LINUX.ORG.RU

Критическая уязвимость в systemd: удалённое выполнение кода

 , ,


3

2

Разработчик Canonical Крис Колсон сообщил об обнаружении критической уязвимости в системном менеджере systemd. Атакующий может удалённо спровоцировать переполнение буфера, что ведёт к выполнению произвольного кода.

Уязвимость, получившая идентификатор CVE-2017-9445, кроется в функции dns_packet_new из состава systemd-resolved. Особым образом сформированный DNS-ответ может привести к падению systemd-resolved, когда тот пытается получить ответ от DNS-сервера, контролируемого злоумышленником. В итоге, чрезвычайно большой ответ переполняет память, позволяя выполнить произвольный вредоносный код.

Уязвимость существует на протяжении 2 лет, начиная с systemd 223 и заканчивая последней 233.

Отслеживать появление патчей в Ubuntu и Debian можно по ссылкам:

https://www.ubuntu.com/usn/usn-3341-1/

https://security-tracker.debian.org/tracker/CVE-2017-9445

>>> Подробности

anonymous

Проверено: leave ()
Ответ на: комментарий от Clayman

Дай ссылку на лучшую реализацию.

С тех пор как это мудило начало пропихивать нинужноД в апстрим, используя админресурс - лучшие реализации занялись другими делами и смирились с неизбежным.

А ссылку на лучшую реализацию: google/?q=Upstart

vblats ()
Ответ на: комментарий от Clayman

Ты, видимо, не в курсе, как работают большие инсталляции.

Ну будет збс, когда КАЖДЫЙ комп с этой «большой инсталляции» ляжет из-за бекдора в одном маленьком говноподелии.

vblats ()
Ответ на: комментарий от Clayman

Ты просил ссылку, а не дистрибутив. Ссылку дал, наслаждайся.

Кстате. Юзкейс: краш сервака, лайвсиди, нада прочитать логи.

Человечный метод: mount /dev/системный_диск /mnt; cat /mnt/var/log/lastlog или cat /mnt/var/log/syslog

А ну ка расскажи мне как я должен поступить в случае с нинужноД, а главное какой профит от такого усложнения ?))

vblats ()
Ответ на: комментарий от vblats

Ты просил ссылку, а не дистрибутив. Ссылку дал, наслаждайся.

Я знаю, что такое upstart и что он никем не используется. Я с тобой не в шарады играю.

А ну ка расскажи мне как я должен поступить в случае с нинужноД, а главное какой профит от такого усложнения ?))

Ммм, как прочитать бинарные логи упоминалось, наверное, в первые 5 минут после появления journald. Потрудись почитать man strings и man journalctl. Ну и syslog никто не отменял.

Чувак, ты приводишь юзкейсы, которые обсосаны сотни раз, ну вот несмешно.

Clayman ()
Ответ на: комментарий от vblats

Не совсем понимаю как уязвимость в openssh влияет на уязвимость systemd ? Мы сейчас общаемся о системдЭ.

Так, что в любом массовом ПО, сюрприз, есть уязвимости. Вне зависимости от твоих желаний.

Clayman ()
Ответ на: комментарий от vblats

если говорить об усложнении, то я не вижу разницы между tail и strings. К тому же сервер без центрального syslog-коллектора - это как минимум странно. К тому же journalctl есть сейчас везде, например (та-дам) - на соседнем сервере! Если говорить о причинах - почитай автора о причинах появления journald, они за несколько лет, сюрприз, не изменились!

Clayman ()
Ответ на: комментарий от Clayman

Я прочитал, всю короткую ветку, начиная с «про головную боль дураков-админов, которые любят сустемд» и следом твое язвительно предположение, что типа «не дураки» это маргиналы с диваном наперевес и кампеляющие генту.

Я тебе отвечаю — нет, не дураки юзают красношапку, где нет проблемы. Понимаешь?

mandala ★★★ ()
Ответ на: комментарий от vblats

нужно настраивать в таких тривиальных вещах, как монтирование флешки

Флешка это диск. Хардкорить монтирование съемного диска и не подумать «а что будет, если фейл?» странно. Тут больше вопрос мейнтейнеру — чем он руководствовался, что в своём дистре выставил такие дефолты.

Справедливости ради — я сам, лично, стопорил опенрц (тут не важно, но именно его) конфигом PPP с забытыми включенными отладочными опциями. Загрузка просто стопорилась. А если б это был удаленный хост? Ваще весело.

mandala ★★★ ()
Ответ на: комментарий от Clayman

Нет, иначе бы его не убрали.

ога-ога, все что ни делается, всё к лцчшему. Повторяй это почаще.

Дай ссылку на лучшую реализацию.

А линукс ни кому не нужен так, как нужен красношапке. Вот красношапка и написала свою карманную, подогнанную под собственную модель дистрибьюции: за все отвечают мейнтейнеры, апстим только фигачит и фигачит новый код — в рхеле достаточно сил в дистрибутиве, чтоб команда фултайм допиливала выкидыш апстима до юзабельного состояния.

Сустемдик поделка подогнанная под свои нужды, например: контейнеризация, управление ФС, удобное управление сотнями и тысячами хостов (контейнеров).

В красношапе то проблемы нету, там толпа разрабов в дистре и там всё чики-брики. На кой ляд этот сугубо корпоративный выкидыш тянут в рот все кто попало — не понятно. Думают за них красношляпа сделает хорошо? Нет, они будут жрать калл, как в сабже.

mandala ★★★ ()
Ответ на: комментарий от mandala

ога-ога, все что ни делается, всё к лцчшему. Повторяй это почаще.

Для тебя это будет сюрпризом, но в опенсурсе это так. Увы и ах.

А линукс ни кому не нужен так, как нужен красношапке

Ну и всё.

На кой ляд этот сугубо корпоративный выкидыш тянут в рот все кто попало — не понятно

Понятно, если интересоваться линуксом, а не админить локалхост. Уменьшение затрат на поддержку и выходы на новые рынки.

Нет, они будут жрать калл, как в сабже

Ты можешь жрать калл сколько угодно, я то тут при чем?

Clayman ()
Ответ на: комментарий от vblats

как уязвимость в openssh влияет на уязвимость systemd

А это мантра такая у потеринго-рабов: чуть что, так сразу начинают стрелки переводить. У них и либсустемд уже такой же неотъемлемый компонент системы, как и библиотека си (да, мне это на чистом глазу говорил местный разраб сустемд).

mandala ★★★ ()
Ответ на: комментарий от mandala

Красношапка и использовала, пока не написала свою карманную херню.

Ты предлагаешь всем вернуться на машине времени и использовать upstart? Очень конструктивно

Clayman ()
Ответ на: комментарий от Clayman

К тому же journalctl есть сейчас везде

читд

на соседнем сервере!

Во. Годно только для ынтырпрайза, сурового и беспощадного. В ынтырпрайзе каких только монстров нет, там это оправдано. Сустемдик не самое страшное, даже очень простое и няшное по сравнению со всякой иной гадостью.

Вопрос! На хрена это обычным юзерам? нахрена им корпоративный ынтырпрайзный монстр на домашнем няшном сервачке? на лаптопе? на роутере?

mandala ★★★ ()
Ответ на: комментарий от mandala

А это мантра такая у потеринго-рабов

Я довольно отрицательно отношусь к systemd. Однако, это не повод им не пользоваться.

У них и либсустемд уже такой же неотъемлемый компонент системы, как и библиотека си

Для тебя будет неожиданно, но да - практически неотъемлимый. Попробуй поработать с чем-то большим, чем 10 ftp-серваков.

Clayman ()
Ответ на: комментарий от mandala

Вопрос! На хрена это обычным юзерам? нахрена им корпоративный ынтырпрайзный монстр на домашнем няшном сервачке? на лаптопе? на роутере?

Что ты там используешь на своем роутере - это твой вопрос. При чем тут линукс?

Clayman ()
Ответ на: комментарий от Clayman

Убунта — это попытка сделать дебиан (который для людей был раньше, ну и пока не совсем сдох) пригодным для ынтырпрайза. Ты же не думаешь что Марк всерьез думал на десктопной убунте зарабатывать?

mandala ★★★ ()
Ответ на: комментарий от mandala

Убунта — это попытка сделать дебиан (который для людей был раньше, ну и пока не совсем сдох) пригодным для ынтырпрайза. Ты же не думаешь что Марк всерьез думал на десктопной убунте зарабатывать?

Мля, какие десктопы? Ты способен вообще отслеживать нить обсуждения?

Clayman ()
Ответ на: комментарий от Clayman

При чём тут сустемд? нахрен она мне? зачем мне её рекламируют? почему меня называют дураком, когда я говорю что сустемд не нужна вот тут, тут и тут? зачем либсустемдик продвигают как обязательный компонент гну/линукс?

mandala ★★★ ()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от Clayman

Ты спросил что ы убунту? Я ответил — они тянут из дебиана, а дебиано-разрабы не осиливают пилить нормально сустемдик. Вон, убунточка ждет патчей, админы убунточки стучат по дереву.

mandala ★★★ ()
Ответ на: комментарий от mandala

Вопрос простой - что делать дуракам админам, у которых убунта, а не сферический RH в ваккуме, который по твоей святой вере не подвержен никаким уязвимостям?

Clayman ()
Ответ на: комментарий от Clayman

Ты предлагаешь всем вернуться на машине времени и использовать upstart?

Нет. Я предлагаю использовать инструмент под задачу, а не гонять с семьёй на зерноуборочном комбайне на шашлыки за город.

mandala ★★★ ()
Ответ на: комментарий от mandala

Нет. Я предлагаю использовать инструмент под задачу, а не гонять с семьёй на зерноуборочном комбайне на шашлыки за город.

Расскажи мне способ запустить upstart на centos или ubuntu 16.04? Ну и желательно так, чтобы техподдержка вендора не послала тебя нахер в первые 5 минут общения. Ну и так, чтобы в эту схему вписать несколько сотен серверов, ага.

Clayman ()
Ответ на: комментарий от Clayman

Ты мне тут втираешь про рынки, поддержку и легкость поддержки. Я ж это первый сказал — красношляпа запилила для себя себе карманную поделку, у которой даже стабильных версий нет и не будет, т.к. мейнтейнеры красношляпы сами пакетную базу стабилизируют, двойная работа получится.

mandala ★★★ ()
Ответ на: комментарий от mandala

Ты мне тут втираешь про рынки, поддержку и легкость поддержки

Т.е. ты не знаешь, что такое энтерпрайз.

красношляпа запилила для себя себе карманную поделку

Ну так молодцы. Что мешает запилить карманные поделки остальным?

Clayman ()
Ответ на: комментарий от Clayman

огромный сегмент рынка был занят убунтойй с упстартом! Убунта перешла на сустемд вместе с дебианом, т.к. пакетная база едина. Тьфу на тебя, ты не понимаешь о чем говоришь, а еще меня теоретиком называешь.

mandala ★★★ ()
Ответ на: комментарий от Clayman

Кому остальным? Нет ни кого. Корпоративные дистры пилят разрабы на фултайме, и именно они часто и вылавливают эти уязвимости — например Суся выловила молча пофикшенную критическую уязвимость в сустемд-228. Пофикшена именно молча, т.е. разраб даже не понял что сначала накосячил, а потом косяк так же нечаяно прикрыл.

mandala ★★★ ()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от mandala

Офигенный просер - доля инсталляций только растет, всем бы так срать. Поинтересуйся на досуге, что используется в новых инсталляциях в крупных проектах. Будешь сильно удивлен.

Clayman ()
Ответ на: комментарий от mandala

Просер упстарта — это вина бубунты.

Ну и да, вопрос системы инициализации практически никогда не возникает при принятии таких решений. Слова upstart и systemd я слышу буквально только на лоре)

Clayman ()