forum.opennet.ru

"Уязвимость в OverlayFS, позволяющая повысить свои привилегии"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Уязвимость в OverlayFS, позволяющая повысить свои привилегии"	+3 +/–
Сообщение от Аноним (44), 24-Мрт-23, 21:58
Хром для изоляции запускает контейнер, а для запуска контейнера во многих дистрибутивах требуются права рута (а в тех, где не требуются, для этого используются USER_NS, которые тоже то ещё минное поле в плане безопасности). Поэтому эта песочница получает права рута через setuid, запускает контейнер, после чего сразу же лишает себя и прав рута, и возможности получить их снова. Это стандартный подход, и setuid почти всегда используется именно так: сразу после запуска получил права рута -> открыл ресурс, необходимый для работы, но доступный только руту -> лишил себя прав рута и возможности получить их снова, но ресурс сохранил -> начал работать.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость в OverlayFS, позволяющая повысить свои привилегии, opennews, 24-Мрт-23, 11:27 [смотреть все]

Перемудрили они конечно с этими setgid setuid Такое количество абстракций, что , Анонн, 24-Мрт-23, 13:35 (20) //
- setuid setgid это вообще чудовищный костыль родом из 80-х Целый механизм файлов, Аноним, 24-Мрт-23, 14:57 (23) //
  - Справедливости ради, судо вообще костыль и мало где применим Это механизм для з, Аноним, 24-Мрт-23, 15:49 (24) //
    - Костыль, да Но удобный, и исключительно поэтому еще жив В каком смысле Он прим, Аноним, 24-Мрт-23, 16:02 (26)
      - Ни разу в жизни не использовал судо Чем он удобный Костыль костыльный, есть 10, Аноним, 24-Мрт-23, 16:07 (28)
        
        Назовите хотя бы два из этих 100 , Аноним, 24-Мрт-23, 16:10 (29)
        
        Не проблема libcap и libcap-ng, policykit и т д , Аноним, 24-Мрт-23, 16:14 (32)
        
        Поддержка libcap должна быть предусмотрена заранее, произвольный бинарник так не, Аноним, 24-Мрт-23, 16:46 (34)
        
        Должна Вообще ненужно его запускать , Аноньимъ, 24-Мрт-23, 20:44 (43)
        
        Год назад в polkit была уязвимость CVE-2021-4034, до сих пор название помню, т , Аноним, 24-Мрт-23, 16:55 (35)
        
        Если скорректировать причинно-следственные связи, то это ядру нужно знать, приви, n00by, 25-Мрт-23, 07:56 (49)
    - А почему костыль то Костыль - это обходное временное решение взамен нормального, Аноним, 24-Мрт-23, 19:30 (39)
      - Так это и есть дёшево и сейчас, переложив целиком всю заботу вон на тех ребят, м, Аноним, 24-Мрт-23, 19:44 (40)
  - Не только sudo usr sbin pam_timestamp_check usr sbin unix_chkpwd usr sbin userh, birdie, 24-Мрт-23, 15:57 (25) //
    - chrome-sandbox Ему-то нафига setuid , Аноним, 24-Мрт-23, 16:03 (27)
      - Очевидно, что бы повышать привилегии, Аноним, 24-Мрт-23, 16:13 (30)
    - как иронично, Карлос Сношайтилис, 24-Мрт-23, 17:56 (36)
      - да,зачот , dannyD, 24-Мрт-23, 18:14 (38)
        
        Хром для изоляции запускает контейнер, а для запуска контейнера во многих дистри , Аноним, 24-Мрт-23, 21:58 (44)
        
        эт всё понятно, но недоверие к методам корпорации бобра у меня уже лет пятнацт , dannyD, 24-Мрт-23, 22:15 (45)
    - А в правельных дистрибутивах так code ls -l sbin unix_chkpwd-rwx--x--x 1 root , Аноним, 25-Мрт-23, 11:33 (52)
  - Ну, без этого костыля было бы сложно apache запускать cgi fast_cgi от имени поль, lucentcode, 24-Мрт-23, 16:13 (31) //
    - Шёл 2023-й год, а люди всё еще обсуждают проблемы shared hosting Ещё 10 лет наза, Аноним, 24-Мрт-23, 18:10 (37)
    - Что удобно, так это то, что этот же suexec позволял запустить от другого пользов, Аноним, 24-Мрт-23, 20:31 (41)
  - Это не так В разных дистрах по разному Многие уже используют CAP В многопольз, Аноним, 25-Мрт-23, 08:43 (50) //
    - Как и OverlayFS с FUSE , Аноним, 25-Мрт-23, 11:22 (51)
  - Если ты не в курсе, что chromium устанавливает setuid бинарь И много кто ещё, т, anonymous, 27-Мрт-23, 12:58 (53)
А в openwrt можно где-то посмотреть публикацию обновления пакетов , Аноним, 24-Мрт-23, 14:01 (21) //
- У тебя на OpenWRT есть пользователи, которые могут монтировать файловые системы , Аноним, 24-Мрт-23, 20:32 (42) //
  - Звучит жутковато, Аноним, 30-Мрт-23, 15:10 (54)
Не уберегли, не досмотрели Бывает, чо , YetAnotherOnanym, 24-Мрт-23, 14:43 (22)
А как запретить OFS на старых ядрах , Аноним, 24-Мрт-23, 16:30 (33)
0 дней без уязвимости в непривилегированных user namespace, Аноним, 24-Мрт-23, 23:52 (46)
Чего вы все привязались к setuid setgid Есть ли идиоты, у которых в системе исп, Аноним, 25-Мрт-23, 03:14 (47) //
- Идея в том, чтобы создать образ ФС с такими файлами на другой машине, где есть r, Аноним, 25-Мрт-23, 06:06 (48)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру