LINUX.ORG.RU

Критическая уязвимость в systemd: удалённое выполнение кода

 , ,


3

2

Разработчик Canonical Крис Колсон сообщил об обнаружении критической уязвимости в системном менеджере systemd. Атакующий может удалённо спровоцировать переполнение буфера, что ведёт к выполнению произвольного кода.

Уязвимость, получившая идентификатор CVE-2017-9445, кроется в функции dns_packet_new из состава systemd-resolved. Особым образом сформированный DNS-ответ может привести к падению systemd-resolved, когда тот пытается получить ответ от DNS-сервера, контролируемого злоумышленником. В итоге, чрезвычайно большой ответ переполняет память, позволяя выполнить произвольный вредоносный код.

Уязвимость существует на протяжении 2 лет, начиная с systemd 223 и заканчивая последней 233.

Отслеживать появление патчей в Ubuntu и Debian можно по ссылкам:

https://www.ubuntu.com/usn/usn-3341-1/

https://security-tracker.debian.org/tracker/CVE-2017-9445

>>> Подробности

anonymous

Проверено: leave ()
Последнее исправление: leave (всего исправлений: 1)

Ответ на: комментарий от Clayman

Дай ссылку на лучшую реализацию.

С тех пор как это мудило начало пропихивать нинужноД в апстрим, используя админресурс - лучшие реализации занялись другими делами и смирились с неизбежным.

А ссылку на лучшую реализацию: google/?q=Upstart

vblats
()
Ответ на: комментарий от Clayman

Ты, видимо, не в курсе, как работают большие инсталляции.

Ну будет збс, когда КАЖДЫЙ комп с этой «большой инсталляции» ляжет из-за бекдора в одном маленьком говноподелии.

vblats
()
Ответ на: комментарий от Clayman

Ты просил ссылку, а не дистрибутив. Ссылку дал, наслаждайся.

Кстате. Юзкейс: краш сервака, лайвсиди, нада прочитать логи.

Человечный метод: mount /dev/системный_диск /mnt; cat /mnt/var/log/lastlog или cat /mnt/var/log/syslog

А ну ка расскажи мне как я должен поступить в случае с нинужноД, а главное какой профит от такого усложнения ?))

vblats
()
Ответ на: комментарий от Clayman

А еще смешнее, когда он ляжет из-за уязвимости в openssh.

Не совсем понимаю как уязвимость в openssh влияет на уязвимость systemd ? Мы сейчас общаемся о системдЭ.

vblats
()
Ответ на: комментарий от vblats

Ты просил ссылку, а не дистрибутив. Ссылку дал, наслаждайся.

Я знаю, что такое upstart и что он никем не используется. Я с тобой не в шарады играю.

А ну ка расскажи мне как я должен поступить в случае с нинужноД, а главное какой профит от такого усложнения ?))

Ммм, как прочитать бинарные логи упоминалось, наверное, в первые 5 минут после появления journald. Потрудись почитать man strings и man journalctl. Ну и syslog никто не отменял.

Чувак, ты приводишь юзкейсы, которые обсосаны сотни раз, ну вот несмешно.

Clayman ★★
()
Ответ на: комментарий от vblats

Не совсем понимаю как уязвимость в openssh влияет на уязвимость systemd ? Мы сейчас общаемся о системдЭ.

Так, что в любом массовом ПО, сюрприз, есть уязвимости. Вне зависимости от твоих желаний.

Clayman ★★
()
Ответ на: комментарий от vblats

если говорить об усложнении, то я не вижу разницы между tail и strings. К тому же сервер без центрального syslog-коллектора - это как минимум странно. К тому же journalctl есть сейчас везде, например (та-дам) - на соседнем сервере! Если говорить о причинах - почитай автора о причинах появления journald, они за несколько лет, сюрприз, не изменились!

Clayman ★★
()
Ответ на: комментарий от Clayman

Я прочитал, всю короткую ветку, начиная с «про головную боль дураков-админов, которые любят сустемд» и следом твое язвительно предположение, что типа «не дураки» это маргиналы с диваном наперевес и кампеляющие генту.

Я тебе отвечаю — нет, не дураки юзают красношапку, где нет проблемы. Понимаешь?

mandala ★★★★★
()
Ответ на: комментарий от vblats

нужно настраивать в таких тривиальных вещах, как монтирование флешки

Флешка это диск. Хардкорить монтирование съемного диска и не подумать «а что будет, если фейл?» странно. Тут больше вопрос мейнтейнеру — чем он руководствовался, что в своём дистре выставил такие дефолты.

Справедливости ради — я сам, лично, стопорил опенрц (тут не важно, но именно его) конфигом PPP с забытыми включенными отладочными опциями. Загрузка просто стопорилась. А если б это был удаленный хост? Ваще весело.

mandala ★★★★★
()
Ответ на: комментарий от Deleted

Неизреченное откровение Мефодия Патарского.

УМ на моём вендокомпе ВР, значит до апокалипсиса ещё далеко.

h578b1bde ★☆
()
Ответ на: комментарий от Clayman

Нет, иначе бы его не убрали.

ога-ога, все что ни делается, всё к лцчшему. Повторяй это почаще.

Дай ссылку на лучшую реализацию.

А линукс ни кому не нужен так, как нужен красношапке. Вот красношапка и написала свою карманную, подогнанную под собственную модель дистрибьюции: за все отвечают мейнтейнеры, апстим только фигачит и фигачит новый код — в рхеле достаточно сил в дистрибутиве, чтоб команда фултайм допиливала выкидыш апстима до юзабельного состояния.

Сустемдик поделка подогнанная под свои нужды, например: контейнеризация, управление ФС, удобное управление сотнями и тысячами хостов (контейнеров).

В красношапе то проблемы нету, там толпа разрабов в дистре и там всё чики-брики. На кой ляд этот сугубо корпоративный выкидыш тянут в рот все кто попало — не понятно. Думают за них красношляпа сделает хорошо? Нет, они будут жрать калл, как в сабже.

mandala ★★★★★
()
Ответ на: комментарий от Clayman

Большие инсталляции не ванильные и там продумывают такие вещи заранее, и это дело еще и тестировать должны перед внедрением.

mandala ★★★★★
()
Ответ на: комментарий от Clayman

В каких дистрибутивах он используется?

Красношапка и использовала, пока не написала свою карманную херню.

mandala ★★★★★
()
Ответ на: комментарий от mandala

ога-ога, все что ни делается, всё к лцчшему. Повторяй это почаще.

Для тебя это будет сюрпризом, но в опенсурсе это так. Увы и ах.

А линукс ни кому не нужен так, как нужен красношапке

Ну и всё.

На кой ляд этот сугубо корпоративный выкидыш тянут в рот все кто попало — не понятно

Понятно, если интересоваться линуксом, а не админить локалхост. Уменьшение затрат на поддержку и выходы на новые рынки.

Нет, они будут жрать калл, как в сабже

Ты можешь жрать калл сколько угодно, я то тут при чем?

Clayman ★★
()
Ответ на: комментарий от vblats

как уязвимость в openssh влияет на уязвимость systemd

А это мантра такая у потеринго-рабов: чуть что, так сразу начинают стрелки переводить. У них и либсустемд уже такой же неотъемлемый компонент системы, как и библиотека си (да, мне это на чистом глазу говорил местный разраб сустемд).

mandala ★★★★★
()
Ответ на: комментарий от mandala

Большие инсталляции не ванильные

))) все понятно. Попробуй с саппортом пообщаться и объяснить, что у тебя неванильная инсталляция. Теоретик, млин.

Clayman ★★
()
Ответ на: комментарий от mandala

Красношапка и использовала, пока не написала свою карманную херню.

Ты предлагаешь всем вернуться на машине времени и использовать upstart? Очень конструктивно

Clayman ★★
()
Ответ на: комментарий от Clayman

К тому же journalctl есть сейчас везде

читд

на соседнем сервере!

Во. Годно только для ынтырпрайза, сурового и беспощадного. В ынтырпрайзе каких только монстров нет, там это оправдано. Сустемдик не самое страшное, даже очень простое и няшное по сравнению со всякой иной гадостью.

Вопрос! На хрена это обычным юзерам? нахрена им корпоративный ынтырпрайзный монстр на домашнем няшном сервачке? на лаптопе? на роутере?

mandala ★★★★★
()
Ответ на: комментарий от mandala

А это мантра такая у потеринго-рабов

Я довольно отрицательно отношусь к systemd. Однако, это не повод им не пользоваться.

У них и либсустемд уже такой же неотъемлемый компонент системы, как и библиотека си

Для тебя будет неожиданно, но да - практически неотъемлимый. Попробуй поработать с чем-то большим, чем 10 ftp-серваков.

Clayman ★★
()
Ответ на: комментарий от mandala

Вопрос! На хрена это обычным юзерам? нахрена им корпоративный ынтырпрайзный монстр на домашнем няшном сервачке? на лаптопе? на роутере?

Что ты там используешь на своем роутере - это твой вопрос. При чем тут линукс?

Clayman ★★
()
Ответ на: комментарий от Clayman

Убунта — это попытка сделать дебиан (который для людей был раньше, ну и пока не совсем сдох) пригодным для ынтырпрайза. Ты же не думаешь что Марк всерьез думал на десктопной убунте зарабатывать?

mandala ★★★★★
()
Ответ на: комментарий от mandala

Убунта — это попытка сделать дебиан (который для людей был раньше, ну и пока не совсем сдох) пригодным для ынтырпрайза. Ты же не думаешь что Марк всерьез думал на десктопной убунте зарабатывать?

Мля, какие десктопы? Ты способен вообще отслеживать нить обсуждения?

Clayman ★★
()
Ответ на: комментарий от Clayman

При чём тут сустемд? нахрен она мне? зачем мне её рекламируют? почему меня называют дураком, когда я говорю что сустемд не нужна вот тут, тут и тут? зачем либсустемдик продвигают как обязательный компонент гну/линукс?

mandala ★★★★★
()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от Clayman

Ты спросил что ы убунту? Я ответил — они тянут из дебиана, а дебиано-разрабы не осиливают пилить нормально сустемдик. Вон, убунточка ждет патчей, админы убунточки стучат по дереву.

mandala ★★★★★
()
Ответ на: комментарий от Clayman

Блжад. Какие фтп сервера? Ты о чем вообще?

mandala ★★★★★
()
Ответ на: комментарий от mandala

Вопрос простой - что делать дуракам админам, у которых убунта, а не сферический RH в ваккуме, который по твоей святой вере не подвержен никаким уязвимостям?

Clayman ★★
()
Ответ на: комментарий от Clayman

Ты предлагаешь всем вернуться на машине времени и использовать upstart?

Нет. Я предлагаю использовать инструмент под задачу, а не гонять с семьёй на зерноуборочном комбайне на шашлыки за город.

mandala ★★★★★
()
Ответ на: комментарий от Clayman

Жрать говно, что ж еще им остается делать, уже поздняк метаться. Бугуртили мы когда в дебиане переголосовывали в дцатый раз, чтоб было «как надо».

mandala ★★★★★
()
Ответ на: комментарий от mandala

Нет. Я предлагаю использовать инструмент под задачу, а не гонять с семьёй на зерноуборочном комбайне на шашлыки за город.

Расскажи мне способ запустить upstart на centos или ubuntu 16.04? Ну и желательно так, чтобы техподдержка вендора не послала тебя нахер в первые 5 минут общения. Ну и так, чтобы в эту схему вписать несколько сотен серверов, ага.

Clayman ★★
()
Ответ на: комментарий от Clayman

Ты мне тут втираешь про рынки, поддержку и легкость поддержки. Я ж это первый сказал — красношляпа запилила для себя себе карманную поделку, у которой даже стабильных версий нет и не будет, т.к. мейнтейнеры красношляпы сами пакетную базу стабилизируют, двойная работа получится.

mandala ★★★★★
()
Ответ на: комментарий от mandala

Замечательно, только по факту огромный сегмент рынка занят серверной убунтой. Но тебе с дивана то виднее.

Clayman ★★
()
Ответ на: комментарий от Clayman

Тут сустемдик уже, всё, поздно пить боржом и впиливать что-то куда-то. Туту, поезд ушел, нам остается улыбаться и махать, улыбаться и махать.

mandala ★★★★★
()
Ответ на: комментарий от mandala

Ты мне тут втираешь про рынки, поддержку и легкость поддержки

Т.е. ты не знаешь, что такое энтерпрайз.

красношляпа запилила для себя себе карманную поделку

Ну так молодцы. Что мешает запилить карманные поделки остальным?

Clayman ★★
()
Ответ на: комментарий от Clayman

огромный сегмент рынка был занят убунтойй с упстартом! Убунта перешла на сустемд вместе с дебианом, т.к. пакетная база едина. Тьфу на тебя, ты не понимаешь о чем говоришь, а еще меня теоретиком называешь.

mandala ★★★★★
()
Ответ на: комментарий от Clayman

Кому остальным? Нет ни кого. Корпоративные дистры пилят разрабы на фултайме, и именно они часто и вылавливают эти уязвимости — например Суся выловила молча пофикшенную критическую уязвимость в сустемд-228. Пофикшена именно молча, т.е. разраб даже не понял что сначала накосячил, а потом косяк так же нечаяно прикрыл.

mandala ★★★★★
()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от Clayman

Убунтукапец, фигли, сокращают издержки.

mandala ★★★★★
()
Ответ на: комментарий от Clayman

Пердеж в лужу — это менеджмент убунту, который гнался за стадом зайцев и в итоге ни одного не поймал. Просер упстарта — это вина бубунты.

mandala ★★★★★
()
Ответ на: комментарий от mandala

Офигенный просер - доля инсталляций только растет, всем бы так срать. Поинтересуйся на досуге, что используется в новых инсталляциях в крупных проектах. Будешь сильно удивлен.

Clayman ★★
()
Ответ на: комментарий от mandala

Просер упстарта — это вина бубунты.

Ну и да, вопрос системы инициализации практически никогда не возникает при принятии таких решений. Слова upstart и systemd я слышу буквально только на лоре)

Clayman ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.