abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 17:33 | Nová verze

    Byla vydána nová stabilní verze 7.6 webového prohlížeče Vivaldi (Wikipedie). Postavena je na Chromiu 140. Přehled novinek i s náhledy v příspěvku na blogu.

    Ladislav Hagara | Komentářů: 0
    včera 16:22 | Nová verze

    Byla vydána verze 1.90.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.

    Ladislav Hagara | Komentářů: 0
    včera 16:11 | Nová verze

    GNUnet (Wikipedie) byl vydán v nové major verzi 0.25.0. Jedná se o framework pro decentralizované peer-to-peer síťování, na kterém je postavena řada aplikací.

    Ladislav Hagara | Komentářů: 0
    včera 12:11 | Nová verze

    Byla vydána nová major verze 7.0 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Nově je postavena je na Debianu 13 (Trixie) a GNOME 48 (Bengaluru). Další novinky v příslušném seznamu.

    Ladislav Hagara | Komentářů: 0
    včera 04:44 | IT novinky

    Společnost Meta na dvoudenní konferenci Meta Connect 2025 představuje své novinky. První den byly představeny nové AI brýle: Ray-Ban Meta (Gen 2), sportovní Oakley Meta Vanguard a především Meta Ray-Ban Display s integrovaným displejem a EMG náramkem pro ovládání.

    Ladislav Hagara | Komentářů: 0
    včera 01:11 | Nová verze

    Po půl roce vývoje od vydání verze 48 bylo vydáno GNOME 49 s kódovým názvem Brescia (Mastodon). S přehrávačem videí Showtime místo Totemu a prohlížečem dokumentů Papers místo Evince. Podrobný přehled novinek i s náhledy v poznámkách k vydání a v novinkách pro vývojáře.

    Ladislav Hagara | Komentářů: 11
    17.9. 16:22 | Nová verze

    Open source softwarový stack ROCm (Wikipedie) pro vývoj AI a HPC na GPU od AMD byl vydán ve verzi 7.0.0. Přidána byla podpora AMD Instinct MI355X a MI350X.

    Ladislav Hagara | Komentářů: 0
    17.9. 15:22 | Nová verze

    Byla vydána nová verze 258 správce systému a služeb systemd (GitHub).

    Ladislav Hagara | Komentářů: 6
    17.9. 15:11 | Nová verze

    Byla vydána Java 25 / JDK 25. Nových vlastností (JEP - JDK Enhancement Proposal) je 18. Jedná se o LTS verzi.

    Ladislav Hagara | Komentářů: 0
    17.9. 14:44 | Humor

    Věra Pohlová před 26 lety: „Tyhle aféry každého jenom otravují. Já bych všechny ty internety a počítače zakázala“. Jde o odpověď na anketní otázku deníku Metro vydaného 17. září 1999 na téma zneužití údajů o sporožirových účtech klientů České spořitelny.

    Ladislav Hagara | Komentářů: 9
    Jaké řešení používáte k vývoji / práci?
     (39%)
     (55%)
     (6%)
     (9%)
     (12%)
     (9%)
     (12%)
     (9%)
     (15%)
    Celkem 33 hlasů
     Komentářů: 5, poslední včera 22:30
    Rozcestník

    Bezpečnostní chyby CVE-2021-33909 v Linuxu a CVE-2021-33910 v systemd

    Společnost Qualys zveřejnila na svém blogu informace o v upstreamu již opravených bezpečnostních chybách CVE-2021-33909 v Linuxu (txt) a CVE-2021-33910 v systemd (txt). Chyba v Linuxu (fs/seq_file.c) je zneužitelná k lokální eskalaci práv.

    21.7.2021 08:00 | Ladislav Hagara | Bezpečnostní upozornění


    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    21.7.2021 09:34 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Bezpečnostní chyby CVE-2021-33909 v Linuxu a CVE-2021-33910 v systemd
    Nedávno jsem se dočetl, že se v Debian Bullseye rozhodli, že user namespaces je technologie, která už dospěla a neobsahuje tolik bezpečnostních chyb, tak je možné ji ve výchozím nastavení povolit. A chvíli poté tu máme bezpečnostní chybu, kde user namespace poskytl triviální způsob, jak ji zneužít.
    Quando omni flunkus moritati
    21.7.2021 16:45 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Bezpečnostní chyby CVE-2021-33909 v Linuxu a CVE-2021-33910 v systemd

    Tady je potřeba si uvědomit, že ten problém není implementace (unprivileged) user namespace jako tasková, ta funguje přesně jak má. Typicky jde o chybu někde úplně jinde, která ale vyžaduje nějakou capability (tj. v praxi práva roota). Díky unprivileged user namespaces si ale i normální uživatel může vytvořit namespace, ve kterém taková práva má (ale jen omezená na ten namespace). To je důležité třeba pro bezpečnější spouštění různých kontejnerů nebo to některé aplikace (IIRC třeba chromium) využívají pro sandboxing. V praxi to ale také znamená, že uvnitř takového namespace (kontejneru) je příslušný uživatel "rootem" a může zadávat privilegované požadavky, na které v init namespace práva nemá. Často to bývají síťové věci jako třeba nedávno chyba v parsování iptables requestů (na ty je potřeba CAP_NET_ADMIN).

    Jinak řečeno, problém není v dospělosti technologie (unprivileged) user namespace, ta funguje jen jako "zesilovač", který umožní zneužití "root only" chyby i normálnímu uživateli - sice jen uvnitř namespace (kontejneru), ale jádro je jen jedno a když spadne nebo umožní spuštění závadného kódu, tak je to globální problém (kontejner není virtuál).

    21.7.2021 23:39 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Bezpečnostní chyby CVE-2021-33909 v Linuxu a CVE-2021-33910 v systemd
    Tady je potřeba si uvědomit, že ten problém není implementace (unprivileged) user namespace jako tasková, ta funguje přesně jak má. ... Jinak řečeno, problém není v dospělosti technologie (unprivileged) user namespace
    Napsal jsem snad něco, co by naznačovalo, že si to neuvědomuju?
    Quando omni flunkus moritati
    22.7.2021 00:07 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Bezpečnostní chyby CVE-2021-33909 v Linuxu a CVE-2021-33910 v systemd
    Ta část "rozhodli, že user namespaces je technologie, která už dospěla a neobsahuje tolik bezpečnostních chyb" to trochu naznačovala, ale to mohla být jen nešťastná formulace. Vlastně si ani nevzpomínám, že by ta implementace (unprivileged) user namespaces jako taková měla nějak moc bezpečnostních chyb, IMHO to vždy bylo spíš tak, že s její pomocí se chyby v jiných částech jádra stávaly mnohem nebezpečnějšími. Ze své zkušenosti bych třeba připomněl dobu před pár lety, kdy se syzkaller zaměřil na historické a téměř nepoužívané síťové protokoly a drivery a výsledkem byla hromada různých chyb, které byly nebezpečné jenom právě v kombinaci s tím, že kdokoli se může stát rootem ve svém namespace.
    22.7.2021 01:40 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Bezpečnostní chyby CVE-2021-33909 v Linuxu a CVE-2021-33910 v systemd
    Formulace je podle mě v pořádku, z citované věty nevyplývá, že bych to tvrzení rozporoval.

    Jinak přinejmenším na jeden případ, kdy v user namespace nějaká chyba umožňující získání práv byla, si vzpomínám - konkrétně že doporučené zamezení zneužití před updatem jádra bylo zápis nuly do unprivileged_userns_clone a že tohle nastavení bylo výchozí, tudíž nebylo potřeba honem honem dělat update jádra a/nebo měnit nastavení
    Quando omni flunkus moritati
    22.7.2021 01:46 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Bezpečnostní chyby CVE-2021-33909 v Linuxu a CVE-2021-33910 v systemd
    konkrétně že doporučené zamezení zneužití před updatem jádra bylo zápis nuly do unprivileged_userns_clone

    Jen pro pořádek: stejné doporučení by mohlo být i u chyb, kde featura jen z "root only" chyby udělala chybu zneužitelnou jakýmkoli lokálním uživatelem (pokud neexistoval rozumný workaround na samotnou chybu).

    22.7.2021 10:00 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Bezpečnostní chyby CVE-2021-33909 v Linuxu a CVE-2021-33910 v systemd
    No jo, dohledávat to nebudu
    Quando omni flunkus moritati

    Založit nové vláknoNahoru


    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.