форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
Сообщение от opennews on 23-Июл-15, 22:44
В приложении userhelper и библиотеке libuser, поставляемым по умолчанию в дистрибутивах, основанных на пакетной базе Red Hat, выявлена (http://www.openwall.com/lists/oss-security/2015/07/23/16) серия уязвимостей (https://securityblog.redhat.com/2015/07/23/libuser-vulnerabi.../) (CVE-2015-3245, CVE-2015-3246), позволяющих выполнить код с привилегиями пользователя root. Для демонстрации проблемы приводится рабочий эксплоит, применяемый к приложениям, использующим libuser для манипуляций с учётными записями пользователей. Первая уязвимость присутствует в программе userhelper. Программа предназначена для смены информации о пользователе и примечательна тем, что поставляется с установленным флагом setuid-root. Уязвимость вызвана тем, что при разборе передаваемых опций не осуществляется проверка на наличие символа перевода строки ('\\n'), что позволяет атакующим передать данные, добавление которых в файл /etc/passwd приведёт к появлению новой строки. Так как указание символа ":" запрещено, имеется возможность добавить только неотформатированные строковые данные, что может быть использовано для осуществления DoS-атаки. Вторая уязвимость присутствует в библиотеке libuser и вызвана особенностью работы с файлом  /etc/passwd. В отличие от классических утилит passwd, chfn и chsh  которые вначале создают временный файл с копией /etc/passwd, модифицируют его и заменяют основной файл, в libuser применяется прямая модификация /etc/passwd. Если в ходе манипуляций с /etc/passwd произойдёт ошибка, файл может остаться в некорректном виде. Путём определённых манипуляций, в сочетании с первой уязвимостью, можно добиться очистки записи для пользователя root ("\\na::0:0::/:\\n") или осуществить подмену поля с shell и домашней директорией, что даёт возможность организовать выполнение кода с правами root. Дополнительно можно упомянуть выявление уязвимости (http://www.openwall.com/lists/oss-security/2015/07/22/7) (CVE-2015-3290) в коде работы с NMI в ядре Linux, позволяющей инициировать крах ядра или выполнить код с правами root. Сообщается, что для уязвимости уже имеется готовый эксплоит, который будет опубликован только через одну-две недели, чтобы дать пользователям время обновить свои системы. Проблема проявляется на системах с архитектурой x86_64 при использовании ядра Linux 3.13 и более новых версий. URL: http://www.openwall.com/lists/oss-security/2015/07/23/16 Новость: http://www.opennet.me/opennews/art.shtml?num=42657
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	–2 +/–
Сообщение от klalafuda on 23-Июл-15, 22:44
# apt-get remove usermode и дело с концом
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	32. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+5 +/–
	Сообщение от Аноним (??) on 24-Июл-15, 07:28
	>>в дистрибутивах, основанных на пакетной базе Red Hat $ sudo rpm -e usermode </зануда>
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	96. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+1 +/–
	Сообщение от klalafuda on 25-Июл-15, 18:52
	>>в дистрибутивах, основанных на пакетной базе Red Hat вы не поверите, но этот непонятный треш также штатно присутствует и в Debian. и никто его явным образом в трезвом уме и ясной памяти не ставил.
	Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

	101. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от torvn77 (ok) on 25-Июл-15, 23:53
	А у меня apt написал что usermode у меня нету :)
	Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

	110. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от Аноним (??) on 26-Июл-15, 14:14
	>>треш также штатно присутствует и в Debian $ sudo aptitude purge usermode Ни одного пакета не будет установлено, обновлено или удалено. $ aptitude search usermode p   usermode               Graphical tools for certain user account management tasks   А у меня такого нет =)
	Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

	112. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от klalafuda on 26-Июл-15, 15:32
	> А у меня такого нет =) На 7ке у меня его тоже нет. А вот в 8.1 после апа с 7ки есть (был).
	Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору

2. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+2 +/–
Сообщение от Аноним (??) on 23-Июл-15, 22:53
> В отличие от классических утилит passwd, chfn и chsh которые вначале создают > временный файл с копией /etc/passwd, модифицируют его и заменяют основной > файл, в libuser применяется прямая модификация /etc/passwd Это ж насколько нужно быть криворуким, чтобы так писать код? На помойку либу.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Часть нити удалена модератором

	31. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+8 +/–
	Сообщение от Есюки on 24-Июл-15, 05:55
	>>>  даже в windows и то быстрее. Поржал. Они недавно пофиксили баг безопасности который живет еще с NT. ЗЫ И докажи что это не так.
	Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору

	6. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+8 +/–
	Сообщение от me29 on 23-Июл-15, 23:36
	> Это ж насколько нужно быть криворуким, чтобы так писать код? Это современная/корпоративная модель OpenSource. Один человек пишет [произвольно кривую] софтину, миллионы "пользователей" тестируют и методом случайного тыка находят видимые ошибки (которые практически сразу, максимум в течение года, исправляются), после чего софтина объявляется морально устаревшей и ей на смену приходит новая версия, несовместимая и неотлаженная, при этом весь софт переписывается на работу с новой версией и всё повторяется. И все счастливы: "пользователи" получают бесплатный софт, производители - бесплатных тестировщиков.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	111. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от Аноним (??) on 26-Июл-15, 14:19
	А если этот "бесплатный", как вы написали, софт пишет не компания а один-два человека? А особенно, когда софт нужный. Примеров в OpenSource достаточно. Так что ваша теория не всегда работает.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+1 +/–
	Сообщение от Andrey Mitrofanov on 23-Июл-15, 23:44
	>> Проблема проявляется на системах >и так и не могли высмотреть и исправить ошибку.. Как?! Не смогли?? Безобразие!  Дезинформация там неверху? И в скачанных мною с утра патчах к дебиановским ядрам? Во всех 9ти штуках. С хвостиком.  <\\\><
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	9. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	–1 +/–
	Сообщение от анончик on 24-Июл-15, 00:00
	Торвальдс говорил что его закон про тысячи глаз уже не работает.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	47. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+1 +/–
	Сообщение от Аноним (??) on 24-Июл-15, 13:18
	> Торвальдс говорил что его закон про тысячи глаз уже не работает. Один процент это тысячи глаз)))
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	59. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от chinarulezzz (ok) on 24-Июл-15, 18:24
	пруф?
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	95. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от анончик on 25-Июл-15, 18:48
	Не могу найти цитату. Но разве Heartbleed или еще другие "застарелые" критические дыры тому не доказательство?
	Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

	105. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от Andrey Mitrofanov on 26-Июл-15, 10:50
	> Не могу найти цитату. Но разве Heartbleed или еще другие "застарелые" критические > дыры тому не доказательство? Тому, что Торвальдс что-то там "говорил"?   Санитары1!1
	Ответить | Правка | ^ к родителю #95 | Наверх | Cообщить модератору

	10. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от Аноним (??) on 24-Июл-15, 00:02
	> сколько лет Linux 3.13. Меньше года.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	29. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	–1 +/–
	Сообщение от angra (ok) on 24-Июл-15, 04:36
	Ну давай расскажи нам, как бы ты написал данный код. А я тебе потом распишу в чем криворукость твоего решения.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	30. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от anonymous (??) on 24-Июл-15, 05:06
	начнём с того, что без специальной квалификации и глубого знания linux я не стал бы писать setuid код. setuid - это флаг того, что у тебя в руках бомба замедленного действия. Обезвреживать её должен профессиональный сапёр.
	Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

	35. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от Адекват (ok) on 24-Июл-15, 08:13
	> начнём с того, что без специальной квалификации и глубого знания linux я > не стал бы писать setuid код. setuid - это флаг того, > что у тебя в руках бомба замедленного действия. Обезвреживать её должен > профессиональный сапёр. поэтому нужно из всех линуксов удалить ping, да ? Проблема в том, что программисды не делают проверку входных данных должным образом.
	Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

	38. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+2 +/–
	Сообщение от Неадекват on 24-Июл-15, 09:54
	ping и traceroute прекрасно работают без suid с помощью capabilities
	Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

	41. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	–1 +/–
	Сообщение от Аноним (??) on 24-Июл-15, 10:37
	что бы их поставить - нужно быть рутом.. да и напомните когда с них сняли suid bit?.. год назад? или меньше?
	Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

	49. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от Аноним (??) on 24-Июл-15, 13:38
	В ядре давно есть ping-сокеты.
	Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

	85. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от username (??) on 25-Июл-15, 15:48
	Не нужно, в линуксах давным давно setcap используется.
	Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

	37. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	–1 +/–
	Сообщение от angra (ok) on 24-Июл-15, 09:48
	Профессионалы написали винду, любители создали линукс. Но в данном случае речь шла о коде, который изменит данные в файле, suid здесь вообще не причем. Да и вопрос был задан не всем, а только кричащему о криворукости, мне хочется увидеть его решение.
	Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

	42. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от Аноним (??) on 24-Июл-15, 10:42
	> Профессионалы написали винду, любители создали линукс. ты что курил? это IBM это любители? это HP любители? это RedHat любители? не.. подкинь адрес своего драг-диллера? хочу купить такую же траву. кури вот это. http://www.opennet.me/opennews/art.shtml?num=37926 чем дальше - тем меньше вклад любителей. А теперь выдыхай бобер, а то передоз будет. > Но в данном случае речь шла о коде, который изменит данные в > файле, suid здесь вообще не причем. Да и вопрос был задан > не всем, а только кричащему о криворукости, мне хочется увидеть его > решение. open(O_TMPFILE) или open + unlink для временного файла. или использование berkleyDB как в BSD системах, для большого количества юзеров сильно быстрее чем сканирование текстового файла.
	Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

	60. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от angra (ok) on 24-Июл-15, 18:37
	> ты что курил? это IBM это любители? это HP любители? это RedHat > любители? не.. подкинь адрес своего драг-диллера? хочу купить такую же траву. Если русский не родной, то настоятельно рекомендую поинтересоваться у окружающих, что значит "создали" и чем оно отличается от "развивают в данный момент". > open(O_TMPFILE) или open + unlink для временного файла. Если ты не понял, то я повторю задачу: "правильно отредактировать имеющийся текстовый файл общего пользования". Твой вариант пока даже не отредактировал, не говоря уже о правильности. Понятие "алгоритм" тебе вообще известно или знания программирования ограничиваются словом "криворукие"? > или использование berkleyDB как в BSD системах, для большого количества юзеров сильно > быстрее чем сканирование текстового файла. Зачем скромничать, сразу оракл юзай.
	Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

	66. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от Аноним (??) on 24-Июл-15, 22:36
	поинтересуйся кто создал из школьной поделки нормальный продукт.. ну так для истории. > Если ты не понял, то я повторю задачу: "правильно отредактировать имеющийся текстовый файл общего пользования". Твой вариант пока даже не отредактировал, не говоря уже о правильности. Понятие "алгоритм" тебе вообще известно или знания программирования ограничиваются словом "криворукие"? Твои знания уже видны. open(O_TMPFILE) + rename на место старого - решает очень много проблем с атомарность доступа. так же как и open+unlink + rename. Но видимо тебе надо все разжевывать, без этого ты ну никак не поймешь. > Зачем скромничать, сразу оракл юзай. спасибо поржал с твоих знаний ;-) пейсши есшо.. сколько школьников набежало.. каникулы вот и маются..
	Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

	74. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от angra (ok) on 25-Июл-15, 00:40
	Ну тут могу сказать только стандартное: "слив засчитан". Возвращайся, когда осилишь понятие алгоритма и тебе вдолбят, что такое решение задачи. А пока тебе до "криворуких" расти и расти.
	Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

	77. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от Аноним (??) on 25-Июл-15, 03:38
	может тебе еще UML диаграммы нарисовать? хотя.. что школоту спрашивать они таких слов не знают.. только твердят "слив засчитан" на все что не в состоянии охватить своим умишком.
	Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

	82. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от angra (ok) on 25-Июл-15, 05:08
	Деточка, я программированием занимался, когда UML еще не придумали. Можешь и UML диаграмму нарисовать, если тебе будет легче. Ты хоть что-то сделай кроме демагогии и кидании обвинений в криворукости. Я бы мог и за тебя набросать твой примитивный алгоритм, но ведь, когда начну показывать его проблемы, ты начнешь вилять задницей. Так что будь добр, распиши или нарисуй его самостоятельно. Давай я тебе покажу пример того, что я от тебя хочу увидеть. Предполагаемый "криворукий" алгоритм может выглядеть так 1. Открыть исходный файл на чтение 2. Объявить shared блокировку 3. Прочитать содержимое 4. Закрыть исходный файл и снять блокировку 5. Изменить содержимое в памяти 6. Открыть исходный файл на запись 7. Объявить exclusive блокировку 8. Записать новое содержимое 9. Снять блокировку. 10. Закрыть исходный файл Осилишь подобное или тебе нужно UML диаграмму нарисовать?
	Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

	84. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от anonymous (??) on 25-Июл-15, 13:07
	> Осилишь подобное или тебе нужно UML диаграмму нарисовать? Тебе уже предложили вариант с атомарными изменениями, но ты его почему то игнорируешь. И он гораздо проще твоего школьного представления о безопасности, лол.
	Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

	103. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+1 +/–
	Сообщение от angra (ok) on 26-Июл-15, 05:05
	Пока ничего не предложили. Если ты вдруг не понял, то я привел пример как может выглядеть имеющийся проблемный алгоритм в libuser. Хочу увидеть настолько же подробный вариант решения от кидающегося обвинениями в криворукости. Информация к размышлению, хоть rename и можно считать атомарной операцией, но вот только это лишь часть действий по редактированию файла. И даже если все остальные операции тоже атомарные, то их совокупность атомарной операцией чаще всего не является. Доступно объясняю?
	Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

	107. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от Аноним (??) on 26-Июл-15, 13:08
	LOL :) ты знаешь что такое open+unlink или O_TMPFILE и зачем они придуманы? видимо нет. Перестань кичится и открой учебники, после чего выкинь свой алгоритм на помойку. shared блокировки ему потребовались. Умник ;-) лана - общаться с человеком который не имеет представления о предмете уже скучно.
	Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

	117. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от angra (ok) on 27-Июл-15, 03:51
	> ты знаешь что такое open+unlink или O_TMPFILE и зачем они придуманы? видимо нет. Прекрасно знаю и давно использую. А вот ты понятие алгоритма так и не осилил. >после чего выкинь свой алгоритм на помойку. shared блокировки ему потребовались. > Умник ;-) Для тупых повторю еще раз. Это НЕ мой алгоритм для редактирования файлов, это НЕ рекомендуемый вариант. Это был пример для тебя как может выглядеть решение задачи редактирования файла. Еще раз(хотя скорее всего все равно не дойдет), это НЕ верное решение задачи, просто ПРИМЕР. > лана - общаться с человеком который не имеет представления о предмете уже скучно. С учетом того, что ты за эти дни так и не смог написать хоть какой-то алгоритм, то мне уже ясно, что мои изначальные предположения о твоем уровне в программировании и неправомерности обвинений в криворукости с твоей стороны оправдались. Больше мне от тебя ничего не надо, время, данное тебе на решение задачи, истекло.
	Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору

	97. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от Michael Shigorin (ok) on 25-Июл-15, 21:07
	> Возвращайся, когда осилишь понятие алгоритма и тебе вдолбят, что такое решение задачи. Так он и привёл ключевые точки. > А пока тебе до "криворуких" расти и расти. Из изложенного Вашим оппонентом очевидно, что нет (я было набросал менее подробный ответ, потом полистал ниже и выкинул свой за ненадобностью).
	Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

	102. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от angra (ok) on 26-Июл-15, 04:59
	> Так он и привёл ключевые точки. Он всего лишь повторил за автором оригинальной новости про вариант с созданием временного файла и его последующим переименованием. А вот написать полный алгоритм надежного редактирования файла так и не осилил, предпочтя уйти в демагогию. В этом же вопросе важна не основная идея, а именно детали.
	Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору

	109. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от Аноним (??) on 26-Июл-15, 13:17
	>> Так он и привёл ключевые точки. > Он всего лишь повторил за автором оригинальной новости про вариант с созданием > временного файла и его последующим переименованием. А вот написать полный алгоритм > надежного редактирования файла так и не осилил, предпочтя уйти в демагогию. > В этом же вопросе важна не основная идея, а именно детали. учи матчасть. Даже до шигорина дошло, а вот до тебя нет. Детали тебе указали, но твой уровень тебе не позволяет их увидеть.
	Ответить | Правка | ^ к родителю #102 | Наверх | Cообщить модератору

	87. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+1 +/–
	Сообщение от Аноним (??) on 25-Июл-15, 17:15
	>> или использование berkleyDB как в BSD системах, для большого количества юзеров сильно >> быстрее чем сканирование текстового файла. >Зачем скромничать, сразу оракл юзай. О! ангра выздоровел, оно снова порет чушь! :) Это ты бувы DB увидел и по рефлексу запел об оракляХ :) Так вот - есть такая штука SQLite - замечательная и легковесная. Аффтор говорит думайте про эту либу как про замену fopen()  :) Она размером с awk и понимает не хилый кусок SQL-я. Так вот - BerkelyDB - это key-value, очень маленькая и очень быстрая. Фсё! Лекцию окончил, тем кто надо - погуглил, подумал да и понял. ангра - не понял и не поймёт! :)
	Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

	104. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от angra (ok) on 26-Июл-15, 05:12
	Oracle как еще более "глобальный и надежный" вариант, чем BDB или sqlite, приведен был для иллюстрации глупости подхода, когда вместо решения исходной задачи - редактирования текстового файла - начинают прелагать заменить его на более подходящий для изменений формат. Похоже для некоторых ирония оказалось слишком тонкой.
	Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

	106. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от Andrey Mitrofanov on 26-Июл-15, 10:55
	>>> или использование berkleyDB как в BSD системах >>Зачем скромничать, сразу оракл юзай. > О! ангра выздоровел, оно снова порет чушь! :) > Это ты бувы DB увидел и по рефлексу запел об оракляХ :) Вам привет от википедии, проприертарщику -  проприертарщиково. "Berkeley DB" is also used as the common brand name for three distinct products: Oracle Berkeley DB, Berkeley DB Java Edition, and Berkeley DB XML. These three products all share a common ancestry and are currently under active development at Oracle Corporation. > Так вот - BerkelyDB - это key-value, очень маленькая и очень быстрая. > Фсё!
	Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

	114. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от Аноним (??) on 26-Июл-15, 18:44
	>>>> или использование berkleyDB как в BSD системах >>>Зачем скромничать, сразу оракл юзай. >> О! ангра выздоровел, оно снова порет чушь! :) >> Это ты бувы DB увидел и по рефлексу запел об оракляХ :) > Вам привет от википедии, проприертарщику -  проприертарщиково. > "Berkeley DB" is also used as the common brand name for three > distinct products: Oracle Berkeley DB, Berkeley DB Java Edition, and Berkeley > DB XML. These three products all share a common ancestry and > are currently under active development at Oracle Corporation. что такое главное имя а что такое "also used" - видимо митрофанову сложно усвоить. а уж что бы узнать - какой же из вариантов используется в bsd системах... да ты че - это же святотатство и отступлении от религии!
	Ответить | Правка | ^ к родителю #106 | Наверх | Cообщить модератору

	43. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	–3 +/–
	Сообщение от Аноним (??) on 24-Июл-15, 10:44
	> Профессионалы написали винду, любители создали линукс. кстати - стоило бы сравнить Linux как всю экосистему - включая DE и Windows. Да да, включить в общее количество багов еще KDE, GNOME, ... и почтовых клиентов.. сдается мне что багов будет сильно больше, если почитать соотвествующие бюллетени. Так что кончай передергивать и вставай на лыжи.
	Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

	46. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+2 +/–
	Сообщение от Аноним (??) on 24-Июл-15, 13:17
	Да-да, заодно придется раскрыть код проприетарщины. Давайте-давайте. А с какого сравнивать все окружения с одним единственным виндовым? Крыша едет не спеша тихо шифером шурша?
	Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

	55. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	–1 +/–
	Сообщение от Аноним (??) on 24-Июл-15, 15:09
	в состав windows входит почтовый клиент, DE и все такое. CryptoAPI этакий OpenSSL.. все это - таки Windows. Так чего же вы количество багов сравниваете только с ядром Linux?
	Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

	89. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+1 +/–
	Сообщение от Аноним (??) on 25-Июл-15, 17:19
	> в состав windows входит почтовый клиент, Да ну?!?! И как же он называется?
	Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

	108. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от Аноним (??) on 26-Июл-15, 13:13
	outlook express уже выпилили ? а ведь идет в базовой установке :)
	Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

	118. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от mirivlad (ok) on 27-Июл-15, 04:20
	Товарищ, вы только что вышли из анабиоза. На дворе 2015 год. Аутглюк экспресс отсутствует в базовой поставке как минимум с виндовс7. Про свисту не скажу, не приходилось в говно со скафандром нырять.
	Ответить | Правка | ^ к родителю #108 | Наверх | Cообщить модератору

	61. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от angra (ok) on 24-Июл-15, 18:42
	Я правильно понимаю, что ты предлагаешь сравнить весь софт под линукс, со всем софтом под винду? Это конечно можно, но как это относится к качеству самих ОС? Количество исправленных багов не так важно, как количество известных существующих и остающихся годами.
	Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

	67. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+1 +/–
	Сообщение от Аноним (??) on 24-Июл-15, 22:38
	> Я правильно понимаю, что ты предлагаешь сравнить весь софт под линукс, со > всем софтом под винду? Это конечно можно, но как это относится > к качеству самих ОС? предлагаю сравнивать не весь софт - а тот кто обеспечивает одинаковую функциональность. если в Windows включен GUI, то и со стороны Linux надо добавить к списку сравнения - DE. если в windows существует cryptoapi - то и в linux надо добавить openssl, если в windows включен shell, то в и linux добавить bash, и тп.. а потом сравним сумарно количество багов в обоих списках. боюсь только линуксоидам сравнение не понравится.
	Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

	70. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+1 +/–
	Сообщение от Led (ok) on 24-Июл-15, 23:55
	> предлагаю Одноклассникам своим предлагай, ламерок малолетний.
	Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

	73. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от angra (ok) on 25-Июл-15, 00:35
	Ну давай попробуем. В линуксе есть ssh, что предлагает windows? Будем сравнивать ssh против rdp? В линуксе есть perl, что предлагает windows? Неужто с VB сравнивать. В линуксе есть четыре DE и куча WM, что предлагает windows? Их даже между собой нелегко сравнить, разные задачи, разные приоритеты при разработке, как следствие разный функционал и степень стабильности. Дальше продолжать или идея ясна? Но все-таки кое-что сравнить можно. Например живущие годами и десятилетиями эпичные баги/фичи в системном софте. Например то, что винда всегда переписывает MBR, более того, способна поставить первичный загрузчик на один винт, а вторичный на другой, что при разнесении винтов приводит к невозможности загрузить систему. Считаю это эпичным. А как насчет утилит, которые на вход принимают параметры в одной кодировке, а вывод выдают в другой. Само собой в их help об этом ни слова. Или вот из недавнего, chkdsk в win 7. Ну ладно арифметику для дебилоидов, когда 0.5% и 20% он считает за 10% можно простить, но вот то, что он сожрал все доступные ему 14гигов оперативки, после чего просто завис без возможности его убить, считаю просто образцом криворукости. В линуксе из долгожителей могу вспомнить невозможность пользоваться глобальными шорткатами при открытом меню в иксах и буфер обмена, привязанный к программе, из которой было осуществлено копирование. Тоже неприятно, но уровень несколько иной.
	Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

	78. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	–1 +/–
	Сообщение от Аноним (??) on 25-Июл-15, 03:40
	> Ну давай попробуем. > В линуксе есть ssh, что предлагает windows? Будем сравнивать ssh против rdp? ssh :-) > В линуксе есть perl, что предлагает windows? Неужто с VB сравнивать. perl ;) > В линуксе есть четыре DE и куча WM, что предлагает windows? Их > даже между собой нелегко сравнить, разные задачи, разные приоритеты при разработке, > как следствие разный функционал и степень стабильности. > Дальше продолжать или идея ясна? ну попробуй :) > Но все-таки кое-что сравнить можно. Например живущие годами и десятилетиями эпичные баги/фичи > в системном софте. Недавний баг в ядре Linux не исправленый с времен 2.6 бородатых, стопку багов в samba (ведь у windows тоже есть свой SMB2).. будем дальше продолжать или идея ясна ?:)
	Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

	81. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+1 +/–
	Сообщение от angra (ok) on 25-Июл-15, 04:55
	> ssh :-) > perl ;) Они уже есть в дефолтной поставке windows? Либо в win10 что-то поменялось, либо ты слишком тупой, чтобы проследить дискуссию. >Недавний баг в ядре Linux не исправленый с времен 2.6 бородатых, стопку багов в samba Конкретику пожалуйста. Телепаты в отпуске.
	Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

	90. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+1 +/–
	Сообщение от Аноним (??) on 25-Июл-15, 17:23
	> предлагаю сравнивать не весь софт - а тот кто обеспечивает одинаковую функциональность. > если в Windows включен GUI, то и со стороны Linux надо добавить Окай ... ели линукс крутится на 99% топ-500 то расскажите как там у форточки :) > и тп.. > а потом сравним сумарно количество багов в обоих списках. > боюсь только линуксоидам сравнение не понравится. Я не боюсь. Я в отличие от тебя в гетерогенке живу. Винда сольёт с гомерическим грохотом. Я сказал! АзЪ. (Особенно если в сети есть Exchange 2007-10-13 и SharepoinдЪ - это ппц)
	Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

	98. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от Michael Shigorin (ok) on 25-Июл-15, 21:08
	> предлагаю сравнивать не весь софт - а тот кто обеспечивает одинаковую функциональность. Вы, боюсь, окажетесь неспособны даже выкатить критерии одинаковости.
	Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

	115. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от Аноним (??) on 26-Июл-15, 18:46
	>> предлагаю сравнивать не весь софт - а тот кто обеспечивает одинаковую функциональность. > Вы, боюсь, окажетесь неспособны даже выкатить критерии одинаковости. странно только когда находят багу в jpeg встроеном в винду - это считается баг в винде, когда тоже самое в libjpeg - "ну это же не баг в линукса"..
	Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

	33. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от Аноним (??) on 24-Июл-15, 07:30
	>>Это и есть NIH-синдром в самом красочном представлении. Только в Красношапке, заметь. >>Написали их только для того, чтобы написать. Как будто что-то плохое. Учиться важно и хорошо.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	36. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+1 +/–
	Сообщение от Аноним (??) on 24-Июл-15, 08:19
	Mir и Unity тоже Красношапка велосипедит?
	Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

	48. "Ох уж эти виндузятники"	+/–
	Сообщение от Аноним (??) on 24-Июл-15, 13:22
	Значит линуксятники можно говорить, а виндуз****** нет. Понятно с вами все opennet $-)
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	99. "Ох уж эти виндузятники"	+/–
	Сообщение от Michael Shigorin (ok) on 25-Июл-15, 21:11
	> Значит линуксятники можно говорить, а виндуз****** нет. Понятно с вами все opennet У Вас, видимо, акцент неправильный -- вот смотрите: виндоузятники. :) > $-)
	Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

13. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	–5 +/–
Сообщение от Crazy Alex (??) on 24-Июл-15, 00:41
Вот примерно за это я и не люблю конкретный кусок юниксвея - текстовые и подобные форматы обмена данными внятной типизации и требующие экранирование. а также - текстовые форматы, требующие экранирование и не умеющие произвольный доступ к файлу. А заодно - 1000 форматов конфигов и 10000 парсеров/писалок для них. Хотя, казалось бы - чего не гонять данные в каком-нибудь protobufs? Чего не использовать в работе компилированный в бинарь конфиг, с эффективным доступом и с проверенным при компиляции синтаксисом?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	14. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от Аноним (??) on 24-Июл-15, 00:48
	> Вот примерно за это я и не люблю конкретный кусок юниксвея - > текстовые и подобные форматы обмена данными внятной типизации и требующие экранирование. Нужно больше публичных платформ для улучшения кодовой базы юзерленд софта. Coverity делает пользу для Open Source.
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	16. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	–2 +/–
	Сообщение от Crazy Alex (ok) on 24-Июл-15, 01:22
	Это к чему было?
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	18. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	–2 +/–
	Сообщение от Аноним (??) on 24-Июл-15, 01:34
	> Это к чему было? Все дистрибутивы линукса друг–друга ненавидят, работают против линукса и создают прецеденты для ненависти.
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	68. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+1 +/–
	Сообщение от Led (ok) on 24-Июл-15, 23:48
	>> Это к чему было? > Все дистрибутивы линукса друг–друга ненавидят, работают против линукса и создают > прецеденты для ненависти. Зато маководы любят друг друга. Регулярно. И держась за руки ходят на iПарады.
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	28. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+3 +/–
	Сообщение от angra (ok) on 24-Июл-15, 04:32
	Не понял, а почему твой пост сделан в этом гадком текстовом формате без внятной типизации, а не "скомпилирован в бинарь"?
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	51. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	–3 +/–
	Сообщение от Crazy Alex (ok) on 24-Июл-15, 14:20
	Потому что цель поста - писание/чтение людьми. А вот цель /etc/passwd, кк и кучи других конфигов - в первую очередь чтение машиной. С другой стороны, как только в HTML оказывается что-то большое, вроде книги - его иногда и компилируют в бинарь - от EPUB до PDF. Опять же, компиляция в бинарь сто лет как успешно применяется в том же постфиксе.
	Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

	62. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от angra (ok) on 24-Июл-15, 18:48
	Писать конфиги тоже должна машина? Ну тогда дождись skynet и будет тебе счастье.
	Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

	63. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от Crazy Alex (ok) on 24-Июл-15, 19:47
	Ну вот данный конфиг (/etc/passwd) в норме человек руками не пишет. А для тех, которые люди пишут - ты слово "компилировать" и упоминание постфикса пропустил, или где? И да, компиляция подразумевает наличие грамматики, нормального синтаксического разбора и т.п. Поверх этого, в идеале - проход проверки семантики, чтобы несовместимых параметров не было и т.п. - насколько возможно. А дальше приложение пользуется данными в удобном для машины виде, а человек более-менее уверен, что то, что он написал - корректно. А сейчас, например, в тот же crontab муть вписать - нет проблем, а узнаешь об этом только потом из логов. P.S. Я AI и так жду с нетерпением, так что скайнетом меня пугать бесполезно :)
	Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

	75. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	–1 +/–
	Сообщение от angra (ok) on 25-Июл-15, 00:59
	Человек /etc/passwd может редактировать и смотреть из него данные. Причем делать это через текстовый редактор куда удобней(хоть и не безопасно), чем через всякие утилиты. Но тут надо отметить, что /etc/passwd это скорее исключение, с учетом его простоты существует даже избыток софта, позволяющий его просмотр и изменение. А вот что делать с конфигом того же апача или exim? Их, представь себе пишут руками. Ну а "компиляция" нужна вовсе не для того, что ты думаешь. Основная ее цель не в проверке правильности, а в минимизации времени старта.  В postfix, sendmail или nsd изменения ты все равно вносишь в текстовый конфиг, а не в транслированный вариант. Так что это просто изменение момента парсинга и никаких проблем текстовых конфигов она не решает. Для сведения, очень многие сервисы без всякой "компиляции" позволяют сделать тест конфига на корректность до его применения.
	Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

	86. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от Crazy Alex (ok) on 25-Июл-15, 16:54
	Именно, небезопасно - то есть не должно быть лёгким и удобным. Смотреть данные - никто не мешает держать человекочитаемую копию, если уж так не хочется вызывать тулзу, когда надо глазами посмотреть. вообще, /etc/passwd - это как раз тот случай, когда текстовый конфиг можно выкинуть без какого-либо ущерба, даже с выигрышем. Что и произошло в половине юниксов, собственно. Что до постфикса - корректность синтаксиса там тоже проверяется. И это, как мне кажется, куда важнее, чем скорость запуска.  И разумеется, изменения ты вносишь в текстовый вариант. Хотя чисто бинарный конфиг, где принципиально нет проблем ни с каким экранированием, был бы интересен - но слишком у многих условный рефлекс на регэдит включается быстрее логики, чтобы такое можно было спокойно обсуждать. Второй плюс отдельной утилиты - ты никогда не отложишь ошибку парсинга до релоада конфигов. К тому же компиляция хороша тем, что сервису невозможно подсунуть данные, не прошедшие обработку отдельной утилитой, при разработке которых обычно проверкам уделяется гораздо больше внимания, чем когда парсинг пихается внутрь демона, и это же касается любых сторонних утилит, где разбор обычно ещё хуже. К примеру, как часто вы видели в парсерах конфигов нормальный разбор по грамматике? Обычно какой-то ad-hoc вариант. А ведь одно это избавило бы от массы дыр. Насчёт Apache - давайте не будем, а? Адски сложный комбайн потребовал адски сложную конфигурацию, которую написать полностью корректно - вообще отдельное искусство, но тут надо говорить скорее о code bloat.
	Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

	113. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от Anonymous1 on 26-Июл-15, 16:26
	> Потому что цель поста - писание/чтение людьми. А вот цель /etc/passwd, кк > и кучи других конфигов - в первую очередь чтение машиной. С > другой стороны, как только в HTML оказывается что-то большое, вроде книги > - его иногда и компилируют в бинарь - от EPUB до > PDF. > Опять же, компиляция в бинарь сто лет как успешно применяется в том > же постфиксе. В какой такой бинарь в Постфиксе компиляция? Если текстовый список параметров типа transport там используют в другом формате - это не бинарная компиляция, а просто предобработка, а не компилятор конфигов а-ля Cendmail...
	Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

34. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+2 +/–
Сообщение от Ан0ним on 24-Июл-15, 07:37
>>AUTHOR        Otto Hammersmith <otto@redhat.com>        Michael K. Johnson <johnsonm@redhat.com> но виноват все равно Марк с убунтой))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	–1 +/–
Сообщение от shuL5Lix on 24-Июл-15, 10:04
Это уязвимость не в Linux, не пугайте народ.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	53. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	–1 +/–
	Сообщение от Нанобот (ok) on 24-Июл-15, 14:48
	CVE-2015-3290 - в linux
	Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

40. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	–1 +/–
Сообщение от ALex_hha (ok) on 24-Июл-15, 10:08
> Проблема проявляется на системах с архитектурой x86_64 при использовании ядра Linux 3.13 и более новых версий. я может что упустил, но где RedHat использует ядра 3.13+? В том же RHEL 7, например, идет 3.10.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	44. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+6 +/–
	Сообщение от Аноним (??) on 24-Июл-15, 12:37
	Это давняя традиция редхата - бэкпортировать баги из новых ядер.
	Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

	56. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от Stax (ok) on 24-Июл-15, 15:24
	Вы так пишете, просто чтобы что-то написать? Или специально FUD разводите? Смотрим https://access.redhat.com/security/cve/CVE-2015-3290 This issue does not affect the Linux kernel packages as shipped with Red Hat Enterprise Linux 5 and 6 since they did not backport the nested NMI handler and espfix64 functionalities. This issue does not affect the Linux kernel packages as shipped with Red Hat Enterprise Linux 7 and Red Hat Enterprise MRG 2 since they did not backport the espfix64 functionality and also did not backport upstream commit e00b12e64be9a3 that allowed an unprivileged local user to re-enable NMIs from the NMI handler.
	Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

	100. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от Michael Shigorin (ok) on 25-Июл-15, 21:15
	>> Это давняя традиция редхата - бэкпортировать баги из новых ядер. > Вы так пишете, просто чтобы что-то написать? Или специально FUD разводите? Это вообще-то правда -- такая "традиция" действительно есть, увы.  Издержки бэкпортов.
	Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

	116. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от Stax (ok) on 26-Июл-15, 21:43
	Про бэкпорты я знаю :) Я про данный конкретный пример - что за манера у людей вечно подозревать "наверняка же бэкпортнули баг и теперь даже в старой версии ДЫРКА! АХАХАХА!", когда ни одного упоминания, что дырка есть нет и легко находится официальная оценка критичности CVE в плане дистрибутивов RHEL? У редхата вообще с документированием CVE все замечательно, публикуют в открытом доступе, оперативно и подроно.
	Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

	54. "Несколько уязвимостей в Linux, позволяющих повысить свои при..."	+/–
	Сообщение от Нанобот (ok) on 24-Июл-15, 14:50
	> я может что упустил, но где RedHat использует ядра 3.13+? В том > же RHEL 7, например, идет 3.10. первых три абзаца в новости про redhat, четвёртый - про йадро. они не связаны между собой
	Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема