Обнаружена очередная local root уязвимость в ядре Linux 3.8

А добавлено, добавлено-то сколько.

Посчитай, посчитай же.

напомни, много ли софта пускается на современных линукс системах в чруте или виртуалке?

уж два дня как исправили
https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=e6...

done: >9000 estimated

напомни, много ли софта пускается на современных линукс системах в чруте

Всё, что запустишь - твое. Кстати, кроме винтажного чрута существуют и другие легкие контейнеры.

или виртуалке?

И какой же софт нельзя пустить в виртуалке?

done: >9000 estimated

Oh no, we gonna die!11

а также у пользователя есть права на запись в корневую файловую систему (в большом количестве систем корень и домашний раздел находятся на одном и том же разделе).

тогда уж пишите прямо «если домашняя директория пользователя находится на том же разделе, что и корень ФС»

А если допустим пользователь имеет права на запись в отдельные каталоги /opt уязвимость тоже сработает?

Если /opt на корне - работала бы.

И какой же софт нельзя пустить в виртуалке?

оверхед

А если допустим пользователь имеет права на запись в отдельные каталоги /opt уязвимость тоже сработает?

конечно. уязвимость то вообще некритичная, так как мало юзабельна, но ведь очень часто /tmp или /var/tmp находятся в корневом разделе

И какой же софт нельзя пустить в виртуалке?

оверхед

Единицы процентов - нормальная плата за увеличение безопасности.

Жаль нет возможности проверить. У меня /home и / на разных хардах вобще.

./a.out 
[**] clown-newuser -- CLONE_NEWUSER local root (C) 2013 Sebastian Krahmer

[+] Found myself: '/1/a.out'
[*] Parent waiting for boomsh to appear ...
[*] Setting up chroot ...
[+] Done.
[*] Cloning evil child ...
[-] clone: Invalid argument

Единицы процентов - нормальная плата за увеличение безопасности.

расскажешь это шаред хостерам?

Жаль нет возможности проверить. У меня /home и / на разных хардах вобще.

возможность проверить есть, /home тут вообще ни при чем

Единицы процентов - нормальная плата за увеличение безопасности.

расскажешь это шаред хостерам?

Шаред хостеры это знают.

Шаред хостеры это знают.

большие хостеры не могут юзать виртуалки для этой цели, ибо слишком жруче и нерентабельно

аргументируй, что ли

Ну ты-то не утруждал себя аргументами: ляпнул, да и ладно.

большие хостеры не могут юзать виртуалки для этой цели, ибо слишком жруче и нерентабельно

Песочницы есть? Да, получи и распишись. На шаред хостинге их нельзя использовать? Это проблема тех, кто там хостится.

что древний vmsplice, что 2 летней давности abftw.c, что mempodipper - все они были эффективны, и в некоторых реализациях обходили selinux/grsec.
а теперь расскажи, какие песочницы в линуксе мешают поднимать привилегии на хосте.

оверхед

он там процентов 5-10% в среднем (что, имхо, незаметно) для kvm, я проверял на широком классе задач, от архиваторов до ffmpeg. Конкретные цифры лень искать.

На шаред хостинге их нельзя использовать?

технически можно, практически - нет (я про крупных хостеров, с миллионами сайтов, а не локалхосты)

kvm

ты наверное не заметил, что речь про шаред хостинг

Еще раз - это проблема тех, кто хостится на шареде.

жаль, что ты докатился до таких «аргументов».

и кстати, подобная услуга востребована и незаменима, использовать на хостах там что-то, кроме линукса тоже особого смысла нет.

большие хостеры не могут юзать виртуалки для этой цели, ибо слишком жруче и нерентабельно

шаред-хостинг гуано по определению и давно должен был сдохнуть (я их вдоволь наломался, все у кого был один апач на все сайты только в путь хакались).

Кстати, ещё в году эдак 2005 друг показывал хостинг на караване, так там ему freebsd jail дали. Там на read-write были доступны только /home и /tmp, остальное было общим для всех тазиков. И обновления они делали всем одновременно.

жаль, что ты докатился до таких «аргументов».

Я? За всё надо платить. Если экономишь копейки - будь готов, что тебе продадут брак.

шаред-хостинг гуано по определению и давно должен был сдохнуть (я их вдоволь наломался, все у кого был один апач на все сайты только в путь хакались).

не ожидал увидеть такой неадекватный комментарий от тебя.

Кстати, ещё в году эдак 2005 друг показывал хостинг на караване, так там ему freebsd jail дали. Там на read-write были доступны только /home и /tmp, остальное было общим для всех тазиков. И обновления они делали всем одновременно.

из джейла можно убежать, тем более фря не менее дырява (чего стоит только эпичнейшая уязвимость на x86-64 хостах)

Если экономишь копейки - будь готов, что тебе продадут брак.

линукс не готов для шаред хостинга?

Жаль нет возможности проверить. У меня /home и / на разных хардах вобще.

возможность проверить есть, /home тут вообще ни при чем

ну тогда должно было сработать. Я запускал из директории /1 в корне. Ядро ванильное 3.8.2. Пространства имен включены. чяднт?

линукс не готов для шаред хостинга?

Ты не перестал пить коньяк по утрам?

подобная услуга востребована и незаменима

На дворе 2013 год, прекращай думать категориями апача, cpanel и mod_похапе :). Vds от 7баксов стоит (нормальный хостинг не дешевле), при гораздо больших возможностях и меньших проблемах.

чяднт?

Тред не читаешь.

из джейла можно убежать

И как же? Или это из разряда «всё можно сломать»? Наверно можно, но это посложнее чем поиметь соседа по шареду. PS рута на караване не давали.

тем более фря не менее дырява

бгг, не переводи разговор. Тем более в корне неверное русло. Уж по кол-ву обнаруженных дырок у бсд их меньше.

На дворе 2013 год, прекращай думать категориями апача, cpanel и mod_похапе :).

расскажи это монстрам вроде хостгатора. кстати (ты то уж должен знать), давно уже есть куча возможностей разграничения прав на между юзерами и вхостами

Vds от 7баксов стоит

с 256 памяти и необходимостью самостоятельно админить или платить за администрирование, ага.

при гораздо больших возможностях и меньших проблемах.

ты мыслишь как гик или технарь.
разумеется, для серьезных больших проектов шаред не подходит, но для пары блогов на вп или пары порталов на друпале шаред - самое то. особенно когда у тебя таких блогов или порталов десятки-сотни и тебе надо их разнести по всему миру

И как же? Или это из разряда «всё можно сломать»?

я видел сплойты для фри, даже в паблике, в которых был реализован выход из джейла.

бгг, не переводи разговор.

и не думал - лишь заметил, что в бсд ситуация не сильно лучше.
чего стоит хотя бы https://rdot.org/forum/showthread.php?t=2220 или еще более эпичный сплойт mbufs()

Уж по кол-ву обнаруженных дырок у бсд их меньше.

само собой, ведь и популярность ее в разы ниже

с 256 памяти и необходимостью самостоятельно админить или платить за администрирование, ага.

Поставь панель и радуйся.

давно уже есть куча возможностей разграничения прав на между юзерами и вхостами

Неужто допилили? Ублажь старого админа, накидай ссылочек. Я недеюсь речь идёт не про php safe_mode, а хотя бы про fcgi и отдельный /tmp для каждого юзера/сайта и отдельный каталог с сессиями?

когда у тебя таких блогов или порталов десятки-сотни и тебе надо их разнести по всему миру

с какой целью размазывать это по всему миру?

я видел сплойты для фри, даже в паблике, в которых был реализован выход из джейла.

И? Я видел уязвимости для выхода из kvm. Я говорю лишь о том что один уровень изоляции для дырявого линукса никогда не был достаточным. Особенно когда появляются 0day эксплоиты.

само собой, ведь и популярность ее в разы ниже

Значит она более секурна для применения в продакшене. Поэтому твоя фраза про «не менее дырява» мимо. Может и не менее, но пока они никому не нужна ей можно пользоваться.

Поставь панель и радуйся.

я тебя умоляю. веб-сервер, бд сервер типа мускула, ссшд и панель эти 256мб сожрут и еще попросят - как там моим скриптам и цмс то работать?

Неужто допилили? Ублажь старого админа, накидай ссылочек.

не, это не ко мне, я уже давно не админ.
тазхейта спроси, если тебе действительно интересно, а не просто так спрашиваешь.

Я недеюсь речь идёт не про php safe_mode, а хотя бы про fcgi и отдельный /tmp для каждого юзера/сайта и отдельный каталог с сессиями?

хотя бы и так, чем тебя этот вариант не устраивает?
другое дело, что залившись через 1 вхост и апнув привилегии через непубличную (а в ряде случаев и уже известную уязвимость) можно получить доступ ко всем остальным.

с какой целью размазывать это по всему миру?

чтобы размещать поближе к целевой аудитории + особенности отношений с гуглом

Больше эксплоитов хороших и разных для нашего линакса.

И? Я видел уязвимости для выхода из kvm. Я говорю лишь о том что один уровень изоляции для дырявого линукса никогда не был достаточным. Особенно когда появляются 0day эксплоиты.

напомни, с каким моим утверждением ты не согласен.
а то у меня складывается впечатление, что мы говорим об одном и том же.

Значит она более секурна для применения в продакшене.

русские хостеры (одни из немногих в мире, кто юзает фрю) после выхода даже тех двух вышеупомянутых сплойтов плакали кровавыми слезами.
и еще одна интересная особенность - в старых ветках (5.x/6.x) уязвимостей сильно меньше, чем в новых.

хотя бы и так, чем тебя этот вариант не устраивает?

Ломается на раз. Ксати, я вспомнил что это за хостгатор, как его хачить даже в журнале хакер писали. В общем, я понял, тебя спрашивать про безопасность шаредов бесполезно. А зачем ты тогда делаешь вид что в этом что-то понимаешь и что все проблемы решены?

У нас админы долгое время сидели на апаче 1.3 потому что у нас были самописные моды чтобы менять uid апачу на соотв. виртхосту. Для 2.2 были относительно готовые лесопеды, но они были страашные и тормозные. Забыл как называется.

чтобы размещать поближе к целевой аудитории

Прям-таки по всему миру размазываете? Кмк, достаточно ну максимум 5 мест чтобы покрыть нормальной связью весь шарик. Это америка, европа, россия + на азию. Правда, сомневаюсь что у вас, скажем, клиенты из Китая, но вдруг есть. Есть ещё африка и австралия, но оно вам надо?

+ особенности отношений с гуглом

а можно пруфлинк?

напомни, с каким моим утверждением ты не согласен.

Шареды с общим апачём это пережиток прошлого. Как минимум там должен быть lxc или openvz.

русские хостеры (одни из немногих в мире, кто юзает фрю) после выхода даже тех двух вышеупомянутых сплойтов плакали кровавыми слезами.

На линуксе они бы рыдали ещё больше.

эти 256мб сожрут и еще попросят - как там моим скриптам и цмс то работать?

Как буд-то на шареде за эти деньги тебе дадут больше. Причём, гарантий что ресурсы в нужный тебе момент будут никто не даст если там тот шаред о котором мы говорим.

а можно пруфлинк?

на то, что гугл банит сетки сайтов, захощеных в одной подсети? это азы

Ломается на раз. Ксати, я вспомнил что это за хостгатор, как его хачить даже в журнале хакер писали.

помоему ты балабол. приведи пример, как оно ломается на раз, и пруфлинк на вменяемую статью в журнале хакер.

В общем, я понял, тебя спрашивать про безопасность шаредов бесполезно. А зачем ты тогда делаешь вид что в этом что-то понимаешь и что все проблемы решены?

у меня точно такое же мнение сложилось насчет тебя, хотя это весьма неожиданно оказалось. странно :(

Прям-таки по всему миру размазываете? Кмк, достаточно ну максимум 5 мест чтобы покрыть нормальной связью весь шарик. Это америка, европа, россия + на азию. Правда, сомневаюсь что у вас, скажем, клиенты из Китая, но вдруг есть. Есть ещё африка и австралия, но оно вам надо?

сайт хостится в той же стране, где находится его целевая аудитория.

ты дальше шланговать будешь или предметно начнешь говорить? повторюсь, я сильно удивлен твоим поведением

Шареды с общим апачём это пережиток прошлого. Как минимум там должен быть lxc или openvz.

http://en.wikipedia.org/wiki/HostGator

As of 2012, HostGator hosts over 8 million domains.

теоретики такие теоретики

На линуксе они бы рыдали ещё больше.

с этим я и не спорил. но фряхохостеры тоже страдают :)

Как буд-то на шареде за эти деньги тебе дадут больше. Причём, гарантий что ресурсы в нужный тебе момент будут никто не даст если там тот шаред о котором мы говорим.

а там фиксированные ресурсы и не нужны, там важен аптайм и отклик.

tazhate, ты не в теме шаредов, как там сейчас модно права разграничивать?

С человеком который обзывается и не умеет гуглить (напр., hostgator cpanel vulnerability) я общаться не буду.

Для 2.2 были относительно готовые лесопеды, но они были страашные и тормозные. Забыл как называется.

Я вас умоляю, mod_ruid2 не такой уж и страшный и совсем не тормозной.

Шареды с общим апачём это пережиток прошлого. Как минимум там должен быть lxc или openvz.

Аргументы «это не модно» в техническом мире за аргументы не считаются :)

хм, у тебя батхерт?

я то как раз в теме, а вот ты ни одного пруфлинка не привел.
я могу извиниться, если ты ткнешь меня носом в мои конкретные ошибки в нашей переписке.

к тому же, мне совсем не хочется спорить с тобой

Аргументы «это не модно» в техническом мире за аргументы не считаются :)

в техническом еще как считаются.
в реальной жизни - нет.