Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"CIFSwitch - уязвимость в CIFS-подсистеме ядра Linux, позволяющая получить права root"	+/–
Сообщение от opennews (??), 29-Май-26, 10:33
Раскрыты детали  и опубликован эксплоит для уязвимости  CIFSwitch (CVE пока не присвоен) в модуле ядра CIFS  и инструментарии cifs-utils, позволяющей непривилегированному пользователю получить права root в системе.  Исправление доступно только в виде патча, который опубликован 16 мая и 19 мая был принят в основную ветку ядра Linux (корректирующие выпуски ядра ещё недоступны)... Подробнее: https://www.opennet.me/opennews/art.shtml?num=65572
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 29-Май-26, 10:33	+/–
> TLDR: A distro-specific Linux LPE found by harnessing LLMs into better multihop knowledge composition. Read on for affected distros, mitigations, and vulnerability details. Ну конечно же LLM нашли, а не люди.
Ответить | Правка | Наверх | Cообщить модератору

2. Сообщение от aname (ok), 29-Май-26, 10:33	+9 +/–
Хорошо, что это всё ремонтируют, а оно не пылится годами.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #10

3. Сообщение от Аноним (3), 29-Май-26, 10:39	–2 +/–
Каждый день больше сотни уязвимостей находят нейронки. Так за лет десять можно добиться и приемлемого качества устаревших к тому моменту версий ядра.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #58

4. Сообщение от Sm0ke85 (ok), 29-Май-26, 10:47	–1 +/–
>Каждый день больше сотни уязвимостей находят нейронки. Так за лет десять можно добиться и приемлемого качества устаревших к тому моменту версий ядра. В свете еще и постквантовых историй, думаю, получится лагучее нечто, которое сравнимо будет по жору ресурсов с виндой, правда та скорее всего к тому времени вообще вся только на вебе будет (тупо магазин-на-диване) ))))
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #21

5. Сообщение от нах. (?), 29-Май-26, 10:50	+5 +/–
Для эксплуатации уязвимости в системе должно быть разрешено создание пространств имён идентификаторов пользователей (user namespace) опять двадцатьпять - мы дали пользователям рута но так чтоб они не стали рутами, но они стали рутами! тьфу, расходимся, не на что тут смотреть.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19, #20

6. Сообщение от Аноним (6), 29-Май-26, 10:52	–3 +/–
CIFS — это устаревший диалект SMB 1.0. Сегодня ему на смену пришли более быстрые и безопасные версии SMB 2.0 и SMB 3.0. Из-за уязвимостей в безопасности первая версия CIFS/SMB 1.0 по умолчанию отключена в современных операционных системах. Для работы с современными файловыми серверами рекомендуется использовать протоколы SMB 2/3.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #39

7. Сообщение от Аноним (7), 29-Май-26, 11:03	+/–
Тысячи глаз смотрют, бдют однако!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #22, #57

8. Сообщение от bOOster (ok), 29-Май-26, 11:04	–1 +/–
Самая бестолковая идея была тащить CIFS в ядро.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12, #27

9. Сообщение от Аноним (9), 29-Май-26, 11:24	+1 +/–
Разве SMB не использует CIFS по сей день?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #11

10. Сообщение от Аноним83 (?), 29-Май-26, 11:49	–3 +/–
Так оно никому не мешало, как и множество других ошибок которые ИИ находит. Всё что приводило к падениями и без того пофиксили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

11. Сообщение от Аноним (6), 29-Май-26, 11:52	+/–
В Windows нужно специально компонент CIFS ставить для доступа к серверам, работающим на SMB1.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #13

12. Сообщение от Аноним (12), 29-Май-26, 11:53	+/–
Нет, не самая. В ядре еще есть HTTP сервер.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #14, #25

13. Сообщение от Аноним (6), 29-Май-26, 11:54	+/–
А в 11-ке еще и вручную реестр править в 2-х местах (для версии Pro, для Home еще один компонент найти и установить).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

14. Сообщение от bOOster (ok), 29-Май-26, 12:06	+/–
> Нет, не самая. В ядре еще есть HTTP сервер. HTTP протокол много проще чем SMB/CIFS
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #23, #24

15. Сообщение от Archer73 (ok), 29-Май-26, 12:10	+/–
А как разместить собственный файл конфигурации /etc/nsswitch.conf не имея прав администратора?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16

16. Сообщение от Аноним (16), 29-Май-26, 12:16	+/–
В private namespace у тебя вся фс, начиная с / может принадлежать пользователю (и быть пустой, без файлов). Просто создаешь нужный файл и все.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

18. Сообщение от Пыщь (?), 29-Май-26, 12:43	+/–
Где-то в недрах этого форума один комментатор пытался возразить на низкую производительность солярки (может другой почтительной ОС, почему-то солярка в башке крутится) по сравнению с линухами и фряхами. Его упоминиание, "когда подтянете безопасность и изоляцию до сравнимого уровня - вот тогда и сравним производительность" (так мне припоминается, суть та же), было пропущено мимо кассы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

19. Сообщение от Ы (?), 29-Май-26, 12:50	+/–
Мне недавно рассказывали namespace это другое, это избавляет от suid и спасает мир.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #26

20. Сообщение от RM (ok), 29-Май-26, 12:51	+/–
за пространства имен не скажу, может и так. но я смотрел эти upcall относительно недавно, вангую там еще есть места где по тому же приципу можно порезвиться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #49

21. Сообщение от проапоаоапроап (?), 29-Май-26, 13:02	–6 +/–
> лагучее нечто, которое сравнимо будет по жору ресурсов с виндой У меня Windows работает без видимых тормозов и глюков. А в интерфесе Гнома я замечаю легкое подтораживание при операциях. А се потому, что Windows создавали специалисты за зарплату, а не бесплатные GPL-рабы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #32, #41, #46, #48

22. Сообщение от Аноним (22), 29-Май-26, 13:07	+/–
Но как только находят, ремонтируют.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

23. Сообщение от Аноним (12), 29-Май-26, 13:14	+/–
>много проще И это оправдывает запихивание в ядро прикладухи?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #29

24. Сообщение от Аноним83 (?), 29-Май-26, 13:57	+/–
Вы бы видели сколько там навалили заголовков и прочего в этот HTTP, а ещё всякие хитрые переносы строк, дублирующиеся заголовки которые не должны дублироватся, миме кодировки и прочая.... Уж лучше SFTP/FTP если хочется именно файлы и простоты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

25. Сообщение от Аноним83 (?), 29-Май-26, 13:58	+/–
Это с каких пор!? Там был простенький accept фильтр который не возвращал эвент о приёме соединения пока не поступят данные, а про http я не слышал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #55

26. Сообщение от нах. (?), 29-Май-26, 14:14	+1 +/–
ну вот мы тут уже двести раз эти грабли обсуждали, а оно снова вот.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

27. Сообщение от нах. (?), 29-Май-26, 14:15	+/–
> Самая бестолковая идея была тащить CIFS в ядро. действительно, где ж фс еще должна быть, не в ядре же ж! Точно не в ядре!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #28

28. Сообщение от bOOster (ok), 29-Май-26, 14:26	–1 +/–
>> Самая бестолковая идея была тащить CIFS в ядро. > действительно, где ж фс еще должна быть, не в ядре же ж! > Точно не в ядре! Конечно не в ядре. Во FreeBSD такие тупые костыли решаются посредством NetGraph. Не в ядре, но со всеми бонусами ядерного расположения. Ну а линь подчеркивает свое абсолютно убогое проектирование.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #33, #35

29. Сообщение от bOOster (ok), 29-Май-26, 14:28	–3 +/–
>>много проще > И это оправдывает запихивание в ядро прикладухи? Если архитектура Линя убога и крива - что делать остается? Во FreeBSD, например, все решается посредством NetGraph. Не в ядре - но со всеми "ядерными" бонусами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #54

30. Сообщение от Аноним (30), 29-Май-26, 14:30	+/–
Я правильно понимаю, что ОС Альт/Роса/РедОС/Астра неуязвимы? ФСТЭК сертифицированные дистрибутивы отечественных Linux защищены?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #36, #50

32. Сообщение от Аноним83 (?), 29-Май-26, 14:38	+3 +/–
Так пока гном пилили бесплатный он и был вполне, а потом там создали фонд бездельников, которые сделали гтк3 с css и прочей фигнёй - вот тогда тормоза и начались в полный рост. В венде же оконное АПИ с 90х капитально не менялось, только расширялось по сути. Поэтому даже дотнеты и всякие мфк до того не могли надёжно затормозить гуй :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

33. Сообщение от Аноним83 (?), 29-Май-26, 14:40	+/–
Даже не знаю с чего начать. 1. Во фре есть ядерный самба модуль, но заброшенный вроде. 2. нетграф - тоже ядерные модули.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #38

34. Сообщение от жявамэн (ok), 29-Май-26, 14:41    Скрыто ботом-модератором	+/–
cat /boot/config-7.0.10-0-stable |grep CIFS CONFIG_CIFS=m # CONFIG_CIFS_STATS2 is not set CONFIG_CIFS_ALLOW_INSECURE_LEGACY=y CONFIG_CIFS_UPCALL=y CONFIG_CIFS_XATTR=y CONFIG_CIFS_POSIX=y CONFIG_CIFS_DEBUG=y # CONFIG_CIFS_DEBUG2 is not set # CONFIG_CIFS_DEBUG_DUMP_KEYS is not set CONFIG_CIFS_DFS_UPCALL=y CONFIG_CIFS_SWN_UPCALL=y # CONFIG_CIFS_SMB_DIRECT is not set CONFIG_CIFS_FSCACHE=y # CONFIG_CIFS_COMPRESSION is not set lsmod |grep cifs ну фсе теперь мой алпайн взломают (интересно правда как если он в отдельном влане и не имеет доступа к интернету вообще)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #42

35. Сообщение от нах. (?), 29-Май-26, 14:43    Скрыто ботом-модератором	+/–
> Конечно не в ядре. Во FreeBSD такие тупые костыли решаются посредством NetGraph кекспертиза. етого сайта. /sys> ls -la fs/smbfs/ total 98 drwxr-xr-x   2 root  wheel     11 Sep 12  2022 ./ drwxr-xr-x  23 root  wheel     23 Sep 12  2022 ../ -rw-r--r--   1 root  wheel  17420 Sep 12  2022 smbfs_io.c -rw-r--r--   1 root  wheel  11128 Sep 12  2022 smbfs_node.c -rw-r--r--   1 root  wheel   3855 Sep 12  2022 smbfs_node.h -rw-r--r--   1 root  wheel  38379 Sep 12  2022 smbfs_smb.c -rw-r--r--   1 root  wheel   5396 Sep 12  2022 smbfs_subr.c -rw-r--r--   1 root  wheel   6695 Sep 12  2022 smbfs_subr.h -rw-r--r--   1 root  wheel  10770 Sep 12  2022 smbfs_vfsops.c -rw-r--r--   1 root  wheel  33342 Sep 12  2022 smbfs_vnops.c -rw-r--r--   1 root  wheel   3136 Sep 12  2022 smbfs.h в каком месте очередному блаженному показалось что нетграф (который всего лишь набор, _ядерных_ кстати, обработчиков сетевых пакетов) имеет хоть какое-то отношение к самба шарам - думаю, лучше не уточнять. И кто там жаловался что ЫЫ нейробредит? вон тут у кожановых весеннее обострение от похолодания снова вылезло.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

36. Сообщение от YetAnotherOnanym (ok), 29-Май-26, 14:45	+/–
Проверь и отпишись, что ты как маленький!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #40

38. Сообщение от нах. (?), 29-Май-26, 14:58	+/–
> Даже не знаю с чего начать. с вызова бригады психиатров, там их клиент. netgraph всего лишь набор фильтров. (и да, ядерных, но вообще-то это мы как раз могли бы прекрасненько в user space пережить. Т.е. тут ровно наоборот сделано - то что в нормальных ос обрабатывается в userspace - вынесено в ядро, потому что могли. А вот доступ к vfs у нас только из ядра.)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #45

39. Сообщение от нах. (?), 29-Май-26, 15:00    Скрыто ботом-модератором	+/–
> CIFS — это устаревший диалект SMB 1.0 кекспертиза этого сайта . ну или нейробред, наверное какой-нибудь китайской нейронки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

40. Сообщение от нах. (?), 29-Май-26, 15:02	–1 +/–
> Проверь и отпишись, что ты как маленький! что это ты не по уставу обращаешься? "ПРОВЕРИТЬ И ДОЛОЖИТЬ! БЕГОМ! УВА, УВА, УВА!"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

41. Сообщение от нах. (?), 29-Май-26, 15:10	–1 +/–
> А в интерфесе Гнома я замечаю легкое подтораживание при операциях. > А се потому, что Windows создавали специалисты за зарплату, а не бесплатные бесплатные тебе athena widgets создали - оно выглядело конечно страшненько, по сравнению даже с 95й вендой, но и создано было на десять лет раньше. А гомотормоза - это как раз платные, на деньги ibm. И это ты еще их os/2 workplace shell не видал. Вот где тормоза всем тормозам тормоза были! (у microsoft в ее presentation manager все было страшненько но вполне быстренько по уровню того железа, понадобилась личная антимидасовская рука IBM чтоб все замедлить до полного безобразия)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

42. Сообщение от нах. (?), 29-Май-26, 15:16	+/–
> ну фсе теперь мой алпайн взломают (интересно правда как если он в > отдельном влане и не имеет доступа к интернету вообще) держи в курсе. (и может скажем ему что уязвимость на самом деле - в userland утилитке? А модуль, который ее запустит, за него загрузит шибкоумное ведро с шибкоумными болтами.)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

43. Сообщение от Аноним (43), 29-Май-26, 15:26	+/–
С этими ии агентами я не успеваю ядро обновлять
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #47

44. Сообщение от Bob (??), 29-Май-26, 15:27	+/–
кучно пошли
Ответить | Правка | Наверх | Cообщить модератору

45. Сообщение от Аноним83 (?), 29-Май-26, 15:32	+/–
Не совсем/всегда фильтров. Там есть модули которые реализует протоколы, тот pppoe кусками нетграфа собирается/разбирается, есть модули хаб/свитч и пр. Чисто фильтр - это пожалуй только бпф. В юзерспейс это раньше было только через диверт сокеты - сильно накладнее. Нетмап, дпдк и прочее появилось только лет через 10-15 после нетграфа, на уже сильно более мощном железе. Провадеры многие фрю не любили но выбора на чём собирать пппое сервер у них не было, линукс совсем не тянул со своим юзерспейсом. (Хотя извращенцы и трафик инспектор ставили...) Для файловой системы есть же FUSE. Для моих скромных потребностей sshfs более чем хватает в этом плане.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #52

46. Сообщение от Аноним (46), 29-Май-26, 15:50	+/–
А там хотя-бы пуск без тормозов открывается написанный на react native и полный рекламы?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

47. Сообщение от Аноним (47), 29-Май-26, 16:10	+/–
А ты и ядро замени на ии агентов, оно всё равно к этому идёт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

48. Сообщение от Sm0ke85 (ok), 29-Май-26, 16:20	–1 +/–
>А в интерфесе Гнома я замечаю легкое подтораживание при операциях. Смотри драйвера, это не в ОС'ях проблема... >А се потому, что Windows создавали специалисты за зарплату, а не бесплатные GPL-рабы. Пф, ерунда какая-то, ты ж вообще не понимаешь о чем рассуждаешь, винда - это мизерный процент рынка, особенно если сервера смотреть и остальное телеком оборудование, я уж не говорю про смартфоны и планшеты, и т.п....
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

49. Сообщение от нах. (?), 29-Май-26, 16:30	+/–
> за пространства имен не скажу, может и так. > но я смотрел эти upcall относительно недавно, вангую там еще есть места > где по тому же приципу можно порезвиться. по тому же принципу резвиться можно сколько угодно - идея в том что ядро вызывает юзерленд хелпер, работающий, ну разумеется, от рута. Но и делающий ровно то что ему велел - рут. А у нас рут не рут, откуда и проблема. Т.е. она на самом деле не в ведре (хотя то и могло бы отфильтровать мусор на входе, ну вот нишмагло)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

50. Сообщение от Аноним (50), 29-Май-26, 16:30	+/–
За РедОС и Астру не скажу, но в Альте unprivileged_userns_clone отключено по умолчанию.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #56

51. Сообщение от Markx (?), 29-Май-26, 16:39    Скрыто ботом-модератором	+/–
Нормально так линукс изрешитили сжвшники напару с растаманами
Ответить | Правка | Наверх | Cообщить модератору

52. Сообщение от нах. (?), 29-Май-26, 16:42	+/–
> Не совсем/всегда фильтров. > Там есть модули которые реализует протоколы, тот pppoe кусками нетграфа собирается/разбирается, так это и есть набор сетевых фильтров. pppoe в юзерспейсе только согласованием соединения занимается. А дальше поток сливается в собранную им нетграфовую цепочку. > линукс совсем не тянул со своим юзерспейсом. (Хотя извращенцы и трафик там как раз in-kernel pppd. Проблема в том что им невозможно было управлять - вот этих-то фильтров ему и не хватало.  Он-то был рассчитан на /dev/ttyS* и serial line из которой можно напрямую читать поток как из файла. А тут нет никакого файла, а есть raw socket. Поэтому rp-pppoe аж ДВАЖДЫ таскал весь поток туда-сюда, чтоб ему через pty просунуть то что он умеет обрабатывать. Скорость и эффективность подхода пробивали отнюдь не потолок. > Для файловой системы есть же FUSE. fuse это всего лишь экспорт кернельного vfs В юзерспейс. Сама она - в ядре, где vfs и живет. Ничего хорошего от этого как ты понимаешь не возникает. (греку с цыганом удалось, но они работали в паре и пооптимизировали конкретный случай и тот не на фре, там все плохо) Осмысленно для какого-нибудь sshfs который все равно целиком в юзерспейсе работает, а на чудеса производительности от него никто и не закладывался.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

54. Сообщение от нах. (?), 29-Май-26, 16:48	+/–
> Если архитектура Линя убога и крива - что делать остается? быстро глотать свой галоперидол А как дожуешь - можешь идти чинить прямую и бохатую фребеесде. А то я глянул бегло текущее состояние - там все еще в рассылочках и конечно же - дискордике _обсуждают_ как им к венде поганой подключиться. Потому что ой... а никак! Уже пять лет. Логично - нет подключения, нет проблем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

55. Сообщение от нах. (?), 29-Май-26, 16:50	+/–
> Это с каких пор!? > Там был простенький accept фильтр который не возвращал эвент о приёме соединения > пока не поступят данные, а про http я не слышал. accf_http там был с версии примерно 3. А ktls c 15й (как обычно, спонсоред кем-то вроде нетфигса и нахрен не нужен простым смертным)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

56. Сообщение от нах. (?), 29-Май-26, 16:52	+/–
> За РедОС и Астру не скажу, но в Альте unprivileged_userns_clone отключено по > умолчанию. так точно! Разрешите идти докладывать товарищ-подполковнику?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

57. Сообщение от Аноним (57), 29-Май-26, 17:45	+/–
Лучше бы эти тысячи глаз смотрели, что вайбкодят, а не вслепую печатать миллионы строк, тз-за чего получается вот это: > не выполняются дополнительные проверки корректности параметров
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

58. Сообщение от Аноним (57), 29-Май-26, 17:47    Скрыто ботом-модератором	+/–
К сожалению, новый объём нейроslop-а добавляют экспоненциально больше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

59. Сообщение от Аноним (59), 29-Май-26, 17:49	+/–
Fedora уже пофикшена. https://src.fedoraproject.org/rpms/kernel/c/bdb39a83326fa681...
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема