04.07.2022

Уязвимости в systemd, Flatpak, Samba, FreeRDP, Clamav, Node.js

 
  • 2.9, Жироватт (ok), 11:38, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ни строка не сходится, ни столбец.
    Нету SELinux, Docker, <хипстоподелие-на-Rust>, Кибернетес и МСэджФорЛинукс
     
     
  • 3.23, Аноним (1), 12:03, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сходится-сходится, 3 хипстоподелия в заголовке как минимум, одно ненужно и два ненужно для тех, у кого мышь от пальцев не отлипла.

    По поводу того, что ты упомянул — ну не бывает таких праздников, чтобы прямо вообще всё валилось и разом, если это только не вытянутый из сотни импортов leftpad. Если и это повалится, то тут двойное бинго.

     

     
  • 2.3, Аноним (3), 11:23, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    видимо, задолбались писать отдельные новости о дырах, решили агрегировать — можно даже отдельную рубрику сделать)
     
     
  • 3.8, Жироватт (ok), 11:35, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Хм…

    systemd, Flatpak, Node.js — копроративная хрень от шапочников

    Samba, FreeRDP, Clamav, — аналог и две привязки к майковским поделиям.

    Думаю, стоило бы так разделить новости

     
  • 2.6, Жироватт (ok), 11:33, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    FreeRDP стоило бы вычеркнуть — сам он хорош, гнил лишь сам майковский протокол
     
     
     
  • 4.24, Жироватт (ok), 12:11, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Аналоги вендорлока были, есть и будут. От NX до переработанного VNC.

    Просто кое-кто «сисьодмен» и ничего другого, кроме как переустановить крянутую винду, ломануть termserv.dll и кое как пробросить 1С в remoteapp не знает, а главное не хочет знать.
     

     
  • 2.11, Аноним (11), 11:40, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Поставляет дыры в RH дистры, чтобы можно было продать следующе версию
     
  • 2.25, Michael Shigorin (ok), 12:12, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Смотря кому…

    С учётом http://vk.com/@erthink-risc-v и тенденций в «работе с уязвимостями», ставшей очередным бизнесом вроде «антивирусного», сдаётся мне, что «дорогие партнёры» видят здесь лишь ещё один фронт, на котором хаос должен контролироваться именно ими.

     

     
  • 2.15, Аноним (15), 11:50, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вот не надоело на больное давить? «Ценителям» снова придется напрягаться и ради тебя одного искать список плюсов. Хотя в душе понимая, что это яма
     
  • 2.21, rshadow (ok), 12:00, 13/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Потому что это устарело еще на старте systemd. Даже в sysv была сразу добавлена иерархия которая снизила время загрузки до нескольких секунд.
     

  • 1.17, InuYasha (??), 11:55, 13/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    systemd-tmpfiles —remove вообще может повесить всё на свете. Знаю программистов, которые что-то такое в прод выкатывали, что этот процесс зачистки стабильно вешал машину раз (а то и два) в день. Не знаю, что там в поднаготной, но разве так трудно вообще снести директорию в /tmp/ и создать заново? Но нет — надо удалять в цикле каждый из миллиона файлов… (то, что погромисты косячники, я не спорю)
     
  • 1.27, Аноним (27), 12:34, 13/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Также упоминается более опасный сценарий атаки на Ubuntu 21.04: так как из-за краха systemd-tmpfiles не создаётся файл /run/lock/subsys, а каталог /run/lock допускает запись для всех пользователей, атакующий может создать каталог /run/lock/subsys под своим идентификатором и через создание символических ссылок, пересекающихся с lock-файлами от системных процессов, организовать перезапись системных файлов.

    Мне кажется или systemd тут это вершина айсберга? Почему из-за отсутствия какого-то временного(!) файла, в папке, доступной для записи всем(!!), возможна перезапись системных файлов? Тут вопросы не к авторам сустемд

     

    Источник.