forum.opennet.ru - "Уязвимость в подсистеме ядра Linux Netfilter" (22)

"Уязвимость в подсистеме ядра Linux Netfilter"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в подсистеме ядра Linux Netfilter"	+/–
Сообщение от opennews (??), 31-Май-22, 21:27
В ядре Linux выявлена уязвимость (CVE не назначен), позволяющая локальному пользователю получить права root в системе. Заявлено о подготовке эксплоита, демонстрирующего получение root-привилегий в Ubuntu 22.04. Для включения в ядро предложен патч с устранением проблемы... Подробнее: https://www.opennet.me/opennews/art.shtml?num=57281
Ответить \| Правка \| Cообщить модератору

Оглавление

Как всегда, чтобы получить рута, нужен рут То, что рут в контейнере равен руту , Аноним (6), 22:25 , 31-Май-22, (6) +2

Проблема в том, что достаточно и виртуального рута, который в контейнерах непр, Аноним (9), 22:47 , 31-Май-22, (9) +2

kernel unprivileged_userns_clone 0 обычно следующая строка после kernel unprivi, Аноним (6), 22:49 , 31-Май-22, (10) –1
Ну, извините, это проблема контейнеров Вообще как-то следует ожидать, что рут в , Онаним (?), 18:14 , 01-Июн-22, (27)

Опять namespaces - Кажется, это уже 105 уязвимость И, как сказали выше, оно сам, Аноним (7), 22:37 , 31-Май-22, (7) –4

В Ubuntu и Fedora вроде создание user namespaces по умолчанию включено всем пол, Аноним (9), 22:46 , 31-Май-22, (8)

Не тащить в production bleeding edge, не , Аноним (6), 22:54 , 31-Май-22, (11) +1

slackware 3 1 хватит всем этот твой bleeping age уже лет семь как настал В шко, пох. (?), 00:52 , 01-Июн-22, (16) –2

Что поделать, Торвальдс в своем первом релизе не додумался это сразу накодить, п, Аноним (-), 17:39 , 01-Июн-22, (25)

Смешно, как сразу начали писать ваша уязвимость не уязвимость , Аноним (-), 00:26 , 01-Июн-22, (13) +3

Линуксоиды, сэр Они всегда так делают , Аноним (-), 00:43 , 01-Июн-22, (14) –3
Не, ну в целом-то - эта дыра у нас у большинства в безопасТносте И вовсе не 1, пох. (?), 00:51 , 01-Июн-22, (15) –2

С твоим даром предвидения можно было бы огромные бабосы зашибать, но ты весь тал, Аноним (23), 17:13 , 01-Июн-22, (23) +3

Вообще-то, это уязвимость, просто, как я понял, вектор атаки подразумевает, что , Аноним (17), 00:54 , 01-Июн-22, (17)
А может виртуальный рут дается именно потому что не хотят давать реальный И пол, Аноним (-), 21:08 , 01-Июн-22, (29)

Вубунте пофиксили уже оперативноMay 31 13 19 24 cc canonical-livepatch canonical, нонейм (?), 01:26 , 01-Июн-22, (18)

У них там просто график такой - раз в неделю ядро пересобирать правда, едет рег, Аноним (6), 11:08 , 01-Июн-22, (22)

Вот так новость Никогда такого не было, и вот опять Или это снова неправильные, Аноним (23), 17:15 , 01-Июн-22, (24)
По теме cloudflare-warp при установке сам меняет правила nftables, не спрашивая, Аноним (26), 17:56 , 01-Июн-22, (26)

А что он у тебя должен спрашивать , Аноним (23), 19:12 , 01-Июн-22, (28)

Раб , пох. (?), 08:54 , 03-Июн-22, (31)

наконец то для android8 сделают root , Аноним (30), 09:52 , 02-Июн-22, (30)

Сообщения [Сортировка по ответам | RSS]

6. Сообщение от Аноним (6), 31-Май-22, 22:25 +2 +/–

> Для проведения атаки требуется наличие доступа к nftables, который можно получить в отдельном сетевом пространстве имён (network namespaces) при наличии прав CLONE_NEWUSER, CLONE_NEWNS или CLONE_NEWNET (например, при возможности запуска изолированного контейнера).
Как всегда, чтобы получить рута, нужен рут.
(То, что рут в контейнере равен руту на хосте, все и так давно в курсе)

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9

7. Сообщение от Аноним (7), 31-Май-22, 22:37 –4 +/–

Опять namespaces :-)
Кажется, это уже 105 уязвимость.
И, как сказали выше, оно само по себе требует рута - короче, стоит беспокоиться только хостерам, которые используют ns виртуализацию.
// b.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #25

8. Сообщение от Аноним (9), 31-Май-22, 22:46 +/–

В Ubuntu и Fedora вроде создание user namespaces  по умолчанию включено всем пользователям (user.max_user_namespaces != 0).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #11

9. Сообщение от Аноним (9), 31-Май-22, 22:47 +2 +/–

Проблема в том, что достаточно и "виртуального" рута, который в контейнерах непривилегированным пользователям в Ubuntu и Fedora даётся.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #10, #27

10. Сообщение от Аноним (6), 31-Май-22, 22:49 –1 +/–

kernel.unprivileged_userns_clone=0 (обычно следующая строка после kernel.unprivileged_bpf_disabled=1)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

11. Сообщение от Аноним (6), 31-Май-22, 22:54 +1 +/–

Не тащить в production bleeding edge, не?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #16

13. Сообщение от Аноним (-), 01-Июн-22, 00:26 +3 +/–

Смешно, как сразу начали писать 'ваша уязвимость не уязвимость'

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #15, #17, #29

14. Сообщение от Аноним (-), 01-Июн-22, 00:43 –3 +/–

Линуксоиды, сэр. Они всегда так делают.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

15. Сообщение от пох. (?), 01-Июн-22, 00:51 –2 +/–

Не, ну в целом-то - эта дыра у нас у большинства "в безопасТносте".
(И вовсе не 105 а всего одна. Вечная.)
В смысле, кто включил userns тот должен понимать что теперь у него все юзеры - руты, для того ведь и userns.
А что изоляция построенная на бесконечных проверках на каждый чих "точно этот рут совсем рут?" работать никогда и не будет - казалось бы, очевидно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #23

16. Сообщение от пох. (?), 01-Июн-22, 00:52 –2 +/–

slackware 3.1 хватит всем!
(этот твой bleeping age уже лет семь как настал. В школу его отправь!)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

17. Сообщение от Аноним (17), 01-Июн-22, 00:54 +/–

Вообще-то, это уязвимость, просто, как я понял, вектор атаки подразумевает, что у тебя уже есть полноправный пользователь и возможность исполнять любой код. Если кто-то рассчитывает на то, что виртуальный рут не так опасно, то что ж. Но, похоже, сбежать из нормальной изоляции, когда ты не unshare -r с правом ставить setcap cap_sys_admin+ep любому файлу (даже при отсутствии такого права у запустившего пользователя), бояться нечего?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

18. Сообщение от нонейм (?), 01-Июн-22, 01:26 +/–

Вубунте пофиксили уже оперативно
May 31 13:19:24 cc canonical-livepatch.canonical-livepatchd[812]: System contains non-livepatch tainted modules.
May 31 14:34:15 cc canonical-livepatch.canonical-livepatchd[812]: module "livepatch_Ubuntu_5_15_0_33_34_generic_86" already inserted

$ sudo ls -l /var/snap/canonical-livepatch/common/payload/
total 544
-rw------- 1 root root    545 May 31 13:19 changelog
-rw------- 1 root root   1771 May 31 13:19 copyright
-rw------- 1 root root    634 May 31 13:19 cvelist.yaml
-rwx------ 1 root root 536628 May 31 13:19 livepatch_Ubuntu_5_15_0_33_34_generic_86.ko
-rw------- 1 root root     45 May 31 13:19 meta

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #22

22. Сообщение от Аноним (6), 01-Июн-22, 11:08 +/–

У них там просто график такой - раз в неделю ядро пересобирать (правда, едет регулярно, потому что раздолбаи).
Не факт, что они именно эту дыру пофиксили.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

23. Сообщение от Аноним (23), 01-Июн-22, 17:13 +3 +/–

> казалось бы, очевидно
С твоим даром предвидения можно было бы огромные бабосы зашибать, но ты весь талант потратил на мытьё полов в ДЦ и газификацию комментов на опеннете. А мог бы быть богатым, сытым и жить в приличном районе.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

24. Сообщение от Аноним (23), 01-Июн-22, 17:15 +/–

> use-after-free
Вот так новость! Никогда такого не было, и вот опять. Или это снова неправильные сишники писали?

Ответить | Правка | Наверх | Cообщить модератору

25. Сообщение от Аноним (-), 01-Июн-22, 17:39 +/–

> Опять namespaces :-)
Что поделать, Торвальдс в своем первом релизе не додумался это сразу накодить, пришлось прикручивать к тому что есть. С понятным результатом - иногда усы все же отклеиваются.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

26. Сообщение от Аноним (26), 01-Июн-22, 17:56 +/–

По теме: cloudflare-warp при установке сам меняет правила nftables, не спрашивая даже!

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28

27. Сообщение от Онаним (?), 01-Июн-22, 18:14 +/–

Ну, извините, это проблема контейнеров.
Вообще как-то следует ожидать, что рут в контейнере в любой момент может стать рутом в головной системе.
Слишком много переусложнённого везде.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

28. Сообщение от Аноним (23), 01-Июн-22, 19:12 +/–

А что он у тебя должен спрашивать?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #31

29. Сообщение от Аноним (-), 01-Июн-22, 21:08 +/–

А может виртуальный рут дается именно потому что не хотят давать реальный? И пользователь не ожидает такого подвоха?) Та не, фигня какая-то...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

30. Сообщение от Аноним (30), 02-Июн-22, 09:52 +/–

наконец то для android8 сделают root?

Ответить | Правка | Наверх | Cообщить модератору

31. Сообщение от пох. (?), 03-Июн-22, 08:54 +/–

> А что он у тебя должен спрашивать,
Раб!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

6. Сообщение от Аноним (6), 31-Май-22, 22:25	+2 +/–
> Для проведения атаки требуется наличие доступа к nftables, который можно получить в отдельном сетевом пространстве имён (network namespaces) при наличии прав CLONE_NEWUSER, CLONE_NEWNS или CLONE_NEWNET (например, при возможности запуска изолированного контейнера). Как всегда, чтобы получить рута, нужен рут. (То, что рут в контейнере равен руту на хосте, все и так давно в курсе)
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #9

7. Сообщение от Аноним (7), 31-Май-22, 22:37	–4 +/–
Опять namespaces :-) Кажется, это уже 105 уязвимость. И, как сказали выше, оно само по себе требует рута - короче, стоит беспокоиться только хостерам, которые используют ns виртуализацию. // b.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #8, #25

8. Сообщение от Аноним (9), 31-Май-22, 22:46	+/–
В Ubuntu и Fedora вроде создание user namespaces по умолчанию включено всем пользователям (user.max_user_namespaces != 0).
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7 Ответы: #11

9. Сообщение от Аноним (9), 31-Май-22, 22:47	+2 +/–
Проблема в том, что достаточно и "виртуального" рута, который в контейнерах непривилегированным пользователям в Ubuntu и Fedora даётся.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6 Ответы: #10, #27

10. Сообщение от Аноним (6), 31-Май-22, 22:49	–1 +/–
kernel.unprivileged_userns_clone=0 (обычно следующая строка после kernel.unprivileged_bpf_disabled=1)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9

11. Сообщение от Аноним (6), 31-Май-22, 22:54	+1 +/–
Не тащить в production bleeding edge, не?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8 Ответы: #16

13. Сообщение от Аноним (-), 01-Июн-22, 00:26	+3 +/–
Смешно, как сразу начали писать 'ваша уязвимость не уязвимость'
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #14, #15, #17, #29

14. Сообщение от Аноним (-), 01-Июн-22, 00:43	–3 +/–
Линуксоиды, сэр. Они всегда так делают.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13

15. Сообщение от пох. (?), 01-Июн-22, 00:51	–2 +/–
Не, ну в целом-то - эта дыра у нас у большинства "в безопасТносте". (И вовсе не 105 а всего одна. Вечная.) В смысле, кто включил userns тот должен понимать что теперь у него все юзеры - руты, для того ведь и userns. А что изоляция построенная на бесконечных проверках на каждый чих "точно этот рут совсем рут?" работать никогда и не будет - казалось бы, очевидно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13 Ответы: #23

16. Сообщение от пох. (?), 01-Июн-22, 00:52	–2 +/–
slackware 3.1 хватит всем! (этот твой bleeping age уже лет семь как настал. В школу его отправь!)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11

17. Сообщение от Аноним (17), 01-Июн-22, 00:54	+/–
Вообще-то, это уязвимость, просто, как я понял, вектор атаки подразумевает, что у тебя уже есть полноправный пользователь и возможность исполнять любой код. Если кто-то рассчитывает на то, что виртуальный рут не так опасно, то что ж. Но, похоже, сбежать из нормальной изоляции, когда ты не unshare -r с правом ставить setcap cap_sys_admin+ep любому файлу (даже при отсутствии такого права у запустившего пользователя), бояться нечего?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13

18. Сообщение от нонейм (?), 01-Июн-22, 01:26	+/–
Вубунте пофиксили уже оперативно May 31 13:19:24 cc canonical-livepatch.canonical-livepatchd[812]: System contains non-livepatch tainted modules. May 31 14:34:15 cc canonical-livepatch.canonical-livepatchd[812]: module "livepatch_Ubuntu_5_15_0_33_34_generic_86" already inserted $ sudo ls -l /var/snap/canonical-livepatch/common/payload/ total 544 -rw------- 1 root root 545 May 31 13:19 changelog -rw------- 1 root root 1771 May 31 13:19 copyright -rw------- 1 root root 634 May 31 13:19 cvelist.yaml -rwx------ 1 root root 536628 May 31 13:19 livepatch_Ubuntu_5_15_0_33_34_generic_86.ko -rw------- 1 root root 45 May 31 13:19 meta
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #22

22. Сообщение от Аноним (6), 01-Июн-22, 11:08	+/–
У них там просто график такой - раз в неделю ядро пересобирать (правда, едет регулярно, потому что раздолбаи). Не факт, что они именно эту дыру пофиксили.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18

23. Сообщение от Аноним (23), 01-Июн-22, 17:13	+3 +/–
> казалось бы, очевидно С твоим даром предвидения можно было бы огромные бабосы зашибать, но ты весь талант потратил на мытьё полов в ДЦ и газификацию комментов на опеннете. А мог бы быть богатым, сытым и жить в приличном районе.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15

24. Сообщение от Аноним (23), 01-Июн-22, 17:15	+/–
> use-after-free Вот так новость! Никогда такого не было, и вот опять. Или это снова неправильные сишники писали?
Ответить \| Правка \| Наверх \| Cообщить модератору

25. Сообщение от Аноним (-), 01-Июн-22, 17:39	+/–
> Опять namespaces :-) Что поделать, Торвальдс в своем первом релизе не додумался это сразу накодить, пришлось прикручивать к тому что есть. С понятным результатом - иногда усы все же отклеиваются.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7

26. Сообщение от Аноним (26), 01-Июн-22, 17:56	+/–
По теме: cloudflare-warp при установке сам меняет правила nftables, не спрашивая даже!
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #28

27. Сообщение от Онаним (?), 01-Июн-22, 18:14	+/–
Ну, извините, это проблема контейнеров. Вообще как-то следует ожидать, что рут в контейнере в любой момент может стать рутом в головной системе. Слишком много переусложнённого везде.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9

28. Сообщение от Аноним (23), 01-Июн-22, 19:12	+/–
А что он у тебя должен спрашивать?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #26 Ответы: #31

29. Сообщение от Аноним (-), 01-Июн-22, 21:08	+/–
А может виртуальный рут дается именно потому что не хотят давать реальный? И пользователь не ожидает такого подвоха?) Та не, фигня какая-то...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13

30. Сообщение от Аноним (30), 02-Июн-22, 09:52	+/–
наконец то для android8 сделают root?
Ответить \| Правка \| Наверх \| Cообщить модератору

31. Сообщение от пох. (?), 03-Июн-22, 08:54	+/–
> А что он у тебя должен спрашивать, Раб!
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #28