Обнаружена очередная local root уязвимость в ядре Linux 3.8

У меня ессно не в корне, а корень - отдельная ФС, куда юзеру писать нельзя.

/tmp, /var/tmp ?

Хорошая уязвимость, годная, теперь школота заткнется по-поводу «разделять диск на отдельные ФС не нужно»

Эту подколку написали по мотивам Longterm support ядра Linux = большая и очень плохая шутка

теперь школота заткнется по-поводу «разделять диск на отдельные ФС не нужно»

Да что уж там, весь линукс не нужен.

PS А что ты будешь писать когда в следующий раз найдут дырку которая будет работать с разделённым хомяком?

А ты что на «школоту» обиделся? Не бери в голову, ...

А ты что на «школоту» обиделся?

Нет, я не про это. Я про то что такая аргументация «почему хомяк должен быть отдельно» выеденного яйца не стоит. Когда в tcp/ip линукса находят дырки почему-то никто не кричит «tcp/ip только школьники юзают». А дырок в ipv6 части будет там дофига, я гарантирую это.

Хм, я не въехал, я думал ты знаешь что-то чего не знаем мы :).

Нет. Но я, во-первых, читал предыдущий топик бирди, а во-вторых, по линку написано, что эта уязвимость специфична для новых ядер - переносить в LTS тупо нечего.

У них задача обеспечивать безопасность системы.

Но у них нет обязанности внести патчи в ядра на kernel.org

Реализации ipv6 в сравнении с современными реализациями ipv4 должны быть проще валенка. Ошибок должно быть мало.

[-] clone: Invalid argument

Вероятно, нужно включить в ядре User namespace (EXPERIMENTAL), для чего отключить CIFS, NFS, XFS и т.д., чтобы эта опция появилась.

/tmp, /var/tmp ?

тут тебе /etc/fstab Обнаружена очередная local root уязвимость в ядре Linux 3.8 (комментарий)

сам корень в 2Гб, на /etc с ядрами хватает.

Хорошая уязвимость, годная, теперь школота заткнется по-поводу «разделять диск на отдельные ФС не нужно»

дык уже была такая с хардлинками. Теперь вот ещё одна, тоже наверно что-то такое похожее. Ещё не смотрел, ибо ставить 3.8 лениво.

Да что уж там, весь линукс школьникам не нужен.

//починил

А что ты будешь писать когда в следующий раз найдут дырку которая будет работать с разделённым хомяком?

для которой надо работать под рутом? для которой надо писать sudo su? для которой надо срать на потолке?

тоже самое - не надо срать на потолке.

Реализации ipv6 в сравнении с современными реализациями ipv4 должны быть проще валенка. Ошибок должно быть мало.

Ха. Ты посчитай, сколько ошибок уже вывалилось из SCTP.

Столько «если», а шумиху подняли, как будто 99 машинок из ста буду подвержены сабжу.

когда у тебя нагнут пачку важных серверов, по другому начнешь петь

Я про то что такая аргументация «почему хомяк должен быть отдельно» выеденного яйца не стоит.

есть ещё Over9000 причин, по которым файлы на устройстве надо разделять, а не хранить в одной бочке. Суть в том, что они друг на друга влияют, и при многих ошибках, враг может получить доступ к соседнему файлу. Я это уже сколько лет твержу, а мне говорят - «а ты покажи!». Ну вот - очередной показ.

Реализации ipv6 в сравнении с современными реализациями ipv4 должны быть проще валенка. Ошибок должно быть мало.

1) Почему они должны быть проще? Там наворотов больше.

2) Оно в процессе активной разработке

3) Я не просто так написал, я дырки находят регулярно. Погугли linux ipv6 vulnerability

когда у тебя нагнут пачку важных серверов, по другому начнешь петь

зачем было ставить недоделанное ядро 3.8 на пачку серверов?

зачем было ставить сервера на единственный раздел, и открывать доступ к этому разделу всем подряд?

а если у меня 14 разделов мне он грозит?

да вообщем то он все правильно говорит, ядро там ни при чем

я не про конкретно этот сплойт, а вообще

Почему они должны быть проще? Там наворотов больше.

за то костылей меньше. Тот же NAT не нужен, ибо IP всем хватит, и нет необходимости каждому одмину городить свою локалку, с 192.168/16 или 10/8.

Оно в процессе активной разработке

и тестирования. И не забывай, что никто тебя не заставляет на него переходить. А вот IPv4 делали по живому.

Я не просто так написал, я дырки находят регулярно. Погугли linux ipv6 vulnerability

это кому-то мешает?

Это как-то обязано влиять на число ошибок в ipv6?

а если у меня 14 разделов мне он грозит?

конечно. Доступ-то наверняка есть.

я не про конкретно этот сплойт, а вообще

а «вообще» будет другой разговор.

Это как-то обязано влиять на число ошибок в ipv6?

Нет. Это должно показать, что и из протоколов попроще IPv6 ползут неиллюзорные черви.

Там наворотов больше.

4.2

Ну вот - очередной показ.

Я объяснил выше почему это не «показ». Фрагметация файлов, бОльшая устойчивость данных к повреждениям ФС это могут быть причинами. А борьба с уязвимостями таким образом это глупо.

SCTP проще ipv6? Да ладно.

у меня всего 1 пользователь,притом я настроил так,что пока в терминале не даш наутилусу рута он не может зайти дальше попки «загрузки»

4.2

stateless autoconfiguration, link-local addresses итд итп. И новые rfc продолжают плодиться.

папки*

Ааа, ну да. Как-то не подумал я об этом. Решил, что кроме мелкософта в этом копошиться никто не будет.

SCTP проще ipv6? Да ладно.

Я парень простой и сужу по sloccount

sctp:

Total Physical Source Lines of Code (SLOC)                = 16,397
Development Effort Estimate, Person-Years (Person-Months) = 3.77 (45.26)

ipv6

Total Physical Source Lines of Code (SLOC)                = 27,975
Development Effort Estimate, Person-Years (Person-Months) = 6.61 (79.31)

Я объяснил выше почему это не «показ». Фрагметация файлов, бОльшая устойчивость данных к повреждениям ФС это могут быть причинами. А борьба с уязвимостями таким образом это глупо.

«борьба с уязвимостями» - это бонус. Система, где порядка больше, более безопасна, чем система, где всё свалено в одну кучу. Всегда ваш К.О. И наведение порядка - необходимое, хоть и недостаточное условие безопасности. IRL тоже.

Извини, мои сарказмы слишком тонки для тебя. Впредь буду стараться шутить попроще.

а у кого ipv6? у нас в питере не одного провайдера его не используют не сих пор .

у меня всего 1 пользователь,притом я настроил так,что пока в терминале не даш наутилусу рута он не может зайти дальше попки «загрузки»

ну… ССЗпопка.

папки*

НЕТ ПАПОК, блжад!

Что за аватар? Сам рисовал? Он, судя по блеску глаз, символизирует упоротость.

у нас в питере не одного провайдера его не используют не сих пор .

а простой хомячок drBatty - использует.

а у кого ipv6? у нас в питере не одного провайдера его не используют не сих пор .

Ну когда-то же настанет время. То, что IPv6 сейчас используется редко, означает, что код его поддержки мало протестирован (прямая аналогия с SCTP).

Может всё-таки стоит эти rfc сначала осилить, а потом говорить про навороты? В ipv6 как раз убрали все родовые травмы и последующие обходные навороты ipv4 и очень сильно упростили логику обработки.

Давай лучше сравнивать количество ветвлений в коде. Это более эффективный критерий (на мой скромный взгляд), чем количество строк.

отключите ipv6 и закройте к нему доступ,у вас интернет не будет работать,потому что у вас просто работает оба протокола.

Против фактов не попрёшь - дыры в ipv6 стэке линуха находят регулярно.

Может всё-таки стоит эти rfc сначала осилить

Вот тебе список rfc: http://www.ipv6now.com.au/RFC.php

Всё то что запихивают в ядро потенциально несёт уязвимости. Чтобы там не выкинули у ipv4 в ipv6 засунут ещё больше. Кстати, в чём логика-то с ipv6 упростилось? Только не говори про то что вынесли ttl за контрольную сумму и убрали NAT.

$uname -a  
Linux evgentoo 3.8.1-gentoo-evgentoo #1 SMP PREEMPT Sat Mar 2 00:09:07 IST 2013 x86_64 AMD FX(tm)-4100 Quad-Core Processor AuthenticAMD GNU/Linux 

$cat /boot/config-3.8.1-gentoo-evgentoo | grep NAME 
CONFIG_DEFCONFIG_LIST="/lib/modules/$UNAME_RELEASE/.config" 
CONFIG_DEFAULT_HOSTNAME="evgentoo"
CONFIG_NAMESPACES=y 

$ sudo mkdir /1
$ sudo chown my_username /1
$ cp clown-newuser.c /1
$ cd /1
$ gcc -Wall clown-newuser.c -static
$ ./a.out
[**] clown-newuser -- CLONE_NEWUSER local root (C) 2013 Sebastian Krahmer
[+] Found myself: '/1/a.out'
[*] Parent waiting for boomsh to appear ...
[*] Setting up chroot ...
[+] Done.
[*] Cloning evil child ...
[-] clone: Invalid argument 

ЧЯДН?

Давай лучше сравнивать количество ветвлений в коде

У тебя есть основания думать, что в SCTP их больше? Впрочем, втупую:

sctp

$ grep if *.c | wc -l
3108

ipv6

$ grep if *.c | wc -l
5593

Не только stable, на 3.2.0-38-generic тоже не работает. Это только для 3.8

/1$ ./a.out 
[**] clown-newuser -- CLONE_NEWUSER local root (C) 2013 Sebastian Krahmer

[+] Found myself: '/1/a.out'
[*] Parent waiting for boomsh to appear ...
[*] Setting up chroot ...
[-] link: Operation not permitted

тогда почему на него не перешли провайдеры?почему у всех ipv4?

тогда почему на него не перешли провайдеры?почему у всех ipv4?

Чего? Куда перешли провайдеры? С ipv6 на ipv4? Да сегодня на ЛОРе просто праздник какой-то. :)

Система, где порядка больше, более безопасна, чем система, где всё свалено в одну кучу.

Я не буду поддерживать пустые филосовские разговоры. Во-первых, не в одну кучу, в одну кучу это когда, например, всё в одной папке. Во-вторых, с точки зрения VFS пофиг на иерархию папок.

В третьих, почему бы каждую папку не вынести на отдельный раздел? Будет вообще зашибись порядок. Ну или сделай как в *bsd если так хочется мифического порядка.

отключите ipv6 и закройте к нему доступ,у вас интернет не будет работать,потому что у вас просто работает оба протокола.

а я пока только тестирую ipv6. Как и все. Но я уже готов к переходу. А ты?