Portál AbcLinuxu, 25. července 2025 14:12


Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Vložit další komentář
Petr Tomášek avatar 18.4.2015 22:28 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Jaderné noviny – 29. 1. 2015: Zranitelnost načítání šifrovacích modulů
Odpovědět | Sbalit | Link | Blokovat | Admin
Překladateli, cos zas hulil? To musí bejt fakt kvalitní matroš, to se jen tak nevidí...
multicult.fm | monokultura je zlo | welcome refugees!
20.4.2015 07:32 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Jaderné noviny – 29. 1. 2015: Zranitelnost načítání šifrovacích modulů
na podobný bug
oprávnění - v podstatě
navodit jméno modulu uživatele specifickým textovým řetězcem
dostanou MODULE_ALIAS(), s použitím prefixu
přístupná, než mount
Jádro převádí načítání
který zracovává

A nakonec tahle červená citací je ve tmavém stylu podivně kontrastní (asi jako červená na modré), takže se nedá číst.

19.4.2015 07:31 Filip Jirsák
Rozbalit Rozbalit vše Re: Jaderné noviny – 29. 1. 2015: Zranitelnost načítání šifrovacích modulů
Odpovědět | Sbalit | Link | Blokovat | Admin
„A protože nadávám na lidi, kteří ignorují regresní zprávy, protože „opravují chybu“ měl bych si udělat čas na to říct, jak se mi líbilo vidět vás, jak vysvětlujete lidem, kteří tuto regresi oznámili, jak se to stalo a jaké bylo uvažování. Takhle by to mělo fungovat. Kvůli tomu jsem měl pocit, že to byl dobrý nápad, moje chyba.“
Četl jsme to česky třikrát, a stejně jsem to nepochopil. Přitom v originálu to nijak zamotané není.
A protože proklínám lidi, kteří ignorují nahlášené regrese s odůvodněním "opravuje to chybu", měl bych si udělat čas a říci vám, jak rád vidím, když vysvětlujete lidem, kteří regresi nahlásili, proč se to stalo a jaké vás k tomu vedly důvody. *Takhle* by to mělo fungovat. "Moje chyba, tohle byl důvod, proč jsem si myslel, že je to dobrý nápad."
19.4.2015 16:36 logik
Rozbalit Rozbalit vše Re: Jaderné noviny – 29. 1. 2015: Zranitelnost načítání šifrovacích modulů
Odpovědět | Sbalit | Link | Blokovat | Admin
Trochu nechápu, jak pomůže nahrávání pouze modulů se speciálním prefixem: pokud budu chtít jádro kompromitovat vlastním modulem, co mi brání u toho modulu dát patřičný prefix?
Jendа avatar 19.4.2015 16:41 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jaderné noviny – 29. 1. 2015: Zranitelnost načítání šifrovacích modulů
Musíš ten svůj modul dostat do /lib/modules.
19.4.2015 18:20 logik
Rozbalit Rozbalit vše Re: Jaderné noviny – 29. 1. 2015: Zranitelnost načítání šifrovacích modulů
Jasně, ale to jsem před úpravou musel také, ne?
Petr Tomášek avatar 21.4.2015 17:34 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Jaderné noviny – 29. 1. 2015: Zranitelnost načítání šifrovacích modulů 
man insmod
multicult.fm | monokultura je zlo | welcome refugees!
Jendа avatar 21.4.2015 18:43 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jaderné noviny – 29. 1. 2015: Zranitelnost načítání šifrovacích modulů
insmod: ERROR: could not insert module aes-jenda.ko: Operation not permitted
19.4.2015 18:20 Filip Jirsák
Rozbalit Rozbalit vše Re: Jaderné noviny – 29. 1. 2015: Zranitelnost načítání šifrovacích modulů
Myslím, že to neřeší případ, kdy můžete jádru podstrčit vlastní modul. Řeší to případ, kdy v systému je modul, který může nahrát jen správce - ale tahle chyba to umožňovala obejít a nahrání modulu mohl vyvolat i běžný uživatel.
19.4.2015 18:21 logik
Rozbalit Rozbalit vše Re: Jaderné noviny – 29. 1. 2015: Zranitelnost načítání šifrovacích modulů
Jo, to je asi pravda, ale zas využít tohoto k nějaký zranitelnosti si moc neumím představit. Nicméně díra to je, to jo.
19.4.2015 19:08 Filip Jirsák
Rozbalit Rozbalit vše Re: Jaderné noviny – 29. 1. 2015: Zranitelnost načítání šifrovacích modulů
Může jít třeba o ovladač nějakého hardwaru. Třeba to může být samostatný počítač, který nemá nahraný modul pro síťovou kartu a pro flash disky, aby nijak nemohl komunikovat se světem. Pouze když je potřeba aktualizace, správce nahraje příslušný modul, provede aktualizaci, a modul zase odpojí. Jistě že by bylo lepší fyzicky znemožnit připojení USB a síťového kabelu, ale třeba někde to řešení s moduly může stačit (když funguje).
19.4.2015 22:48 R
Rozbalit Rozbalit vše Re: Jaderné noviny – 29. 1. 2015: Zranitelnost načítání šifrovacích modulů
Alebo moze ist o lubovolny modul, ktory ma nejaku zneuzitelnu bezpecnostnu dieru.
Jendа avatar 21.4.2015 18:46 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jaderné noviny – 29. 1. 2015: Zranitelnost načítání šifrovacích modulů
Realističtější mi přijde třeba nějaký špatně napsaný driver HW, který vytvoří zařízení, nad kterém nějaké uživatelské IOCTL způsobí buffer overflow v jádře. Každopádně to asi není úplně běžný use-case.
21.4.2015 19:04 Filip Jirsák
Rozbalit Rozbalit vše Re: Jaderné noviny – 29. 1. 2015: Zranitelnost načítání šifrovacích modulů
Tam nějak nevidím souvislost s tou chybou. Pokud je v nějakém modulu chyba, je nebezpečný bez ohledu na to, jakým způsobem se do jádra nahraje.
Jendа avatar 21.4.2015 19:14 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jaderné noviny – 29. 1. 2015: Zranitelnost načítání šifrovacích modulů
Jasně, ale zatímco na většině počítačů nebude nahraný děravý modul pro USB kávovar a útočník proto utře nos, v případě existence takovéto chyby si ho útočník může nahrát.
22.4.2015 06:47 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Jaderné noviny – 29. 1. 2015: Zranitelnost načítání šifrovacích modulů
Úrčitá forma DoS se dá způsobit i modulem, který je naprosto v pořádku, např. v případě konfliktních modulů natažení jednoho znemožní (automatické) natažení druhého. Nebo mne napadá třeba ixgbevf, který způsobí, že VF budou místo VF vidět jako normální rozhraní, s čímž konfigurace nemusí počítat (pak sice bývá zvykem ho blacklistovat, ale nějaký corner case tohoto typu by se nejspíš našel).

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.