Всё ещё не спешите обновлять ядра?
Как правильно задавать вопросы Правильно сформулированный вопрос и его грамотное оформление способствует высокой вероятности получения достаточно содержательного и по существу ответа. Общая рекомендация по составлению тем: 1. Для начала воспользуйтесь поиском форума. 2. Укажите версию ОС вместе с разрядностью. Пример: LM 19.3 x64, LM Sarah x32 3. DE. Если вопрос касается двух, то через запятую. (xfce, KDE, cinnamon, mate) 4. Какое железо. (достаточно вывод
inxi -Fxz
в спойлере (как пользоваться спойлером смотрим здесь)) или же дать ссылку на hw-probe 5. Суть. Желательно с выводом консоли, логами. 6. Скрин. Просьба указывать 2, 3 и 4 независимо от того, имеет ли это отношение к вопросу или нет. Так же не забываем об общих правилах Как пример вот
-
Автор темы - Сообщения: 147
- Зарегистрирован: 15 июл 2020, 16:12
- Решено: 1
- Откуда: Russia
- Благодарил (а): 16 раз
- Поблагодарили: 7 раз
Всё ещё не спешите обновлять ядра?
Работающие на ядре 5.3 ... 5.5 в Ubuntu Linux рискуют потерять систему из-за уязвимости CVE-2020-8835, которая позволяет непривилегированному пользователю получить права root. Уязвимость находится в подсистеме eBPF. Проблема вызвана ошибкой в функции __reg_bound_offset32(), применяемой для проверки 32-разрядных операций в байткоде BPF. Из-за неверного расчёта границ регистра при обработке специально оформленных BPF-приложений возникает условие для записи и чтения данных вне выделенного буфера в области памяти ядра.
Последний раз редактировалось пользователем 1 Greey; всего редактировалось раз: 13
-
- Сообщения: 2018
- Зарегистрирован: 11 июн 2017, 21:47
- Решено: 30
- Откуда: BY
- Благодарил (а): 79 раз
- Поблагодарили: 434 раза
- Контактная информация:
Всё ещё не спешите обновлять ядра?
Насколько мне удалось понять, уязвимость приводит к тому, что возникают условия для записи и чтения данных вне выделенного буфера в области памяти ядра. Может быть это критично для хостов, которые смотрят в мир по выделенному IP-адресу и на них крутятся какие-нибудь СУБД, веб-сервисы или ещё что-либо. Пока мне не ясно, как злоумышленник собирается эксплуатировать эту уязвимость на моей системе, которая на тремя NAT: провайдер - роутер от провайдера (+ firewall) - мой роутер (+ firewall), который между роутером провайдера и локальной сетью, мне пока не ясно.
Как пишут на opennet, для блокирования уязвимости рекомендовано откатить проблемный патч или запретить выполнение BPF-приложений непривилегированными пользователями через установку sysctl kernel.unprivileged_bpf_disabled в значение 1. Статус исправления в дистрибутивах: Ubuntu, Debian, Arch, Fedora и SUSE (в ядра RHEL проблемное изменение не переносилось). Насколько понимаю, для реализации второго способа мне достаточно в файл sysctl.conf добавить строку kernel.unprivileged_bpf_disabled = 1 Или ошибаюсь?
Как пишут на opennet, для блокирования уязвимости рекомендовано откатить проблемный патч или запретить выполнение BPF-приложений непривилегированными пользователями через установку sysctl kernel.unprivileged_bpf_disabled в значение 1. Статус исправления в дистрибутивах: Ubuntu, Debian, Arch, Fedora и SUSE (в ядра RHEL проблемное изменение не переносилось). Насколько понимаю, для реализации второго способа мне достаточно в файл sysctl.conf добавить строку kernel.unprivileged_bpf_disabled = 1 Или ошибаюсь?
-
- Сообщения: 4506
- Зарегистрирован: 21 июн 2017, 18:09
- Решено: 99
- Благодарил (а): 51 раз
- Поблагодарили: 1993 раза
- Контактная информация:
Всё ещё не спешите обновлять ядра?
Эта уязвимость давно закрыта. За стоковый 5.3 только не скажу там EOL был давно (а ubuntu и производные живут не на стоковых ядрах, потому это их тоже не касается), а 5.4 (LTS), 5.5 и более новые уже давно запатчены. С чего именно сейчас кипишь по антиквариату?
-
Автор темы - Сообщения: 147
- Зарегистрирован: 15 июл 2020, 16:12
- Решено: 1
- Откуда: Russia
- Благодарил (а): 16 раз
- Поблагодарили: 7 раз
Всё ещё не спешите обновлять ядра?
Для отдельных индивидуумов, коим лень было читать первые строки сообщения, поясняю, что оно написано для людей использующих ядро 5.3...5.5. Не все же такие super-ultra-mega-прыткие попрыгунчики как ты. Многие и на старых ядрах работают. Если у тебя более новое - проходи мимо и не засоряй тему.
-
- Сообщения: 10044
- Зарегистрирован: 27 июн 2017, 13:36
- Решено: 129
- Откуда: Нижний Тагил
- Благодарил (а): 776 раз
- Поблагодарили: 1958 раз
- Контактная информация:
Всё ещё не спешите обновлять ядра?
Даже если кто-то использует эти ядра, и они переодически обновляют систему - они получили заплатки, т.к. Canonical сама поддерживает ядра и бэкпортирует заплатки, весь срок пока поддерживает ядро. Поддержка ядра Canonical сильно отличается от официальной поддержки ядра его разработчиками
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 0 гостей