В Red Hat и Fedora выявлена удалённая root-уязвимость в DHCP-клиенте

Никогда не используйте bash. ЧТД.

А кто его туда добавил? В git-e должно же быть.

Рхел это секурно, рхел это надежно говорили они.

Найс, как раз вбиваю адреса статикой, и выкидываю отовсюду лапшу на баше. Очевидно не зря.

https://src.fedoraproject.org/cgit/rpms/dhcp.git/commit/?id=16546798c589bd0a0...

такое же надо lint-ом ловить, не?

Решето!

Опять баш-лапша просочилась сквозь друшлаг.

Когда уже Red Hat убьёт нафиг этот шелл и сопутствующие ему дырявые скрипты?

баш ещё красношапку переживёт!

Использовать шелл для парсинга протокола, да еще и от рута... Это праздник какой-то.

Не зря я снова OpenBSD начал донатить.

Надеюсь, жизнь у него будет такая же никчёмная и маргинальная, как у ещё одной лапши — SysVinit.

Благо хоть эту парашу вовремя дропнули, а то ловили бы подобные сабжи каждый день.

Благо хоть эту парашу вовремя дропнули, а то ловили бы подобные сабжи каждый день.

Тут есть небольшая разница — шелл скрипты sysvinit'а не парсят произвольный юзерский ввод.

Пришло время переустанавливать Федору.

Что взамен использовать?

НЕ НАДО ПАРСИТЬ ПАКЕТЫ ШЕЛЛОМ ИЗ-ПОД РУТА.

А кем вообще переменные окружения *DHCP4_* заполняются?

Но, конечно согласен, определенно. Парсить передачу key=value значение костыльной копипастой... нда. В bash до сих пор нет pattern matching, упущение-с

Забавно, что у shellcheck есть предупреждение для таких случаев.
Ещё бы его использовали.

Тут проблема в том, что они разбирают часть пакета шеллом из-под рута. Через eval. Что могло пойти не так?

В лялехе адово нехватает pledge() и нормальной культуры использования непривиллегированных процессов.

Что могло пойти не так?

да мне уже не смешно даже.

Но я считаю, проблема в баше - он слишком примитивен для таких вещей. Элементарного искоробочного pattern matching нет. В экосистеме, где вариации строковых параметров «KEY=value» стандарт дефакто - такое непозволительно для шелла.

И в 100 раз я уверяюсь в своем мнении - выбор языка для systemd-юнитов был неправилен. Это должно было быть что-то более гибкое и удобное, и впоследствии заменить bash в таких вот вещах, как сабжевый скрипт. Но в результате, юниты пишутся на недоязыке а-ля ini-файлы, с вкраплениями того же баша. А что делать с сабжевыми скриптами - совсем непонятно теперь, поезд ушел.

Зачем? Пришло время устанавливать обновления.

В 28-й Федоре файл /etc/NetworkManager/dispatcher.d/11-dhclient изначально принадлежит пакету dhcp-client-4.3.6-19.fc28, но теперь пришло обновление пакета - dhcp-client-4.3.6-20.fc28.

да, это делается и для центоса и для федоры одной командой «yum update -y dhcp\*» , если тут еще остались паникующие страдальцы

Как это зачем? Огласили только сейчас, а сколько попользовали можно только догадываться.

так так то беда в нетворк манажоре, а не в баше.

они бы лучше запилили нормальный установщик для своих дистров. А то виснет при установке на каждом втором ноуте

Чтобы создать систему широкого профиля, надо распилить ее защитную оболочку и внутрь нее внести все необходимое. Потом обложить это все необходимое остатками от распила этой защитной оболочки и обмотать все это скотчем.

Честно говоря, я не вижу проблемы в языке для systemd. Если ты посмотришь на скрипты для гентового openrc или опенбсдшного rc, то ты увидишь, что они по большей части состоят из пяти строк следующего вида:

#!/bin/ksh
#
# $OpenBSD: dhcpd,v 1.3 2018/01/11 19:52:12 rpe Exp $

daemon="/usr/sbin/dhcpd"

. /etc/rc.d/rc.subr

rc_reload=NO

rc_pre() {
	touch /var/db/dhcpd.leases
}

rc_cmd $1

Это отлично переносится на ini стиль.

Ну если вспоминать историю лет так 20 назад то и в самом dhcp полно было дырок.
Но конечно «весело получилось»... на eval... даже меня на лоре знатоки «шела» и то мордой тыкали в «небезопасный код»... а тут ынтерпрайз...

SELinux не спасает разве? Вроде скрипты из /etc/NetworkManager/dispatcher.d запускает nm-dispatcher, который работает в контексте NetworkManager'а.

И много ли вредоносных DHCP-серверов?

У многих в качестве DHCP-серверов их же собственные роутеры. А не роутеры крякеров.

вредносный DHCP сервер может внедрить в сеть злоумышленник. Особенно если это вай-фай

Хз. Пока приходится с питоном мучатся. Альтернатив особо и нет.

И много ли вредоносных DHCP-серверов?

Звонок жене.
Дорогая ты где?
Еду по садовому кольцу
Будь осторожна, по радио передали что какой-то дурак едет по встречке
Какой-то???? Да их тут сотни!!!

Это к тому что «коробочек» чуть больше чем дофига.

И что это меняет для юзера если у него уже настроено подключение к его собственному роутеру хотя бы и по этому же Wi-Fi'ю? Тут хоть тысячу таких вредоносных Wi-Fi подключений организуй - юзер юзает своё надёжное.

Ну, а если юзер постоянно в долгах за интернет или принципиально ищет халявы, шарясь по чужим Wi-Fi соединениям, то он сам себе злобный буратина, и он явно мог наступить не только на сабжевые грабли.

Притаскивает такой юзер на работу «карманный роутер» и фигак...

Приходит чувак в аэропорт...

И что это меняет для юзера если у него уже настроено подключение к его собственному роутеру хотя бы и по этому же Wi-Fi'ю? Тут хоть тысячу таких вредоносных Wi-Fi подключений организуй - юзер юзает своё надёжное.

Брутишь пароль, глушишь легитимную точку, поднимаешь свою левую с тем же именем, паролем и зловредным DHCP

Вы, видимо, плохо представляете, как работает сеть. Подключившись к маршрутизатору по Wi-Fi, вы лишь установили физическое соединение, никакого IP-адреса ещё нет. Далее ваше устройство отправляет широковещательный DHCP-запрос, и если в сети присутствует ещё один DHCP-сервер кроме вашего, то он вполне может успеть отправить ответ первым.

да и с публичной вайфай сетью, зловредный DHCP может ответить быстрее, чем оригинальный, и клиента поимеют

Точно, точно... я написал сложнее, а тут даже простое метро можно использовать. На станциях сеть отключена и тут внезапно подключились, куча долбодятлов подтянется.

..осталось только посчитать, сколько пользователей Red Hat Enterprise или Fedora пользуются вайфаем в метро :)

Одного достаточно, что бы ботнет посадить. Сидит студентик с ноутом, ему «подарили», профит!

Red Hat Enterprise или Fedora

+ CentOS.

конструкции «присваивание» и «вызов подпрограммы» можно на любом (ну, почти) языке записать просто, тут как раз ничего придумывать не надо.

А вот удобные конструкции для обработки переданных структур с именованными параметрами, или парсинг строк, должны быть удобными _некостылями_.

Что касается s-d-unit. Первое, что приходит в голову - порядок вычисления. Там как бы все эти 'Name=MyName' выглядят в декларативном стиле, но многие требуют определенный порядок следования и завязываются на порядок соседних. Это сделано неявно, некрасиво и выглядит как банальное отсутствие проектирования.

Еще, множественное использование shell-строк во всяких Exec*. Я бы предложил сами Unit-ы писать на скриптовом языке, в котором есть возможности shell, но который более высокоуровневый, чем баш. Примерно то, что ты показал для опенбсдшного rc, только это должен быть не классический shell , а улучшенный. Вот на нем надо было сосредоточнить усилия по проектированию. Но понятно, Лёне было не до языка, руки чесались крутить системные вещи, а для конфигов выбрали ini-синтаксис, который ожидаемо оказался узок для такого.

Там как бы все эти 'Name=MyName' выглядят в декларативном стиле, но многие требуют определенный порядок следования и завязываются на порядок соседних

«Многие» - это какие? Кроме Exec* ничего в голову и не приходит, а их явно недостаточно для «многие».

И что означает «завязываются на порядок соседних»?

публичной вайфай сетью

Это всегда риск. Про это и говорить нечего. Я говорю конкретно про собственный DHCP-сервер юзера. Пусть и через Wi-Fi.

зловредный DHCP может ответить быстрее, чем оригинальный

Разве для этого у него не должен быть идентичный SSID? А пароль? Если юзер поставил себе нормальный пароль наподобие «\lcSt|Eh1t-„FM32%[O1]{ng\“ и коннектится конкретно с ним и конкретным SSID, то разве такое соединение сразу не засыпется если вместо его роутера ответит чужой с таким же SSID, но другим паролем?

Как я и говорил, вы плохо понимаете, как это всё работает. Изучите матчасть на досуге. Начните с модели OSI.

Вот в ответе saahriktu вы не правы

При чём тут модель OSI?

Злоумышленный ответ DHCP может заставить скрипт выполнять произвольные команды оболочки с привилегиями root

Т.е. тут конкретно речь о том, что должен быть ответ вредоносного DHCP-сервера, чтобы скрипт начал его обрабатывать. А не так, что без всяких соединений вредоносный пакет по сети пришёл и всё поломал.

я снова OpenBSD начал донатить.

Теперь-то Линуксу точно капец.

Вот в ответе saahriktu вы не правы

В чём? При чём здесь DHCP-сервер к ESSID и WPA-ключу, если они вообще на разных уровнях?

Именно в этом. «Нет ручек, нет печенек» До дхтп еще добраться надо.