в sys-auth/polkit/files/polkit-0.120-CVE-2021-4043.patch
так что можно вычеркивать
надо будет обновиться дома вечерком за кружкой теплого какао... Гента one love!
yaaawn
Если у вас в Gentoo установлен polkit - вы неверно используете Gentoo. Вам лучше Ubuntu поставить. Или на худой конец Arch.
В Ubuntu нет polkit, прикинь.
Странно: у меня файл pkexec нашёлся :-(
Удали его! Это - южноафриканский омега-вирус!
Всё так, polkit нет, а pkexec есть. Догадаешься, как так вышло?
Неужели systemd-<впиши любое имя>d?
что значит "неверно"? в генте не может быть "неверно" по причине отстутсвия навязывания конкретных решений.
"не проверяет корректность" - вот так пишут опень сорц - не проверял, думал, считал что: все умные, старой доброй Foolproof не надо, шаг в сторону из комстроки и расстрел
Так а кто ж знал что нулевой элемент массива это не путь до текущей программы?
Любой, хоть раз в жизни открывший man execve.
Автор данной программы его видимо не использовал, потому и не читал про него.
Да знаешь, и клозет сорц пишут точно так же. Даже хуже, потому что думают, что никто никогда не заметит.
Это бомба
> убрать флаг SUIDа что при этом отвалится?
Уязвимость доступна только локально.
Расходимся..
Запускаешь локально скайп от отдельного ограниченного юзера, а он раз и меняет самостоятельно все системные настройки и сливает твои секретные фоточки в МС.
Фатальная ошибка уже на первом шаге так-то.
На "запускаешь"? Сочувствую.
> локально скайпА если у меня нет скайпа? Установишь через синаптик? А пароль уже не нужен?
Ага, а завтра у тебя на сервере, какой нибудь пакет из npn, gems, cpan или PyPL развернёт бакдор от рута...
У меня нет на сервере Руби или Питона..
Ну pkexec на сервере -- это что-то за гранью, но найдутся ведь и такие...
В каждой второй установке убунты по умолчанию.Пол-дня занимался тем что его отовсюду выковыривал. Вместе с ценными и необходимейшими вещами типа системного набора ненужных переводов ненужно.
Но это в убунте. В редхатоидах на него завязан NetworkManager. Как же ж еще т-пому юзверю на сервере не поменеджить сеть которая у нормального сервера одна и гвоздем должна быть прибита?
По умолчанию в оракле 8.5, минималке, например.
Эх, такую великолепную закладочку и ту прикрыли.
Вот такой сидишь себе, пишешь программу, думая, что "By convention, the first of these strings (i.e., argv[0]) should contain the filename associated with the file being executed."А потом твою программу запускают через execve описанным в новости способом, потому что, оказывается, "On Linux, argv and envp can be specified as NULL."
А виноват создатель программы, конечно же.
P.S. Ладно, пошутил. Конечно, к системным приложениям другие требования, и создатели таких программ должны разбираться в окружении, для которого пишут. Но подстава всё равно занятная.
> P.S. Ладно, пошутил. Конечно, к системным приложениям другие требования, и создатели таких
> программ должны разбираться в окружении, для которого пишут. Но подстава всё
> равно занятная.https://gitlab.freedesktop.org/polkit/polkit/-/blob/a2bf5c9c...
> * Copyright (C) 2009 Red Hat, Inc.
>
"By convention" означает, что так договорились, но в принципе может быть и иначе. И обязанность любого программиста — всегда об этом помнить, потому что злоумышленник не обязан вести себя так, как договорились.
https://lore.kernel.org/lkml/20220126043947.10058-1-ariadne&.../так-то косяк в ядре
// b.
Это так в ядре прикрывают юрерспейс. Теперь в новых программах можно не проверять argc! Ядро ведь все обновили... ;))
> А виноват создатель программыЕстественно, ведь он не смог прочитать слово "should"...
...и не в курсе про defensive programming.
> подстава всё равно занятная.похоже на бэкдор.
И кто его сделал? Скорее это похоже на непонимание кодерами странноватых краевых случаев в api. В привилегированной программе сие достаточно фатально, увы.
> Вот такой сидишь себе, пишешь программу, думая, что "By convention, the first
> of these strings (i.e., argv[0]) should contain the filename associated with
> the file being executed."should - это пожелание к вызывающей функцию main() стороне, а не гарантии для клиента.
Что еще можно ожидать от любителей джаваскрипта?
Джаваскрипт со своими любителями тут не приделах. PolicyKit, в котором нет JS, и который до сих пор используется в дебиане и убунтах, тоже подвержен.
> pkexecКому нужна это терминально-консольная программа?!
Не знаешь — промолчи, авось сошёл бы за умного. Это та самая программа, которая рисует тебе окошечко с запросом пароля, когда ты что-то системное типа пакетного менеджера запускаешь.
Точно не polkitd?
pkexec это кусок polkitd.
Пруф: See the pkexec manual page for more details.Report bugs to: http://lists.freedesktop.org/mailman/listinfo/polkit-devel
polkit home page: <http://www.freedesktop.org/wiki/Software/polkit>
Ты еще скажи, что dbus - это кусок того самого. И отдельный пакет policykit-gnome, который через dbus показывает графическое окошко с запросом пароля - это тоже кусок того самого.
Что полкит, что дубас - куски этой самой субстанции.
> Разработчиками pkexec подразумевалось, что первая запись массива argv всегда содержит имя процесса (pkexec), а вторая либо значение NULL, либо имя запускаемой через pkexec командыКакая прелесть...
> с флагом SUID rootСам факт существования таких флагов в современном мире - большая ошибка и пережиток прошлого. Такие средства безопасности придумывались в годы когда:
- пользователь понимал, как работает его система
- пользователь понимал, что делает та или иная программаВ условиях, когда правила игры по работе с аргументами оболочки могут изменить в любой момент и когда доступ к файловой системе доступен для приложений, работа которых по факту никем не проверяется, файловой системе доверять нельзя. Нельзя располагать в её метаданных никакие параметры безопасности.
То что меня по-настоящему беспокоит - это улюлюканье бандерлогов в комментариях, про воображаемую безопасность и необходимость скомпилировать себе вирус. Дурачки.
Capability Access Control в Linux - это шутка такая. Посмотрите на то, какие в ядре объявлены капабилити и взгляните на sysadmin. Это одно название, а не разделение прав. Тем временем в других ОС научились объявлять и рассчитывать динамические капабилити, ну да не будем, тут народ не понимает.
Использование Linux без включенного и настроенного SELinux нельзя. Кроме того нужна рабочая подтюненная под задачи Targeted Policy... которую писать самим с нуля - жуть. Поэтому SELinux это первое, что пользователи себе отключают. А тем временем AppArmor с архитектурной зависимостью от путей FS не далеко ушел от SUID-битов. Опять же это всё MAC. MAC зачастую оверкилл, но без него в линуксе нет безопасности. Я уже не говорю про натурально обоccанныe Posix ACL, которые никем не вменяются...Глупая вера в то, что все уязвимости в Linux нужно сначала скомпилировать и собрать - это заявление в стиле "Linux никому не нужен". Это не так. Чем больше Linux используется на предприятиях тем больше его будут ломать.
И вот теперь людям приходится иметь с этим дело... 12 лет уязвимости. Если бы она была живая, то уже в 7-й класс бы пошла, впрочем, как и половина местных аналитиков.
Лайкосик не глядя
> Использование Linux без включенного и настроенного SELinux нельзя.Как же умиляют эксперты по безопасности без модели угроз и глобальные выводы.
> эксперты по безопасности без модели угрозЭксперты говорят сначала об уровнях безопасности.
Модель угроз - придумали маркетологи чтобы спаривать лохам овно не удовлетворяющее даже самым минимальным уровням безопасности.
Это в каком простите месте AppArmor про MAC?
DAC оно, причём тупейшее. Без шансов описа́ть multi-level.> Нельзя располагать в её метаданных никакие параметры безопасности.
Критикуя, предлагай.
> Это в каком простите месте AppArmor про MAC?Кругом пишут что MAC, врут ?
> DAC оно, причём тупейшее. Без шансов описа́ть multi-level.
Видимо слишком сложно для первого PhD, иди за вторым.
> Критикуя, предлагай.
А вот это правильно ! Предлагаю вам подтянуть знания по предмету.
> пользователь понимал, как работает его системаПока сопроводитель пакета понимает, а разработчики дистрибутивов требуют, сомнительное ПО с SUID флагами в пакеты не попадает. Что попадает, то открыто для аудита. Действуй, безопасник!
> приложений, работа которых по факту никем не проверяется
Вот поэтому "фанатики" требуют раскрытия исходного кода. Чтобы всеми проверялся. А кто не проверял, тот сам виноват.
Но вот сложность и языковое разнообразие кода в наши дни неконтролируемо растет - это действительно проблема. Проблема пользователей ПО. Станет проблемой производителей, подрядчиков и заказчиков - будут решать. В строгом соотвествии с экономической целесообразностью мероприятия. Капитализм - на сегодня главная дыра в безопасности ПО и других сфер жизнедеятельности человека.> взгляните на sysadmin
Претензия к разработчикам приложений. Им - "нИнужнА!"
> без SELinux нельзя
Зависит от области применения. В большинстве случаев - можно.
> AppArmor с архитектурной зависимостью от путей FS
От имен процессов. В чём проблема? Если установка ПО осуществляется контролируемо, всё, что исполняется, доступно на запись только суперпользователю, исполнение из других каталогов заблокировано при монтировании FS. Если иначе, то архитектура AA - меньшая из проблем.
> Posix ACL, которые никем не вменяются
Применяются, но обычно для разделения доступа в общедоступные каталоги.
> 12 лет уязвимости
В ПО, которым 12 лет никто, с настолько высокими требованиями безопасности, не пользовался. Будут применять - будут находить быстрее. Если рыночек не порешает иначе (см. выше).
> Тем временем в других ОС..
Нет namespaces, cgroups и bpf и много других незаслуженно забытых опеннет-аналитиком buzzwords.
На которых, помимо прочего, современная безопасность Линукса твердо стоит и уверенно смотрит в своё контейнеризированное будущее.
"Кто хочет — ищет способ, кто не хочет — ищет причину." - Сократ.
Вот у фанатиков всегда нужны виноватые и причины, чтобы свалить с себя ответственность на этих виноватых. Весь ваш комментарий - иллюстрация этого принципа.> Пока сопроводитель пакета понимает, а разработчики дистрибутивов требуют, сомнительное ПО с SUID флагами в пакеты не попадает. Что попадает, то открыто для аудита. Действуй, безопасник!
У нас есть доверенное ПО, которые мы (сопроводители пакетов, разработчики дистрибутивов) разрешаем и добавляем в пакеты. По сути дела "мы" в предыдущем предложении - бесполезные "решалы", которые в случае любой уязвимости прячут голову в песок. Ответственность перекладывается либо на пользователя (сам себе делай аудит нашего барахла), либо на разработчика (мы не разрабатывали, это они багов понаписали). Бессмысленная прокладка, напоминающая советских чиновников. Вы свой совет перечитайте вдумчиво раза 3 и осознайте, что никакого практического смысла он не несет. Люди и так производят эти аудиты и ни на грамм не доверяют меинтейнерам-решалам, потому что с них спросу никогда нет, даже в случае контрактной техподдержки платных дистров. Даже наоборот, проценка тикетов на исправление как раз провоцирует к тому чтобы итоговый продукт не работал без напильника и постоянной подписки на саппорт.
> Вот поэтому "фанатики" требуют раскрытия исходного кода...
И как, я стесняюсь спросить, фанатичное скакание меинтейнеров вокруг открытости исходного кода спасает от 12-летних уязвимостей? Никак.
> Капитализм - на сегодня главная дыра в безопасности ПО и других сфер жизнедеятельности человека.
Пффф... Пользователи виноваты, весь капитализм виноват, разработчики виноваты, производители, подрядчики, заказчики - в общем всё и вся, кроме священных фанатиков. Абсолютно бесполезный и контрпродуктивный способ мышления, весьма характерный в советское время, кстати. "Ничего не знаю, моя хата с краю".
Можно долго и упорно объяснять как мы старались, как стремились, как хотели, как нам все мешали и поэтому мы провалились, но в конечном итоге зачет идёт в социальном смысле "по последнему", а в экономическом меряется результат. Вот так же примерно и с SUID-битами из 70-х. Их же не убирают не потому что они хорошие, а потому что не смогли ни на кого ответственность переложить. Проблема как раз не в капитализме, а в том, что ответственность на себя никто не берёт даже за деньги.
> Нет namespaces, cgroups и bpf и много других незаслуженно забытых опеннет-аналитиком buzzwords. На которых, помимо прочего, современная безопасность Линукса твердо стоит и уверенно смотрит в своё контейнеризированное будущее.
Ну эти подсистемы - переосмысление ряда старых API, из BSD и WinNT. Они все инновационные только для тех, кто кроме Linux других ОС не видел. Кроме того, контейнеризация так популярна в Linux именно из-за отсутствия стандартов на дистрибьюцию без прокладок-меинтейнеров и отсутствия встроенных средств безопасности по контролю за инородным ПО. Подход в стиле "поставили мимо репозиториев - ваши проблемы" - это глупый контрпродуктивный подход. Опять же, посмотрите на мусор в докере, демон которого запущен из-под рута с выключенным SELinux, потому что девляпс скриптом с докерхабчика собирает. Эта помойка - следствие нежелания привести в порядок основную систему и перекладывания ответственности. Здесь не чем гордиться.
> советских чиновников
> советское времяКакое-то натягивание советов на глобус. Из советского у нас остались лишь воспоминания. Всё много лет как растащено и развалено, но СССР уверенно продолжает быть первым кандидатом в виноватых во всех нынешних и грядущих бедах по версии невинных буржуазных элит и им сочувствующих.
> не работал без напильника и постоянной подписки на саппорт
И кто это вам такую экономическую модель навязал? Советские чиновники?
> сопроводители пакетов, разработчики дистрибутивов - бесполезные "решалы"
Для многочисленных пользователей дистрибутивов эти отвественные люди регулярно доставляют полезные исправления известных уязвимостей. Совершенно бесплатно.
> Люди и так производят эти аудиты и ни на грамм не доверяют меинтейнерам
Неужели. А почему в этот раз проглядели и ищут среди последних виноватого?
> как скакание вокруг открытости исходного кода спасает от 12-летних уязвимостей?
Очевидно как. Уязвимость нашли и исправили. Будь программа популярнее, нашли бы раньше.
А сколько проблем регулярно предотвращается, благодаря открытости кода? Нет, мы будем носиться с типичной ошибкой выжившего, как с писаной торбой, многозначительно воздевая руки к небу и яростно треся кулаками.> всё плохо, потому что в капитализме ответственность на себя никто не берёт даже за деньги
И не поспоришь. Но главное, что задачу поставить некому. Капиталист только увеличением прибыли интересуется. А тут же одни расходы. Васяну тоже некогда исправлять чужой технический долг на голом энтузиазме, ему свой банковский как-то отдавать надо, а жизнь дорожает.
> переосмысление ряда старых API, из BSD и WinNT
Которые нигде дальше попыток осмысления не ушли, а в Линуксе есть и повсеместно применяются. Namespaces - практически бесплатная контейнеризация как для системных процессов, так и для десктопных приложений. BPF позволяет создавать как требовательные к ресурсам промышленные сетевые фильтры, так и гибко-настраевымые под отдельные приложения пользовательские. Тут определенно есть, чем гордиться.
Помоги мне найти конструктивный смысл в твоём комментарии. Я прочитал его 2 раза, но так и не понял за ворохом кусочного цитирования, что именно ты хотел всем этим сказать по существу?Вне мира студенческого романтизма вокруг левых идей, вне мира фанатиков-коммунистов, там где взрослые люди самостоятельно (без дяди-начальника) зарабатывают себе на хлеб и кормят свою семью, существует понятие финансовой ответственности и рисков. При выборе программного обеспечения в корпоративном секторе, куда так суётся Линукс в последние годы, например, за всё нужно платить и всё проценивается. Такова реальность, реальность в которой я живу и работаю. Вся эта наивная идея об альтруизме разработчиков работает вплоть до тех пор, пока кто-то не сунется в корпоративный сектор за деньгами, за которые потом спросят. Мне смешно читать откровенный бред про "многочисленных пользователей дистрибутивов", "доставляющих ответственных людей", но особенно веселит слово "бесплатно".
Проценка рисков и страхование предполагает, что лучше заплатить абонентскую плату за услуги, нежели жрать бесплатный сыр. Когда время простоя бесплатное и никто не работает, а играется, то да... а когда время простоя сервисов стоит денег, дебиан или арч, например, просто так никто не ставит. Ну или ставят делая его закрытый форк для внутренних нужд собственными силами. Из опыта говорю. И про проценку и про построение своих дистров. Когда поработаешь на больших объемах, осознаешь, какая же всё-таки дрянь этот линуксовый юзерспейс.
Я пишу про советстких чиновников, потому что они очень похожи на прокладку-меинтейнера. Есть разработчик ПО, есть пользователь, покупающий софт и есть двусторонний договор между ними. В линуксе же есть прокладка которая лезет между контрагентами. Одним говорит, заключайте договоры (лицензии) так, а не иначе. Потом берут код и переделывают его со своими патчами, которых разработчик не добавлял, но которые нужны для совместимости с их дистрибутивом. А пользователю они говорят, бери софт у меня, потому что он надёжный и с правильными лицензиями. Когда же возникает ошибка, баг, уязвимость начинается игра в горячую картошку. Пользователь идёт к меинтейнеру, меинтернер шлёт к в апстрим. Пользователь идет к разработчику, разработчик шлёт на 3 буквы, потому что ты пользуешься какой-то патченной версией каким-попало васяном. И спросить не с кого. Этот пинг-понг мне и напоминает хождение по советским кабинетам за справками о том что мне нужны справки. Будь там финансовая заинтересованность, проблемы решались бы лучше, но нет...
Обычно фанатики отвечают на претензию выше с стиле "не нравится - плати / делай сам". Но они нищие теоретики и не пробовали так делать. В случае наличия платного саппорта... в конечном итоге тот же RedHat не далеко ушел от МС... те же проблемы. С той лишь разницей, что в линуксе тебе саппорт в лучшем случае навешивает под тебя специфичные костыли, которые не позволяют слезть с этого саппорта. Ведь стандартизации в юзерспейсе нету никакой и мажорные апдейты там платные как проприетарный софт. Кроме того этот саппорт не отменяет целой оравы откровенно бредовых и оторванных от реальности линуксоидов, которых нужно кормить зарплатой, пока они будут втирать о проблемах капитализма, величии линукс над другими ОС и прочем бреде.
Когда ты пишешь про "корпоративный бизнес захочет - починят" ты не понимаешь, что я нахожусь на стороне этого самого корпоративного бизнеса и мне приходится иметь дело как с косорылостью линукс-решений, так и с неадекватностью линукс-админов. Линукс раньше на дух не пускали, пока вендоры не начали так активно впаривать облака тем, кто их не хочет, но если шапка с IBM не справятся с разведенным зоопарком, то народ с деньгами снова вернётся пилить свои ос поверх BSD.
У меня просто совершенно другой опыт работы и взгляд на вещи. Например:
> Неужели. А почему в этот раз проглядели и ищут среди последних виноватого?Меинтейнеры не нужны абсолютно всегда. Нужен стандарт на доставку програмного обеспечения в юзерспейс, и пусть разработчики сами отвечают за свой софт в рамках лицензии/договора. Каждый должен четко отвечать в рамках собственной зоны ответственности.
> А сколько проблем регулярно предотвращается, благодаря открытости кода?
Примерно столько же сколько и при закрытом. Статистику меряли несколько лет назад. Разница в пределах погрешности. Дело в том, что если код открыт это не значит, что кто-то его постоянно читает и производит его аудит. Меинтейнеры портов и прочие дебианосборщики не далеко ушли от пользователей в своей квалификации по этим вопросам. Поэтому цифры +/- в пределах погрешности.
>> всё плохо, потому что в капитализме ответственность на себя никто не берёт даже за деньги
> И не поспоришь...Я откровенно не понимаю, зачем перевирать мои слова и потом сочинять самому себе ответы, но кое в чем ты прав. Я, лично, интересуюсь только прибылью, экономической обоснованностью, честностью и прозрачностью сделок. Не вижу в этом ничего плохого. Мне не нужна бесплатность, я не настолько богат.
>> переосмысление ряда старых API, из BSD и WinNT
>Которые нигде дальше попыток осмысления не ушли, а в Линуксе есть и повсеместно применяются...Попробуй научиться внимательно читать, это поможет тебе в будущем. "Переосмысление ряда старых API" имеется в виду, что решения уже были в другой ОС. Линукс либо копирует в рамках BSD, либо делает свой аналог проприетарного продукта. Ты бы расшифровал бы аббревиатуру BPF а затем аббревиатуру BSD и подумал бы немного. Потом подумал чем отличается eBPF и какое это отношение имеет к переносу обработки пакетов через колбеки в юзерспейс-программу (привет NDIS и WFP). Да и Jails существовали до тонны попыток переизобрести контейнеры в очередной раз. Мне не жалко ни на грамм, не подумай. Просто я не разделяю твой энтузиазм и гордость от слова "совсем".
> Помоги мне найти конструктивный смыслПерестань уже веселиться и помоги себе сам. Я дважды объяснил, почему уязвимости иногда остаются незамеченными так долго (это ни разу не совпадает с твоими наивными представлениями), при каких условиях их находили бы быстрее (тебе это не понравится), и почему в ближайшем будущем в общем случае ничего не изменится (даже если беспрестанно клясти советских чиновников). Но ты не слушаешь, ты всё пытаешься померяться письками.
> особенно веселит
Как ты пытаешься изображать важность и взрослость, кидаясь в меня финансовыми рисками и прочим корпоративным цинизмом. Наверное даже деловой костюм надел, но зря старался, я не оценил.
> студенческого романтизма вокруг
Зарабатывания денег и заведения семьи. Я это проходил в 16 лет, и это не стало пределом моей зрелости. Желаю тебе того же. Но лучше бы тебе обсудить свои психологические проблемы и комплексы с близкими или специалистом, а не со мной и не в Интернете.
> веселит слово "бесплатно"
Именно. По буквам: Б-Е-З-В-О-З-М-Е-З-Д-Н-О. Можешь сам убедиться, только рукава закатай, иначе костюм испачкаешь.
> за всё нужно платить и всё проценивается
Только в пафосном американском кино. Это трудно понять тому, кто работать не привык, специалисту по перекладыванию бумажек с распоряжениями. Который уверен, что написанное на бумажках как-то само-собой материализуется, лишь потрясти чековой книжкой. Но не всё можно купить, тем более - здесь и сейчас. Что-то вовсе не поддаётся финансовой оценке. А за то, что нужно, за то - следует справедливо платить, а не пере- или недоплачивать. Но финансовые капиталисты существуют в какой-то своей, выдуманной экономической реальности. Ценят деньги, но не ценят стоящих за ними материальных ценностей. Как следствие, не ценят людей, стоящих за созданием ценностей, зато переоценивают тех, кто рядом стоял, но готов делиться с оценщиком.
> Меинтейнеры не нужны абсолютно всегда.
Приказчики и болтуны из Интернетов не нужны абсолютно всегда. А люди, которые умеют и делают сложную работу незаменимы, хоть и часто недооценены спекулятивным рыночком.
> Обычно фанатики
Не существуют за пределами твоего воспалённого воображения. Представители СПО, в основном, руководствуются рациональными соображениями. В отличие от мира бизнеса, который погряз в своих внутренних половых разборках и внешних - делёжке капитала. Они живут по деструктивным принципам: "цель оправдывает средства" и "после нас хоть война". Так кто тут слепой фанатик?
> Но ты не слушаешь, ты всё пытаешься померяться письками.
> Но лучше бы тебе обсудить свои психологические проблемы и комплексы с близкими или специалистом, а не со мной и не в Интернете.Токсичность в её современном медийном понимании - это такая форма слабости самосознания, выражающаяся в склонности человека обвинять окружающих в своих собственных проблемах.
Внимательно перечитай комментарии, свои и мои. Это ты рассказываешь о гордости и превосходстве Linux и открытых моделей. Мне же, наоборот, на такие вещи всё равно. И уж тем более мне не нужно показывать незнакомцу в Интернете личностное превосходство. Я подробно описываю иную точку зрения на происходящее, то как всё это выглядит с другой стороны. Нравится тебе это или нет, но такое видение есть.
Пока что это ты обсуждаешь свою классовую обиду на воображаемых капиталистов и обвиняешь их в чем-то, что не имеет никакого отношения к реальности. Причем посмотри на динамику, как в твоих комментариях исчезают технические аргументы и остаётся одна сплошная боль за несправедливость и бедность.
Мне твоя точка зрения, в целом, понятна. И болезненная реакция на некоторые мои слова после твоего последнего комментария стала более-менее понятна. Просто не у всех такие проблемы как у тебя и не надо обобщать. И вот что-что, а не надо переносить ответственность за собственные неудачи на весь мир, капиталистов и на меня лично. Я тебе не доктор, лучше найди себе хорошего терапевта по месту жительства и обсуждай с ним как капиталисты отравляют тебе жизнь. Я не шучу и не издеваюсь. Я абсолютно серьезно советую тебе укрепить моральное здоровье.
Ну я искренне пытался объяснить тебе причину всех _твоих_ бед, жалобы на которые ты выразил несколькими абзацами текста. Но ты либо находишься в фазе отрицания, либо, что более вероятно, делаешь вид, что не замечаешь очевидного. Добавим к этому попытки задеть (по твоему мнению) "больные" для оппонента темы и грубую форму этих провокаций. И получим определение "троллинга".> Токсичность - это
экспрессивно-агрессивная реакция меньшинства на пассивно-агрессивное давление большинства. Не знаю, какое это имеет отношение к делу, но пусть будет для повышения эрудированности.
> исчезают технические аргументы
А они были? Это те, что про советских чиновников? Или про "прокладок"-мейнтейнеров?
> обвиняешь их в чем-то, что не имеет никакого отношения к реальности
Ну ты разберись, в чём же я их обвиняю, а потом давай оценки об отношениях с реальностью. А то как-то несерьёзно.
> боль за несправедливость и бедность
Не вижу поводов для цинизма. Несправедливость и бедность очень даже невоображаемые. Как и те, кто их творит. Просто у кого-то эта боль "меня не обслужили в платном саппорте по наивысшему разряду", "мне не исправили уязвимость ко дню рождения", "мне не доставляют пакеты на блюдечке с золотой каёмочкой". А у кого-то боль такая, что словами это не выразишь, и уж тем более - не как аргумент в споре.
А ведь именно в искоренении бедности и несправедливости и кроется залог решения многих проблем человечества. Общество просто задушило потенциал миллионов своих членов ради нелепой "американской мечты" единиц. Для многих приобщиться к решению _твоих_ проблем - уже большая роскошь, своих неразрешенных проблем хватает, на которые тебе плевать. Так что, хватит уже страдать в интернетах, что кто-то чего-то тебе не сделал, воспользуйся своей исключительной роскошью - исправь это сам.
Просто концепции 60-х пора бы уже закопать.
> Просто концепции 60-х пора бы уже закопать.С большим удовольствием послушаю альтернативы DAC, CAP, MAC, Integrity, Audit от современных гусских "математиков". Чисто шоб прожать.
А кроме ASLR после 1960-тых что-то еще придумали?
В шифровании еще с тех времён сильно продвинулись: открытый/закрытый ключ, диффи-хелман, гомеоморфное.В нащупали, методом перебора простые и быстрые алгоритмы для DAC,CAP, MAC, Itegrity, Audit.
В верификации продвинулись: подписи сорцов, воспроизводимость сборок, мат верификация, spark.
С чисткой персонала регрес полный: отобрали генетический мусор, а людей истребили.
А альтернативы фундаментальным DAC, CAP, MAC, Itegrity, Audit не придумали, рандомищация так себе замена для контроля доступа.
> С большим удовольствием послушаю альтернативы DAC, CAP, MAC, Integrity, AuditMAC - это и есть альтернатива DAC. И все это применимо только к примитивной файловой абстракции из 60-х, и развалилось уже на streams и sockets (которые, кстати, тоже развалились на sctp). Уж разных CBAC, ABAC, FGAC придумано масса. Что с лицом?
> С большим удовольствием послушаю альтернативы DAC, CAP, MAC, Integrity, AuditMAC - это и есть альтернатива DAC. И все это применимо только к примитивной файловой абстракции из 60-х, и развалилось уже на streams и sockets (которые, кстати, тоже развалились на sctp). Уж разных CBAC, ABAC, FGAC придумано масса. Что с лицом?
Просто концепции 60-х пора бы уже закопать.
> когда доступ к файловой системе доступен для приложений, работа которых по факту никем не проверяется, файловой системе доверять нельзя. Нельзя располагать в её метаданных никакие параметры безопасности.EVM слышал? Только рут может изменять метаданные и то не все и не всегда;)
Я метаданные верю, уровень B2 малтикса стараюсь держать!
> Capability Access Control в Linux - это шутка такая ..
Очень хорошая и необходимая вещь для уровня B3. CAP+DAC делают ненужным SUID вообще.
> Использование Linux без включенного и настроенного SELinux нельзя.
Большое заблуждение и ошибка.
Использовать Linux без настроенного DAC для дисков и оперативы нельзя, иначе не получите систему даже уровня C1, даже с включенным SELinux.
> Опять же это всё MAC. MAC зачастую оверкилл, но без него в линуксе нет безопасности.
Ложь и ересь.
Дети, запомните на всю свою жизнь, полностью безопасная ОС защищена от всех вирусов уже достигается на уровне C2. С использованием только расширенногои продвинутого DAC, без любого MAC. Если кто говорит что защищенность OS достигается MAC - лжец ко орый хочет впарить вам овно!
Защиту OS дает DAC. MAC дает гарантии изоляции вируса и ограничение распространения в случае компроментации DAC.
Но чтобы дать гарантии изоляции и не распространения вируса в зараженной системе с помощью MAC его надо для этой цели разработать. А смузи Эксперты правила MAC пишут не для дачи гарантий изоляции, а для безопасности которую должены обеспечивать правила DAC.
> Использование Linux без включенного и настроенного SELinux нельзя.а мужики-то и не знают! а кто запретил, где закон-то почитать?
а вообще — хреново быть тобой, конечно. что, опять xp-шка на станке упала и начальство отлюбило? ну, бывает, чо…
Какие-то двойные стандарты. Локальная уязвимость на windows - "а, дырявая ось, мы знали это". Такая же ошибка на лине - " запускаешь локально скайп.."
> Какие-то двойные стандарты.Согласен, на лине пока еще можно не устанавливать дырявые сервисы в отличии от полностью самодеятельного windows
Напомните а зачем вообще этот polkit нужен?
The following packages will be REMOVED:
accountsservice* language-selector-common* libpolkit-agent-1-0*
libpolkit-backend-1-0* libpolkit-gobject-1-0* policykit-1*
0 upgraded, 0 newly installed, 6 to remove and 4 not upgraded.
Ведь нельзя же ж пользоваться акаунтом рута чтоб банально выбрать _общесистемную_ поддержку языков.
В _серверной_, с-ка, системе. Непременно нужен нескучненький враппер с вж0поскриптом.
У меня так:
apt-cache rdepends policykit-1 --installed -i
policykit-1
Reverse Depends:
libvirt-daemon-system
пользуемые libvirt должны же страдать? Но тут хотя бы какие-то основания есть.
language-selector-common (устанавливающийся по умолчанию) - это вот совсем ненужный мусор сам по себе, так еще и непременно надо его запускать от т-пого юзверя.
А вот где тот замечательный выводок незаконнорожденной помеси centos-а с исправленным polkit?
Он не «взлетел»
В серверных установках Debian 11 такого пакета вообще нет среди установленных.В Linux Mint 20.3 прилетело обновление с исправлением уязвимости.
А вот для Альт Рабочая станция К 9 обновлений всё ещё нет =))
> А вот для Альт Рабочая станция К 9 обновлений всё ещё нет =))Подёргал коллег -- тем временем стоит потихоньку перебираться на десятую ветку (и туда уже тоже прилетело).
Благодарю. Ну как Рабочая станция К 10 дойдёт хотя бы до release candidate -- будем щупать и пробовать перейти.
> В серверных установках Debian 11 такого пакета вообще нет среди установленных.На серверах он не нужен. Там даже sudo может не быть, а быть только один пользователь - root.
Polkit'ом же обычно повышают привилегии процессов, запускаемых из графических приложений: флешку смонтировать, диск прожечь, отредактировать системные файлы в "проводнике" и прочих десктопных радостей. Чтобы всё мышкой, чтобы как в Винде: с дыркой в попе, зато без консоли.
На FreeBSD сегодня исправили: https://www.freshports.org/sysutils/polkit/% pkg info -x polkit
polkit-0.120_1
$ pkg search --regex 'dbus|polkit|udev|pulseaudio|logind|systemd|wayland|electron'
pkgman: no matching packages found.Enlarge u'r hat.
В Oracle linux обновили.
Блестяще. Камень в огород халтурщиков разработки веба и девляпса. Их стиль.
Ахаха, только вчера срачь про попаскрипт и гавнкод макак был. Вот и пожалуйста.
Как можно было не проверить argc? Это же во всех книжках есть и примерах.
А вот так...
> Status: REJECTEDnot a bug.
Там про argv, а не argc
Но там как раз о том, как им можно злоупотребить, и это связанные вещи.
Эксплоит: https://github.com/berdav/CVE-2021-4034
> в случае передачи процессу пустого массива argv, что допускает функция execve в LinuxУх ты, а чо так можно было?!
argc для кого сделан?
ахахаха, никакие языки не спасут от логических ошибок при разработке софта
Хоть на си пиши, хоть на расте. Ну может быть разве что Idris с его зависимыми типами.
Ты не понимаешь. Раст это другое святое. Он другой он благодатный, он как дуновение ветра, как божья благодать. Он все делает безопасный лишь тем что он есть. Все остальные языки они от лукавого.
Но в некоторых языках логические ощибки лёгким движением руки превращаются в повреждение памяти.
Как здесь: не учли случай с argc==0, получили индекс за пределами массива argv, и вместо несуществующего argv[1] залезли в и переписали envp[0].
В FF растаманы перепутали знаки больше-меньше при ручной проверке вхождения индекса в массив...
Здесь логическая ошибка могла бы остаться логической, без privilege escalation.Если б они взяли итератор поверх argv, отгрызли бы и выкинули несуществующий нулевой элемент от него (что есть логическая ошибка, наверное?), то затем они столкнулись бы с тем, что итератор дальше не идёт, и программа бы пришла к выводу, что ей не передали необходимого аргумента и завершилась бы с ошибкой. То есть, это в некотором смысле, даже если бы это и можно было бы назвать логической ошибкой, то она была бы нивелирована, и программа работала бы корректно, хоть может и странные сообщения об ошибках выдавала бы.
Но тут всё настолько запутано, итератор или принудительные проверки на выход индекса за границы массива -- это лишь один из распространённых способов, который помог бы.
Есть и другие -- скажем мозги покоцанные функциональным программированием испытывали бы неловкость от идеи модифицировать argv переданный туда извне. Тем более, что разве кто-то даёт гарантий, что argv и envp будут находится в непересекающихся областях памяти? По-моему, нет. Просто так всегда получается, но нигде такого не написано, то есть это недокументированное свойство их. А если это недокументированное свойство, то значит не документированы те изменения, которые произойдут при изменении argv. У тебя может поменяться envp заодно.
И возможно функциональным программированием покоцанные мозги решили бы, что лучше создать модифицированную копию, а избавление от "ненужного" копирования занести в список возможных оптимизаций, которые будут проведены тогда, когда профайлер покажет что они нужны. Профайлер бы показал, что они не нужны, и при таком подходе новые копии argv и envp не пересекались бы гарантированно, даже несмотря на выход за границу массива в переданном в main argv. И модификации argv не заносили бы ничего плохого в envp. То есть, с этой точки зрения, причина этой дыры находится в "корне всех проблем": в преждевременной оптимизации.
Или, допустим, в OpenBSD решили другую проблему -- там execve возвращает ошибку, если переданный ему argv=={NULL}. ad hoc решение, которое решает очень узкий класс потециальных проблем, но тем не менее сия дыра на OpenBSD -- не дыра вовсе.
В https://github.com/Duncaen/OpenDoas/releases/tag/v6.8.2 то же самое нашли. И в sudo, наверно, тоже. Гы...
Не нашли (в смысле, неизвестно, exploitable или нет), но на всякий случай решили и не искать, а просто добавить exit(1) если его так вызвали.В целом правильное решение. Неправильно что качество кода в котором такое допустили - очевидно ничего общего не имеет с заявленными целями несовместимой подделки под sudo с нечитаемым конфигом.
Выкрасить и выбросить.
sudo при таком запуске падает с segfault. Что тоже плохой признак, очевидно что argc не проверяется на валидность, хотя возможно и не позволит в лоб использовать баг.
Тут примечательно, что запрет на argc == 0 в ядро obsd внес автор doas по наводке автора sudo в 2015г. Т.е. складывается впечатление, что оба прекрасно представляляли к чему это может привести, но предпочли не править юзерлэнд, а заткнуть дыру на уровне ниже в одном месте.
Почему забили на портабле версии и писали ли разработчикам других *bsd/linux - вопрос.
>В открытом доступе появились первые варианты эксплоитов от сторонних разработчиков.а вот интересно.. просто любопытно- первые примеры эксплоита (которые появились в сети через полчаса после опубликования новости)- все были на сях.. а этот- на питоне... причем делает он то же самое (дословно местами) что было в эксплоите на сях... просто комуто, показалось свежим и оригинальным взять эксплоит на сях, и вместо того чтобы просто его скомпилировать - переписал его на питон...
ради чего? кросплатформенности?
ну и как, на винде заработал? :)
а еще и какойто бинарный блоб в него воткнул...
шелкод или майнер? :) ))
Снова это дерьмише дырявое..."Только белый человек наступает трижды на одни и те же грабли".
#####.
Сжечь огнем. Переписывать там нечего.
А у ALT Linux (AKA Shirogin OS) тоже уязвимость работает? ))))
"все - одинаковые!"Вопрос только в том, надо ли ставить какие-то дрисктопные компоненты специально, или оно в каждом сервере по умолчанию из-за зависимости 114го порядка ненужно от ненужно.
Васяткин попенсорс мало того, что кривой, так ещё и дырявый.
> Васяткин попенсорсВот сейчас обидно получилось!
https://haxx.in/files/blasty-vs-pkexec.cнаслаждайтесь, васяны. 100% рабочий, поскольку нет никаких подборов границы стека и прочих слишом сложных технологий.
Да, тот самый полкит 2011го года без js в принципе - affected.
Так что багу даже не 8, а 12 лет, вероятно - с нулевой версии шиткита.Тысячегласс опять обдристался во сне...а, он и не спит.
>Polkit также доступен для BSD-систем и SolarisДругое дело, что они его не тянут с собой по умолчанию.
" О возможной уязвимости в PolKit, связанной с обработкой пустых аргументов и suid-приложении pkexec, сообщалось ещё в 2013 году, но так как исследователь не довёл идею до рабочего эксплоита, на предупреждение не обратили внимание и проблема не была исправлена."
Кому надо - те обратили))
ничего, ducktape всё исправит!(Гениальная Шутка с Множеством Слоёв)
Умора. Критичная уязвимость 12 лет висела. Тысячи глаз смотрят!!!
это бэкдор настоящий... кто знал - использовал.
Да никакой это не бекдор. Бекдор сделали бы хитрым, чисто для 'своих'. А тут обычное рукожопство.Внезапно выясняется, что большую часть системного кода пишут программисты на зарплате. А сообщество только может честь языком 'бла-бла-бла'.