Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в утилите needrestart, позволяющие получить root-доступ в Ubuntu Server"	+/–
Сообщение от opennews (??), 20-Ноя-24, 00:20
Компания Qualys выявила три уязвимости в утилите needrestart, предназначенной для перезапуска фоновых процессов после обновления используемых данными процессами библиотек. Начиная с Ubuntu 21.04 утилита needrestart включена в состав базового окружения Ubuntu Server, в котором запускается с правами root в конце каждой транзакции пакетного менеджера APT, сканирует запущенные процессы и перезапускает те их них, что связанны с файлами, изменившимися после обновления пакетов. Выявленные уязвимости позволяют локальному непривилегированному пользователю получить права root в Ubuntu Server в конфигурации по умолчанию... Подробнее: https://www.opennet.me/opennews/art.shtml?num=62261
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

2. Сообщение от Аноним (2), 20-Ноя-24, 00:23	–1 +/–
Ну ещё и ещё один повод использовать рхел и его клоны.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #6, #9, #32

4. Сообщение от Аноним (4), 20-Ноя-24, 00:41	–1 +/–
Так вроде ж ключевая идея всех суидных утилит в том, чтобы обнулять пользовательские переменные при исполнении. Зачем они каждый раз их задействуют? Едва ли можно на халатность. И как у них клиенты остаются после подобного?
Ответить | Правка | Наверх | Cообщить модератору

5. Сообщение от Аноним (5), 20-Ноя-24, 00:59	+1 +/–
Redhat добавляла уязвимости из-за кривых патчей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #28

6. Сообщение от нах. (?), 20-Ноя-24, 01:10	–4 +/–
это в котором двадцать лет не могут аналогичную утилиту для dnf написать? Ну да, безопастно. Нет утилиты, нет опастностей. Поставил обновления - просто перезагружайся, какввенде, неча тебе гадать, что именно этими обновлениями затронуто, а что нет. (20 - потому что zypper в suse умел такое еще в начале нулевых, а убунта, вот, всего через 15 лет догнала, но есть нюанс)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #12

7. Сообщение от Аноним (7), 20-Ноя-24, 01:15	+/–
Провел аудит Debian в минимальной установки с помощью systemd-analyze security. .service красные.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #61, #74

9. Сообщение от Anonyrat (?), 20-Ноя-24, 01:47	–2 +/–
> Ну ещё и ещё один повод использовать рхел и его клоны. Можно подумать, будто бы у тебя есть выбор :-) В deb дистрибутивах до сих пор нет возможности вывести список всех пакетов (включая метапакеты), которые ты установил вручную, без учёта тех, которые поставились с системой при её установке.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #14, #55

10. Сообщение от Аэро (?), 20-Ноя-24, 01:54	+3 +/–
Щас вообще какой век что бы сидеть без фаервола?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21, #27

12. Сообщение от Аноним (12), 20-Ноя-24, 02:07	+3 +/–
> это в котором двадцать лет не могут аналогичную утилиту для dnf написать? а с какого бодуна должна такая шняга перезапускать процессы без желания пользователя? > Поставил обновления - просто перезагружайся поставил обновления днем, ручной перезапуск ночью - аксиома.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #33, #45, #75

14. Сообщение от мяв (?), 20-Ноя-24, 02:35	–2 +/–
это ведь.. такой нужный функционал, лол? и да, Вы не правы, man apt-mark, в частности, showmanual
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #15

15. Сообщение от мяв (?), 20-Ноя-24, 02:40	–3 +/–
а, нет, беру слова назад, щас перепроверила специально, это чуть другом. тем не менее, такое умеет делать nala.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #78

21. Сообщение от Anonyrat (?), 20-Ноя-24, 03:02	+/–
Зачем тебе файрволл за NATом провайдера?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #24

23. Сообщение от penetrator (?), 20-Ноя-24, 03:35	+1 +/–
вообще не удивлен, бубунта уникальный продукт, со своей особенной глюкавостью
Ответить | Правка | Наверх | Cообщить модератору

24. Сообщение от Аноним (24), 20-Ноя-24, 03:38	+/–
Откуда у ipv6-only провайдера NAT?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #25, #26

25. Сообщение от Аноним (25), 20-Ноя-24, 05:41	+1 +/–
откуда такой провайдер? засланец?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #39, #51

26. Сообщение от Ананым (?), 20-Ноя-24, 05:58	+/–
> Откуда ipv6-only Фикс, так будет правильнее
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

27. Сообщение от Ананым (?), 20-Ноя-24, 06:00	+/–
Ходят слухи что в наш век без фаервола сидеть куда безопаснее чем в век виндос хп
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #48

28. Сообщение от Ананым (?), 20-Ноя-24, 06:02	–2 +/–
В редхате патчей кот наплакал по сравнению с бубунтой и дебияном
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #31, #44, #73

31. Сообщение от Аноним (31), 20-Ноя-24, 07:49	+/–
Потому что это не полигон для испытаний?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

32. Сообщение от Аноним (32), 20-Ноя-24, 08:15	+/–
needs-restarting в RH уже проверели?)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

33. Сообщение от WE (?), 20-Ноя-24, 08:22	+3 +/–
аксиома это ночью спать, а не перезапускать непонятно чего.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #49, #69

34. Сообщение от Аноним (34), 20-Ноя-24, 08:35	+/–
Нафейхоа в одной утилите было использовать скритпы на куче интерпретируемых языков? Python, Ruby, Perl - кошмар. Неудивительно, что с вот этим всем можно запутаться, не учесть особенностей. Почему бы всё на том же Python не реализовать?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #40, #47, #63

39. Сообщение от Аноним (39), 20-Ноя-24, 09:07	+/–
Откуда там вообще канал связи?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

40. Сообщение от Аноним (40), 20-Ноя-24, 09:19	+/–
Да,тебе пора это реализовать. Разрешаем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

41. Сообщение от Catwoolfii (ok), 20-Ноя-24, 09:25	+1 +/–
В Debian есть аналогичная утилита checkrestart из пакета debian-goodies. Интересно, что там у неё с секьюрностью?
Ответить | Правка | Наверх | Cообщить модератору

44. Сообщение от Аноним (-), 20-Ноя-24, 09:30	+/–
> В редхате патчей кот наплакал по сравнению с бубунтой и дебияном Особенно на доисторические керенлы, угумс.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

45. Сообщение от Аноним (45), 20-Ноя-24, 09:31	+/–
> а с какого бодуна должна такая шняга перезапускать процессы без желания пользователя? она спрашивает пользователя, если в интерактивном режиме и просто печатает список для перезапуска в неинтерактивном
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #71

47. Сообщение от Аноним (2), 20-Ноя-24, 09:46	+1 +/–
Это же не злой Корп который стукнул по столу кулаком и сказал только питон или только 1сскрипт. Тут добрый опенсорс каждый пишет во что горазд.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #64

48. Сообщение от Ананий (?), 20-Ноя-24, 09:48	+/–
во времена WinXP вплоть до SP3 достаточно было времени между поднятием сети и влючением виндового "фириволла", чтобы словить бластер с сассером.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #67

49. Сообщение от Аноним (49), 20-Ноя-24, 10:09	+/–
sleep 5h && reboot - господь запретил набрать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #59, #60

51. Сообщение от Минона (ok), 20-Ноя-24, 10:19	+/–
Наверное это интернет-бояре с Барвихи, 10 Gbit в дом =)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

52. Сообщение от Аноним (-), 20-Ноя-24, 10:20	+1 +/–
> Безопаснее только храстовики ко орве на каждый апдейт качают из карго новые эксплоиты. Что что? У вас орви? Или вы агроном и про коров пытались задвинуть? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

54. Сообщение от Аноним (-), 20-Ноя-24, 10:26	+/–
> окружения PYTHONPATH на основе содержимого файла /proc/pid/environ, > которую затем использует и для запуска собственного Python-кода. Убунта наняла всяких питонистов по объявлению. Уязвимости, блин?! Да у них их апгрейдер систему обновить не может в половине случаев. При том что по сути - только пакетный менеджер и запускает. Но нет, чудо-програмеры даже это прогадить умудряются. Например скачав распоследнюю версию скрипта апдейта - чтобы обнаружить что оказывается с системной версией питона это вообще не работает. И теперь вы либо реинсталите систему, либо свичите репы и апдейтитесь лапками. Потому что упс, "новая версия убунты не обнаружена!".
Ответить | Правка | Наверх | Cообщить модератору

55. Сообщение от Соль земли (?), 20-Ноя-24, 10:41	+/–
aptitude показывает локально установленные. Также список пакетов после установки никто не запрещает сохранить. Но вот rollback нет, как в yum/dnf.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

56. Сообщение от Соль земли (?), 20-Ноя-24, 10:46	+/–
Глупые уязвимости. Но и исправляются тоже в два счёта. Оптимализм лучше перфекционизма.
Ответить | Правка | Наверх | Cообщить модератору

59. Сообщение от gogo (?), 20-Ноя-24, 11:03	+3 +/–
ребутить не глядя? блаженны верующие )))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

60. Сообщение от crypt (ok), 20-Ноя-24, 11:22	+/–
твой работодатель, если у тебя работа чуть крупнее, чем рога и копыта.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

61. Сообщение от crypt (ok), 20-Ноя-24, 11:27	+2 +/–
это новый уровень линукса для домохозяек. нифига не понятно, зато эмодзи ресует.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

62. Сообщение от pic (??), 20-Ноя-24, 11:36	–2 +/–
А так ли нужен root? Тем более на домашней системе.
Ответить | Правка | Наверх | Cообщить модератору

63. Сообщение от пох. (?), 20-Ноя-24, 11:47	+/–
попробуй не используя скрипты на куче языков - проверить подлежит ли рестарту сервис, написанный на этих самых языках. (И нет, кроме очевидного апгрейда интерпретатора есть куча других причин по которым его обязательно надо перезапускать.) > Почему бы всё на том же Python не реализовать? приступай. (и не забудь переписывать заново с каждой новой версией пихона. Это тебе ответ почему на нем вообще не надо писать ничего кроме одноразовых хеловротов.)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #65, #77, #52

64. Сообщение от Аноним (-), 20-Ноя-24, 12:09	+/–
Canonical - может, не злой, но корп.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

65. Сообщение от Аноним (-), 20-Ноя-24, 12:12	+/–
Обратная совместимость в пределах третьей ветки есть. Но можно всё и Баше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

67. Сообщение от InuYasha (??), 20-Ноя-24, 12:47	+/–
Спасибо! Вызвал у меня ностальгические слёзы умилениума.. т.е. умиления :_)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #72

69. Сообщение от Аноним (69), 20-Ноя-24, 13:28	+/–
лол кек, ппц, алё, аксиома - дежурный админ, проснись "человек оркестр", концерт окончен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

71. Сообщение от Аноним (69), 20-Ноя-24, 13:33	+/–
""" в котором запускается с правами root в конце каждой транзакции пакетного менеджера APT, сканирует запущенные процессы и перезапускает те из них, что связаны с файлами, изменившимися после обновления пакетов. """ что такое транзакция пакетного менеджера?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

72. Сообщение от Аноним (69), 20-Ноя-24, 13:38	+/–
каретка сидирома заскрепела аж :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

73. Сообщение от Аноним (-), 20-Ноя-24, 16:46	+/–
> В редхате патчей кот наплакал по сравнению с бубунтой и дебияном Это как сказать. Ядра они гальванизируют очень даже...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

74. Сообщение от Аноним (74), 20-Ноя-24, 18:59	+1 +/–
>systemd-analyze security Ну тогда всё в безопасТносте. Not a bug!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

75. Сообщение от freebzzZZZzzd (ok), 20-Ноя-24, 20:06	+/–
>поставил обновления днем, ручной перезапуск ночью - аксиома. смехотворное обсуждение, на самом деле рхел-клоны всё давно перезапускают. ну по крайней мере обновления проги точно перезапускает прогу. какие-то либы глубоко в потрохах - зачем сразу перезапускать? в целом это вопрос sla и конфигурации балансировщиков, за которыми эти сервисы сидят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #76

76. Сообщение от Аноним (69), 21-Ноя-24, 01:13	+/–
> на самом деле рхел-клоны всё давно перезапускают вот и спрашивается, с какого бодуна?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

77. Сообщение от Аноним (77), 21-Ноя-24, 11:54	+/–
>попробуй не используя скрипты на куче языков - проверить подлежит ли рестарту сервис, написанный на этих самых языках Элементарно. Достаточно построить граф зависимостей до обновления и после, и сравнить, изменился ли хотя бы один лист. Но для этого, сервис должен быть полностью опакечен, что убунтам с дебианами и не снилось.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

78. Сообщение от scriptkiddis (?), 21-Ноя-24, 21:45	+/–
Точно! Нужно всего лишь еще чуть обмазаться сторонними утилитами разного качества
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема