Компания Qualys выявила уязвимость (CVE-2025-6019) в библиотеке libblockdev, позволяющую через манипуляции с фоновым процессом udisks получить права root в системе. Работа прототипа эксплоита продемонстрирована в Ubuntu, Debian, Fedora и openSUSE Leap 15...Подробнее: https://www.opennet.me/opennews/art.shtml?num=63424
Мда. Сам предмет:> libblockdev is a C library supporting GObject introspection for ...
Ох уж эти GObject, от них только плюются все.
когда в gentoo починят protobuf-31.1?
Поставь стабильную 30.2
я уже, но осадочек...# cat /etc/portage/package.mask/protobuf
=dev-libs/protobuf-31.1
Вы же не арчевод,нафейхоа юзать тильдовую ветку?Томоё,Фаерджэйл и т.д. обвесились?
не знаю, что за ё-моё, но хочется - юзаюемнип, некоторых вещей принципиально нет в stable ветке
Немой вам совет - юзайте форсе пакаде в /етс. и пакадже ассепткей ворд. Вы же о них знаете безуловно. На Хендбук точно есть.
у меня что-то не получалось c accept keyword тильды по отдельным пакетам, тянуло за собой всю систему (steam что ли, не вспомню уже), причём ещё до подключения оверлеев. да и мне больше нравится получать апдейты с выходом или перед выходом новостей, чем ждать их по полгода, это стоит редких неудобств вроде этого с protobufиначе я тупо не буду знать, что у меня в системе обновляется, не смогу попробовать новые фичи софта, компиляторов или либ, т.к. давно забуду о том, что читал в release notes
> когда в gentoo починят protobuf-31.1?
> https://bugs.gentoo.org/957280Подожди, сынку, ща только предыдущую генту докомпилирую - и посмотрю что там в багзилле понаписали. Многозадачность же :)
> там какая-то теория заговора про проплаченные статьи, происки корпораций и лайки/дизлайки.т.е. тебе не нравится - можно удалять? самоуправство, доложить бы куратору
Разраб:
/* Читает man на mount(2) */
- Так... ключи монтирования - это мы пропустим, это нам не надо, мы же монтируем временно...
Хакер:
- О, nosuid и nodev пропущены!
Угу особенно поможет nodev nosuid на корне.
простите, что у вас поделка udisks делает - в корне? И если до этого уже дошло - вам уже в общем ничего и не поможет.Просто считайте любого юзера по умолчанию админом. Оно в общем и целом так и есть.
> простите, что у вас поделка udisks делает - в корне? И если
> до этого уже дошло - вам уже в общем ничего и
> не поможет.
> Просто считайте любого юзера по умолчанию админом. Оно в общем и целом
> так и есть.С чрутами актуально, тут вроде популярно "изолировать" чрутом.
главное не забывать прокидывать туда дерьмобас-сокет!
> простите, что у вас поделка udisks делает - в корне? И если до этого уже
> дошло - вам уже в общем ничего и не поможет.У меня вообще такого процесса нет. Видимо я по привычке выпилил - или не ставил - всякую ненужную дрянь. В этом месте хакерам наверное будет обидно.
Task: ubuntu-desktop, kubuntu-desktop, kubuntu-full, xubuntu-core, xubuntu-desktop, lubuntu-desktop-share, lubuntu-gtk-desktop, lubuntu-desktop, lubuntu-qt-desktop, ubuntustudio-desktop-core, ubuntustudio-desktop, ubuntukylin-desktop, ubuntu-mate-core, ubuntu-mate-desktop, ubuntu-budgie-desktop
если сидеть в чорной-пречорной консоле - то конечно его не будет.
(но тогда и mount набрать в общем-то не должно доставлять нечеловеческого страдания)
Выкинуть d-bus с polkit и не будет ПРИВНЕСЕНнЫХ уязвимостей в PAM.
А как в DE носители монтирровать, методом ввода "mount ..." в эмуляторе терминала рутом? Ну может, тайловиков такое и устроит.
Ну так может вам виндой пользоваться? Там,кстати, еще и нет проблемы "а как теперь это обратно отмонтировать" если сам специально не настроишь иначе.А в юникс-лайк системах оно вот так, да, надо пользоваться mount и не забывать про umount.
И любые попытки обойти это ограничение (без переделки ключевых элементов ядра, которые кстати и давно пора бы - но некому, vfs это тяжкое наследие аж 70х годов, когда на ходу дернуть флэшку физически было фатально) - неизменно ведут к вот таким превосходным результатам.
Что не так с vfs подходом? Или расскажете, что "а вдруг рут отмонтируется"?
> Ну так может вам виндой пользоваться? Там,кстати, еще и нет проблемы
> "а как теперь это обратно отмонтировать" если сам специально не настроишь иначе.Там своих приколов с автозапуском было немеряно. При том по началу майкрософт даже не понял что кроме сидюков еще и флешки бывают, хз откуда вынутые. А вот вирусы - догадались :)
> по началу майкрософт даже не понял что кроме сидюков еще и флешки бываютНу не было у них машины времени, щито поделать десу. Потом появилась, но они опять всё не так поняли и стали ей пользоваться чтобы опенсорсу в штаны гадить и баговать весь опесорсный софт так, что rce десятилетиями не фиксились. Злодеи, что с них возьмёшь?
Нечасто здесь увидишь такую беспощадную критику линукса
В смысле нечасто? Этот ресурс целиком, вместе с обитателями — сплошная беспощадная критика линукса в частности и юникса как архитектуры ОС в общем.
Концепция DE сама по себе несет кучу г*вн*, поэтому без г*вн* здесь не получится в любом случае. Будет полно дыр. А на современном этапе, где почти все завязано на systemd+DE, тем более.
Кстати, сейчас есть что-то, что может заменить D-Bus?
У меня тоже вопрос - можно ли вообще выкинуть дбас? Много ди чего на него завязано?
можно.
если вас устроит отказ от некоторого софта и иксовый вм.
я делала так одно время
> Кстати, сейчас есть что-то, что может заменить D-Bus?Varlink, чтоли. Это тот неловкий момент когда окологнумские редгатчики - забодали даже соседних околосистемдшных редгатчиков, настолько что у тех подгорело попытаться в мастеркласс.
...потому что брокер шины, который апдейтится только ребутом системы - это такое себе. Да, ему даже "systemctl restart" или что-то наподобие - низя. Шина умрет жестокой смертью и все что на ней висело отвалится, насовсем.
"мы хотим дать локальному(ой, в системе изначально спроектированной так что там нет разницы) юзеру фактически возможность админских действий, не будучи админом. Что, ну ЧТО тут может пойти не так?!"> Выкинуть d-bus с polkit и не будет ПРИВНЕСЕНнЫХ уязвимостей в
> PAM.chgrp user /dev/* и chmod g+rw туда же ? (в общем-то почти так оно и было во времена до бесполезного polkit)
Ну правильно, нет уязвимостей.
Мы же ХОТЕЛИ дать ему доступ к физическим устройствам, раз уж он ими - пользуется? Ну вот теперь он у него и есть.Мы правда вряд ли хотели дать ему право еще и монтировать что попало (mount еще нормальные люди придумали) но тут умнички разработчики ненужноdisks за нас постарались.
И как нормально сделать? Через консоль каждый раз?
> И как нормально сделать? Через консоль каждый раз?А что в этом ужасного? Вот нагромождение крэпа в виде udev/udisks/dbus/и еше вот сверху console kit и корявые патчи для pam решающие кто локальный юзверь гаданием на environment vars - это и правда омерзительно.
Одна винда у нас уже - есть, если что (и там - нормально в общем-то сделали).
Отвратителен факт что флэшку выдернуть на ходу без последствий нельзя, ну что поделать - застряли в веке когда эти последствия были бы механическими.
(причем ее еще и обратно просто так воткнуть нельзя, если даже спохватился. windows 95, да, все ведь помнят?)Ну или забыть про кэш и тащить все в юзерленд. В принципе, юзверькам нетакусикам, которые панически боятся лапками пошевелить - сойдет. Как это технически реализовать - показано mtools.
Правда, индусы редхата и такое наверное уже не могут. Им бы вот systemd-дерьмодемонd какой запилить, и чтоб ничего не работало без.
Так часть данных ФС в оперативной памяти. Ещё может фоновой процесс работать с флэшкой.
Вернуть световую индикацию на флэшку.
ну мы же знаем как винда решает эти проблемы?Т.е - для начала перестаем считать пользователя полным этим-вот-самым - разумеется, он не будет выдирать на бегу флэшку пока крутится прогресс-индикатор копирования. (хотя бы после пятнадцатого раза) kde кстати даже попытались.
А вот дальше все становится сложным - ибо корни уходят в vfs, а она у нас по дизайну - 70х годов.
Т.е - долго мучительно учимся тривиальным вещам: не держать бесконечный writeback cache (вообще-то флэшке-то и нафиг не упал), писать метаинфу синхронно и независимо от fs без необходимости ручной поддержки в юзерлевел, принудительно захлопывать все дескрипторы и посылать сигналы тому самому "фоновому процессу" о котором юзер второпях забыл - с освобождением всех ядерных структур и сбросом всех семафоров а не как обычно. Не забываем про иерархию - на флэшке может быть еще одна точка монтирования (или не одна, или loop device и тоже куда-то смонтирован) - все это тоже надо последовательно отключать и закрывать, а не виснуть в системном вызове.
В недостижимом идеале - тот самый синий экран из 95й, дающее шанс спасти ситуацию целиком (т.е. некоторое время держим стейт на случай если он одумается).
И ОТКЛЮЧАТЬ всю эту фигню если пользователь ясно сказал, что она тут не нужна.В теории - конечно же реализуемо. И именно так и должна работать современная ос для людей. На практике - нате вам libblockdev с дырой.
> именно так и должна работать современная ос для людей.Для людей есть венда. А мне больше нравится агрессивное кеширование съёмных носителей, оно так быстрее выходит, когда много чего делаешь, плюс даёт ядру потенциальную возможность обойтись меньшим числом циклов перезаписи. Приходится потом дожидаться, когда umount завершится, но это лучше, чем дожидаться завершения каждой операции, чтобы начать следующую.
Впрочем с флешками это уже не так заметно, потому что часто данные копируются десятками гигов, не лезут в оперативку и всё равно приходится дожидаться. Это было очень заметно с дискетами в конце 90-х: их содержимое целиком умещалось в оперативке, все операции над файловой системой работали резко, как с блочным устройством в памяти, а реальная запись начиналась только по umount.
В общем, я не вижу смысла делать из linux'а "современную ос для людей", это контрпродуктивно. Пускай эти люди валят на венду, и не мешают нам жить.
> Для людей есть вендада, я тоже так думаю. Линукс в его нынешнем убожестве - для м-ков.
(все еще помнящих какие-то там дискетки 90х годов)И да, в два клика мыши в венде "fast removal" отключается. Но даже при этом процесс читавший что-то с выдернутой флэшки не повиснет в uninterruptible state до ребута. (который еще и окажется долгим и "грязным", потому что он еще и писал на основной диск и тот не отмонтировался вовсе все из-за того же)
> В общем, я не вижу смысла делать из linux'а "современную ос для людей", это
> контрпродуктивно.да, пусть так и остается дерьмом.
> Но даже при этом процесс читавший что-то с выдернутой флэшки не повиснет в uninterruptible state до ребутаДа-да, мы с вами сходимся на 100%: те кто выдёргивают флешки, забыв отмонтировать, пускай идут на венду.
> Так часть данных ФС в оперативной памяти.Так umount при размонтировании его выжмет на стораж сначала.
> Ещё может фоновой процесс работать с флэшкой.
Она и не размонтируется тогда, что совой об пень, что пнем об сову.
> Вернуть световую индикацию на флэшку.
А вон вам /sys/class/leds - и изучайте что у вас за светодиоды в системе есть, ну и повесьте желаемому светодиоду желаемый trigger. Можете хоть на клавиатуру индицировать активность флехи, если хотите. Это работает, я проверял. Но в зависимости от кислотности светодиода может и подбешивать.
mount -o sync
> mount -o syncп-да флэшке (и данным тоже). И нет, винда работает умнее.
Ну а зачем плодить столько кривых обёрток
ради победы 3% десктопа, разумеется!Пупсики не могут в mount!
Декстопный колхоз с автомонтированием носителей.
В KDE не на 100% авто. Всё же, нужно явно нажать "Подключить". Так что, время подумать даётся.
Вызвать опцию примонтировать и думать после жмакать или нет?Да это сильно.
В госсофте поговаривают голым курлом джесоны гоняют. Вот как надо было.
> udisks позволяет пользователю менять размер своих файловых систем и libblockdev в процессе выполнения данной операции временно монтирует ФСЭээ... Зачем? Почему просто не перемонтировать девайс заного?
Он не смонтируется заново в тот каталог в который вы монтировали прежде. Черутом не страдали что ли? Там ребут нужен для перемонтирования в прошло место.
А какие у утилиты mount опции монтирования без привилегий root?
Автор bcachefs чего рекомендовал?Вот. Остальное дефолт и пусть весь мир подождёт. Не с лапками которые.подскажете для jfs опции кроме дефолт.Реально искал и не нашел даже в факе как лучше?
Можно подробностей про автора bcachefs?
Только то, что во fstab
Ядерный терминал, без WM и DE. Чтобы смонтировать флешку без привилегий root. Утилита mount по-умолчанию файловую систему монтирует как суперпользователь, все файлы в флешке имеют права суперпользователя.Раньше делал вроде #mount -o uid=1000,gid=1000, точно не помню.
Уточнить хотелось бы? Можно ли монтировать указывая например, символьное имя пользователя? Смотрел man mount - не осилил. Командой udisks пользваться умею, меня интересует великий и могущественнй mount.
Это при монтировании какой фс все становится супер пользователем?
Обычная флешка с FAT32.
Вчера выложили пакет в свободный доступ с исправлением и сразу разгласили об уязвимости. Вредительство.
Я правильно понял, что проблема в том, что инженеры из редхата придумали концепции "локальный пользователь"/"нелокальный пользователь", реализовали их костылями (поскольку в самом линуксе такие концепции отсутствуют), а теперь кто-то нашёл способ обдурить эти костыли и убедить систему, что нелокальный пользователь является локальным, обнулив два десятилетия прогресса десктопного редхата со всеми их халами, юдисками, системд и консолькитами?
>инженеры из редхата придумали концепции "локальный пользователь"/"нелокальный пользователь"В Линуксе такого нет. Есть суперпользователь и есть обычный пользователь. Ты видимо путаешь с вантузными учётными записями, там у них есть 2 группы: доменная учётная запись и локальная учётная запись. ssh - это просто метод удалённого входа.
В windows есть интерактивный сеанс и есть сеанс через сетевой вход. За аутентификацию отвечают разные службы winlogon и netlogon. Доменная учетная запись и локальная учетная запись это другое - это место Хранения и Проверки.
Я так и написал:> в самом линуксе такие концепции отсутствуют
> что инженеры из редхата придумали концепции "локальный пользователь"/"нелокальный
> пользователь"она без них существует - как объективная реальность. А индусы реализовали, да, как шмагли. Потому что от них требовали - "десктоп" и "какввенде".
Другого линукса у меня для вас теперь - нет.
>реализовали их костылями (поскольку в самом линуксе такие концепции отсутствуют)Ред Хат никогда не реализовывал концепции "локальный пользователь"/"нелокальный пользователь". Во-первых, это глупо, во-вторых это тупо не нужно, лишний слой абстракций.
В Альт Линуксе слышал, реализовали вантузную концепцию Active Directory, которая работает с виндовыми доменными учёётными записями. Не знаю что они там под капотом нахимичили.
Уж сколько раз твердили миру, что связка systemd+polkit -- лютый адищще. В каждой новости про "systemd-run/run0 против sudo" пишу. (Я устал. Я ухожу. В отпуск.) Любой, кто нюхал сисду в тех местах, или написал хоть одно пупкит-правило для любой утилиты, запускаемой сисраным-в-ноль, об этом знает. Запомните дети: Пупкит раздаёт рута в вашей системе *ПО ОЩУЩЕНИЯМ*. Серьезно. Без шуток. Посмотрите, нучо там накостылено в его правилах на жиеське. А когда начнете задыхаться от возмущения, мол, "да ка так можна-та ващще!", идите в сисду и узрейте, как оно там наоверинжёпнедоперекожено. И убедитесь, что "ну а па-другому тута и никак". Айбиэм тихналажись инкопрорейпед.
Короче, пользуйтесь sudoers и не выделывайтесь. И не слушайте инжёпнигров из рабхаты. (И их клоунов, дидоскалящимся по опеннетам. СУИД им в дышло.) И будет вам счастье, шелковистые волосы во всех местах и крепкий вечностоящий аптайм. И ни единого разрыва.
> Короче, пользуйтесь sudoers и не выделывайтесь. И не слушайте инжёпнигров из рабхаты.su (и suid mount, пока не запретили следом за скудоумными из openbsd)
sudo - оверинженеренное вечнодырявое нечто, на самом деле требующееся ТОЛЬКО на компьютерах с несколькими админами. Т.е. в совершенно исключительных случаях.
Пользуюсь и su, и sudo - оно сила. Всё просто и работает. Пробовал doas тоже круто.
что будет, если манипуляции проводятся на уровне докера или подмана?выйдем за границы "песочницы" и получим рута?
Если ты в контейнер монтируешь хостовый /dev, то наверное ты знаешь что делаешь, так ведь?
а что по поводу:Дополнительно можно отметить раскрытую несколько часов назад уязвимость (CVE-2025-6020) в пакете linux-pam, позволяющую локальному пользователю получить права root.
Позволяют ли уязвимости хост системы сбежать из контейнера? Ведь реально используется хост ядро.
В Debian fixed, кроме trixie.
Она так и будет не исправленная, потому что заморожена?
> через манипуляции с запуском утилитой systemctlА если её нету?
вскрылись интересные подробности уязвимости в PAM: тыcячeглаз нашёл баг и отправил багрепорт мейнтейнерам Дебиана 11 лет назад, в 2014 году: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=761600
но мейнтейнеры его проигнорировали и в багрепорте 10 лет не было сообщений, до 2024го года.
то есть 11, если не больше, лет в PAM была Local Privilege Escalation уязвимость, на которую мейнтейнеры старательно закрывали глаза. что это, зра^Wслучайная уязвимость или намеренно оставленный бэкдор?
В Debian - это не уязвимость, так как там, в отличие от SUSE, другой порядок вызова модулей pam_env и pam_systemd, который не позволяет влиять на получения прав "allow_active".
Любые попытки сделать линукс удобным пользователю провальны. И дело не в пользователе. Юникс — это архитектура однопользовательских локалхостных систем. Любые попытки сделать из него многопользовательскую систему неизбежно приводят к тому, что каждому юзеру нужно выдать виртуалку с однопользовательским юниксом внутри. Сделать из юникса многопользовательскую систему и вовсе невозможно из-за его центральной идеи «всё файл». Смени файл на урл, и всё рассыпается на глазах, а из развалин выходит зомби plan9 и спрашивает за что его убили.
Сделать из юникса нелокалхостную систему и вовсе невозможно*