Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимость в OverlayFS, позволяющая повысить свои привилегии, opennews (??), 24-Мрт-23, (0) [смотреть все] Перемудрили они конечно с этими setgid setuid Такое количество абстракций, что , Анонн (?), 13:35 , 24-Мрт-23, (20) +3 // setuid setgid это вообще чудовищный костыль родом из 80-х Целый механизм файлов, Аноним (23), 14:57 , 24-Мрт-23, (23) +2 // Справедливости ради, судо вообще костыль и мало где применим Это механизм для з, Аноним (24), 15:49 , 24-Мрт-23, (24)   // Костыль, да Но удобный, и исключительно поэтому еще жив В каком смысле Он прим, Аноним (23), 16:02 , 24-Мрт-23, (26)   Ни разу в жизни не использовал судо Чем он удобный Костыль костыльный, есть 10, Аноним (24), 16:07 , 24-Мрт-23, (28) –3   Назовите хотя бы два из этих 100 , Аноним (23), 16:10 , 24-Мрт-23, (29)   Не проблема libcap и libcap-ng, policykit и т д , Аноним (24), 16:14 , 24-Мрт-23, (32) +1   Поддержка libcap должна быть предусмотрена заранее, произвольный бинарник так не, Аноним (23), 16:46 , 24-Мрт-23, (34)   Должна Вообще ненужно его запускать , Аноньимъ (ok), 20:44 , 24-Мрт-23, (43) –2   Год назад в polkit была уязвимость CVE-2021-4034, до сих пор название помню, т , Аноним (35), 16:55 , 24-Мрт-23, (35) +1   Если скорректировать причинно-следственные связи, то это ядру нужно знать, приви, n00by (ok), 07:56 , 25-Мрт-23, (49)   А почему костыль то Костыль - это обходное временное решение взамен нормального, Аноним (39), 19:30 , 24-Мрт-23, (39)   Так это и есть дёшево и сейчас, переложив целиком всю заботу вон на тех ребят, м, Аноним (24), 19:44 , 24-Мрт-23, (40) +2   Не только sudo usr sbin pam_timestamp_check usr sbin unix_chkpwd usr sbin userh, birdie (ok), 15:57 , 24-Мрт-23, (25) +3 // chrome-sandbox Ему-то нафига setuid , Аноним (23), 16:03 , 24-Мрт-23, (27) +1 Очевидно, что бы повышать привилегии, Аноним (30), 16:13 , 24-Мрт-23, (30) +2 как иронично, Карлос Сношайтилис (ok), 17:56 , 24-Мрт-23, (36) да,зачот , dannyD (?), 18:14 , 24-Мрт-23, (38) Хром для изоляции запускает контейнер, а для запуска контейнера во многих дистри, Аноним (44), 21:58 , 24-Мрт-23, (44) +3 эт всё понятно, но недоверие к методам корпорации бобра у меня уже лет пятнацт , dannyD (?), 22:15 , 24-Мрт-23, (45) +2 А в правельных дистрибутивах так code ls -l sbin unix_chkpwd-rwx--x--x 1 root , Аноним (52), 11:33 , 25-Мрт-23, (52) +2 Ну, без этого костыля было бы сложно apache запускать cgi fast_cgi от имени поль, lucentcode (ok), 16:13 , 24-Мрт-23, (31) –1 // Шёл 2023-й год, а люди всё еще обсуждают проблемы shared hosting Ещё 10 лет наза, Аноним (37), 18:10 , 24-Мрт-23, (37) +4 Что удобно, так это то, что этот же suexec позволял запустить от другого пользов, Аноним (41), 20:31 , 24-Мрт-23, (41) +1 Это не так В разных дистрах по разному Многие уже используют CAP В многопольз, Аноним (50), 08:43 , 25-Мрт-23, (50) // Как и OverlayFS с FUSE , Аноним (51), 11:22 , 25-Мрт-23, (51) Если ты не в курсе, что chromium устанавливает setuid бинарь И много кто ещё, т, anonymous (??), 12:58 , 27-Мрт-23, (53) А в openwrt можно где-то посмотреть публикацию обновления пакетов , Аноним (21), 14:01 , 24-Мрт-23, (21) // У тебя на OpenWRT есть пользователи, которые могут монтировать файловые системы , Аноним (41), 20:32 , 24-Мрт-23, (42) // Звучит жутковато, Аноним (54), 15:10 , 30-Мрт-23, (54) Не уберегли, не досмотрели Бывает, чо , YetAnotherOnanym (ok), 14:43 , 24-Мрт-23, (22) +1 Скрыто модератором, Аноним (-), 16:30 , 24-Мрт-23, (33) 0 дней без уязвимости в непривилегированных user namespace, Аноним (46), 23:52 , 24-Мрт-23, (46) +2 Чего вы все привязались к setuid setgid Есть ли идиоты, у которых в системе исп, Аноним (47), 03:14 , 25-Мрт-23, (47) // Идея в том, чтобы создать образ ФС с такими файлами на другой машине, где есть r, Аноним (48), 06:06 , 25-Мрт-23, (48) +2 20,21,22,46,47

Сообщения

[Сортировка по времени | RSS]

	24. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	+/–
	Сообщение от Аноним (24), 24-Мрт-23, 15:49
	Справедливости ради, судо вообще костыль и мало где применим. Это механизм для запуска бинаря с чужими правами, поэтому применятся пользователями в многопользовательских конфигурациях, а не то, что ты подумал. Как это может использовать софт, по-твоему? Ну вот стим например от другого пользователя запускаешь, что файрвол мог его контролировать.
	Ответить | Правка | Наверх | Cообщить модератору

	26. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	+/–
	Сообщение от Аноним (23), 24-Мрт-23, 16:02
	> судо вообще костыль Костыль, да. Но удобный, и исключительно поэтому еще жив. > и мало где применим В каком смысле? Он применим везде, где его применяют. Дальнейший ваш поток сознания у меня расшифровать не получилось.
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	–3 +/–
	Сообщение от Аноним (24), 24-Мрт-23, 16:07
	Ни разу в жизни не использовал судо. Чем он удобный? Костыль костыльный, есть 100 способов сделать нормально не создавая уязвимость.
	Ответить | Правка | Наверх | Cообщить модератору

	29. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	+/–
	Сообщение от Аноним (23), 24-Мрт-23, 16:10
	Назовите хотя бы два из этих 100.
	Ответить | Правка | Наверх | Cообщить модератору

	32. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	+1 +/–
	Сообщение от Аноним (24), 24-Мрт-23, 16:14
	Не проблема: libcap и libcap-ng, policykit и т.д.
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	+/–
	Сообщение от Аноним (23), 24-Мрт-23, 16:46
	Поддержка libcap должна быть предусмотрена заранее, произвольный бинарник так не запустишь, так что это не аналог sudo. polkit - да, в общем и целом согласен.
	Ответить | Правка | Наверх | Cообщить модератору

	43. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	–2 +/–
	Сообщение от Аноньимъ (ok), 24-Мрт-23, 20:44
	>Поддержка libcap должна быть предусмотрена заранее Должна. >произвольный бинарник так не запустишь Вообще ненужно его запускать.
	Ответить | Правка | Наверх | Cообщить модератору

	35. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	+1 +/–
	Сообщение от Аноним (35), 24-Мрт-23, 16:55
	Год назад в polkit была уязвимость (CVE-2021-4034, до сих пор название помню, т.к. курсач про неё писал) с повышением привилегий, pkexec там только запрашивает разрешение, запускает сам, поэтому ему нужен suid-бит.
	Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

	49. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	+/–
	Сообщение от n00by (ok), 25-Мрт-23, 07:56
	Если скорректировать причинно-следственные связи, то это ядру нужно знать, привилегии каких потоков исполнения допустимо повышать. suid-бит ставится на файл, причём произвольный. Задачу возможно решить аккуратнее, создав список разрешённых файлов и их хешей. К такому, кстати, и идёт RedHat с цифровыми подписями.
	Ответить | Правка | Наверх | Cообщить модератору

	39. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	+/–
	Сообщение от Аноним (39), 24-Мрт-23, 19:30
	А почему костыль то? Костыль - это обходное временное решение взамен нормального. Судо вполне самодостаточное решение, решающее свою задачу.
	Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

	40. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	+2 +/–
	Сообщение от Аноним (24), 24-Мрт-23, 19:44
	Так это и есть дёшево и сейчас, переложив целиком всю заботу вон на тех ребят, мол, не наши проблемы. Из убунтят уже выросли поколения хипстеров по песню "коко под рутом низя работать лучше  вот вам ALL=(ALL) NOPASSWD: ALL".
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема