The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость в реализации протокола MCTP для Linux, позволяющая повысить свои привилегии"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в реализации протокола MCTP для Linux, позволяющая повысить свои привилегии"  +/
Сообщение от opennews (??), 17-Ноя-22, 13:29 
В ядре Linux выявлена уязвимость (CVE-2022-3977), которая потенциально может использоваться локальным пользователем для повышения своих привилегии в системе. Уязвимость проявляется начиная с ядра 5.18 и устранена в ветке 6.1. Появление исправления в дистрибутивах можно проследить на страницах: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=58136

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +/
Сообщение от Аноним (1), 17-Ноя-22, 13:29 
Таким протоколом наверно пользуются 3,5 анонима. Не опасно.
Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +/
Сообщение от Аноним (3), 17-Ноя-22, 13:33 
> Таким протоколом наверно пользуются 3,5 анонима. Не опасно.

А им и не обязательно пользоваться, для атаки достаточно чтобы модулем было собрано, который сам подгрузится при обращении.

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +1 +/
Сообщение от Аноним (16), 17-Ноя-22, 15:37 
> сам подгрузится при обращении

Сам?! Это где такое?

Ответить | Правка | Наверх | Cообщить модератору

55. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +/
Сообщение от Аноним (55), 19-Ноя-22, 08:36 
install mctp /bin/false > /etc/modprobe.d/block-mctp.conf
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

56. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +/
Сообщение от Аноним (55), 19-Ноя-22, 08:37 
echo install mctp /bin/false > /etc/modprobe.d/block-mctp.conf
Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +7 +/
Сообщение от Аноним (16), 17-Ноя-22, 15:35 
> Уязвимость проявляется начиная с ядра 5.18

Опять "начиная с ...". Прекратите принимать код от современных вебмакак!

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

26. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +1 +/
Сообщение от Аноним (26), 17-Ноя-22, 18:43 
Местным экспертам надо больше комитить в ядро и тогда не придется принимать код от "современных вебмакак"
Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +4 +/
Сообщение от Аноним (16), 17-Ноя-22, 21:57 
У тебя самопротиворечивое предложение.
Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +2 +/
Сообщение от Аноним (48), 18-Ноя-22, 13:20 
Ты просто не умеешь в иронию.
Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +/
Сообщение от Аноним (-), 20-Ноя-22, 20:47 
> Опять "начиная с ...". Прекратите принимать код от современных вебмакак!

И используйте олдскульное 2.4, да? Там уж точно mctp не было - и вулнов в нем тоже. Логично же, да? А если вообще без ядра! Попробуйте, вон, арифмометр по сети хакнуть. Слабо?

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

2. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  –2 +/
Сообщение от Герострат (?), 17-Ноя-22, 13:30 
Очередное сишное ситечко
Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +2 +/
Сообщение от Аноним (33), 17-Ноя-22, 21:21 
На расте будет ещё хуже, чекайте.
Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +/
Сообщение от Вы забыли заполнить поле Name (?), 17-Ноя-22, 22:58 
Пишешь из под redox? Ой не верю.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

4. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +/
Сообщение от Аноним (4), 17-Ноя-22, 13:49 
Астрологи объявили день уязвимостей.
Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +2 +/
Сообщение от Аноним (20), 17-Ноя-22, 16:37 
> It was created in the 1970s by Dennis Ritchie

Астрологи объявили век уязвимостей.

Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +1 +/
Сообщение от Вы забыли заполнить поле Name (?), 17-Ноя-22, 23:00 
Следующий век будет самым безопасным веком, потому что все будут писать на самом безопасном языке, который безопасно позволит обезопасить от самых опасных ошибок с небезепасной работой с небезопасной памятью. Но что это за язык я вам не скажу, потому что это небезопасно на этом опасном форуме.
Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +/
Сообщение от анонна (?), 17-Ноя-22, 23:47 
давайте вообще выпилим языки позволяющие управлять оборудованием вашего компьютера. и отдадим это все "безопасным" языкам корпорастов, которые решат за вас)) и чтоб вы вообще не могли обратьиться к железу никак))
Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +/
Сообщение от Вы забыли заполнить поле Name (?), 19-Ноя-22, 00:33 
> давайте вообще выпилим языки позволяющие управлять оборудованием вашего компьютера. и
> отдадим это все "безопасным" языкам корпорастов, которые решат за вас)) и
> чтоб вы вообще не могли обратьиться к железу никак))

Вы приняты!

Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +/
Сообщение от pashev.ru (?), 19-Ноя-22, 19:37 
COBOL? APL?
Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

63. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +/
Сообщение от Аноним (-), 20-Ноя-22, 20:47 
Астрологи провозгласили неделю некромансии на опеннете.
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +9 +/
Сообщение от Аноним (5), 17-Ноя-22, 13:51 
> [bullseye] - linux <not-affected> (Vulnerable code not present)
> [buster] - linux <not-affected> (Vulnerable code not present)

¯\_(ツ)_/¯

Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +/
Сообщение от Аноним (42), 18-Ноя-22, 00:01 
дебиановцы как всегда красавчики
ваш дистрибутив слишком стар для этих уязвимостей.
в моем stretch'e тоже этой уязвимости нет... какая досада
Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  –7 +/
Сообщение от Шарп (ok), 17-Ноя-22, 14:00 
>обращению к уже освобождённой области памяти (use-after-free)

Rust.

Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +2 +/
Сообщение от Без аргументов (?), 17-Ноя-22, 18:11 
Ладно соседние новости, но такое, это результат кропотливого поиска и постов обиженок-растофилов. Типа информвойна.
Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  –1 +/
Сообщение от Аноним (26), 17-Ноя-22, 18:47 
Очевидно что растофилы закомитили в ядро уязвимостей чтобы очернить си.
Но на местных экспертов, знающих что такое шина адреса, их гнусные уловки не подействуют.
Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +/
Сообщение от Без аргументов (?), 17-Ноя-22, 22:14 
Нет конечно, просто лучше бы делали свои самбы и прочее вместо очернения существующего, обиженно преследуя.
Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +1 +/
Сообщение от Без аргументов (?), 17-Ноя-22, 22:17 
Я ничего не имею против фич раста. Но слишком уж активно насаждают. Под предлогом безопасности втюхивать несвободу - это классика. В данном случае, централизованная власть над cargo/crates, в другом случае, над npm и github.
P.S. я был рад перейти на Го, т.к. он был проще и читабельней, чем Си для бэкенда. Но Раст усложнили, а фича только одна.
Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

43. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +1 +/
Сообщение от Аноним (43), 18-Ноя-22, 00:35 
> Под предлогом безопасности втюхивать несвободу - это классика. В данном случае, централизованная власть над cargo/crates

Народ вроде при нужде создает себе "airgapped"-окружение (без связи с инетом, если боятся). Что надо выкачивают с инета (с "центрального хранилища"), а потом переносят в изолированное от инета окружение. Если надо то и проверяешь и патчишь перенесённое по своему разумению. И в этом окружении на крейты ссылаешься уже в локальной системе. С обновлениями - сам понимаешь как будет. Чем это отличается от того, что ты чужие си/сиплюсовые опенсосрные проекты будешь по всему инету выкачивать себе локально ("чтобы независеть") и впендюривать зависимостями в свое поделие? И куда там делась "централизованная власть" над чужими сишными проектами, например, при разработке ядра? Там любой баклан сразу исходники патчами правит наперегонки с другими или всё-таки там кто-то модерирует присылаемые патчи?

Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +/
Сообщение от Без аргументов (?), 18-Ноя-22, 10:22 
> чужие си/сиплюсовые опенсосрные проекты будешь по всему инету

оно не закрыто двухфакторными авторизациями, чтобы только правильные закладчики работали, в случае блокировки страны есть варианты.

Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +/
Сообщение от Аноним (43), 18-Ноя-22, 19:15 
>> чужие си/сиплюсовые опенсосрные проекты будешь по всему инету
> оно не закрыто двухфакторными авторизациями,

Чё-то у меня чужие крейты с интернетов выкачивались без двухфакторной авторизации. Даже без регистрации и смс

> в случае блокировки страны есть варианты.

в случае блокировки страны таки есть варианты - через випиэн скачиваешь нужные крейты из "центрального хранилища", проверяешь, если есть время и способности и переносишь в своё локальное хранилище. Дальше всё окружение работает с твоим оффлайн-хранилищем.

Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +/
Сообщение от Без аргументов (?), 18-Ноя-22, 21:02 
не для скачки, для коммита же!
Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +/
Сообщение от Аноним (43), 19-Ноя-22, 00:30 
> не для скачки, для коммита же!

так не про коммит же, а про использование чужих проектов в своих говорилось.

а ниже было же понятно сказано что коммиты в сишный/сиплюснутый опенсорс ты тоже обычно не сможешь сделать без чьего-то дозволения. Местами с двухфакторной авторизацией. Там тоже есть ответственные за "пущать/не пущать" люди, а не ты наперегонки с другими анонимами меняешь код как тебе вздумается, как статьи в ранней википедии. Никакой существенной разницы с растом нет, как ты ее описывал. Я себе локально выкачивал чужой крейт, а потом локально же патчил как мне нужно было. Дописывал рест-метод и необходимые мне конструкции. Конечно со слиянием  обновлений потом была бы морока, но точно такая же как если бы я себе в сишный проект откуда-то чужие куски кода засовывал и патчил их локально.

Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +/
Сообщение от Без аргументов (?), 18-Ноя-22, 21:03 
не знаю как с карго, но с npm люди даже известные пакеты не успевают обновлять до поддержки LTS версии. (щаз вот encore/sass не тянет ноду 18 LTS, хотя уже 19 вышла)
Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

54. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +/
Сообщение от Аноним (43), 19-Ноя-22, 00:38 
> не знаю как с карго, но с npm люди даже известные пакеты не успевают обновлять до поддержки LTS версии

Ну значит там бурно разработка идет, а не как в каких-то полузабытых сишных проектах. Тем более для таких случаев ссылка на "центральное хранилище" и онлайн-обновление будет актуальнее, конечно в ущерб безопасности, если тебе некогда проверять всё что втягивается. При такой же бурной смене версий кода тебе и в си/плюсах будет так же геморно обновляться. И в любом другом языке. К тому же в карго ты можешь указать строго нужную тебе версию крейта и плевать можешь на все последующие обновления, если багов не боишься.

Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +/
Сообщение от Без аргументов (?), 18-Ноя-22, 10:24 
> при разработке ядра

лично мне анонимусу пофиг на закладки в ПО. я больше о доступности, т.к. я разработчик

Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

47. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +/
Сообщение от Без аргументов (?), 18-Ноя-22, 10:30 
а кому не пофиг, должны иметь спецов по закладкам
Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +/
Сообщение от iPony129412 (?), 17-Ноя-22, 14:00 
Уже всех сейчас отпенетрируют на линуксах с таким Мега паком уязвимостей.
Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +/
Сообщение от ryoken (ok), 17-Ноя-22, 14:05 
Предлагаете съезжать на Опёнок?
Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +/
Сообщение от Аноним (28), 17-Ноя-22, 19:50 
опеннетраторы уже там
Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +/
Сообщение от Аноним (29), 17-Ноя-22, 19:51 
На хакинтош. Или вообще хром ос
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

30. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +/
Сообщение от Аноним (30), 17-Ноя-22, 20:34 
Семейство BSD, illumos дистрибутивы, бывший OpenSolaris.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

32. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +/
Сообщение от Аноним (32), 17-Ноя-22, 21:21 
Спасёт только Plan 9. На днях для него hare портируют, так что уже можешь начинать писать свой аццкий код.
Ответить | Правка | Наверх | Cообщить модератору

65. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +/
Сообщение от Аноним (65), 21-Ноя-22, 13:10 
А что даёт Hare? Hare ни разу не безопасный.
Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +/
Сообщение от Аноним (1), 17-Ноя-22, 21:19 
Нет фирменного смайлика. Это позор.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

37. "Уязвимость в реализации протокола MCTP для Linux, позволяюща..."  +/
Сообщение от kusb (?), 17-Ноя-22, 22:34 
Сколько оказывается есть интересных протоколов. И прямо в ядре.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2023 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру