CVE-2017-1000082
https://nvd.nist.gov/vuln/detail/CVE-2017-1000082
Κάτι δεν πάει καλά με τα χαρακτηριστικά που αποδίδουν στο bug. Γιατί network exploitable;
Εμφάνιση 331-345 από 583
Θέμα: Boycott systemd
-
13-07-17, 12:25 Απάντηση: Boycott systemd #331
Τελευταία επεξεργασία από το μέλος mobinmob : 13-07-17 στις 19:03.
It is wrong to put temptation in the path of any nation,/For fear they should succumb and go astray;
So when you are requested to pay up or be molested,/You will find it better policy to say: --
"We never pay any-one Dane-geld,/No matter how trifling the cost;
For the end of that game is oppression and shame,/And the nation that plays it is lost!"
Rudyard Kipling
-
28-07-17, 18:59 Απάντηση: Boycott systemd #332
- Εγγραφή
- 27-08-2004
- Περιοχή
- internet
- Μηνύματα
- 23.371
- Downloads
- 58
- Uploads
- 17
- Άρθρα
- 9
- Ταχύτητα
- 49999 / 4999
- ISP
- ΟΤΕ Conn-x
- DSLAM
- ΟΤΕ - ΚΟΥΝΟΥΠΙΔΙΑΝΩΝ
Να μην λέμε όμως μόνο τα κακά, ας πούμε και τα καλά.
Βραβεύτηκε ο SystemD και ο Lennart στο BlackHat USA 2017!
Στα Pwnie Awards 2017, ο SystemD και ο Lennart πήραν την πρώτη θέση στην κατηγορία...
Spoiler:Gentoo Linux: mess with the best and you might learn something
δικτυακή παράσταση | twitter | within specifications
Αν φτάσω τα 100 και με ρωτήσουν το μυστικό της μακροζωίας θα πω: Πάντα είχα 3 ποτήρια μπροστά μου· ένα με νερό, ένα με καφέ & ένα με αλκοόλ.
-
10-09-17, 12:16 Απάντηση: Boycott systemd #333
https://www.amazon.com/Savaged-Syste.../dp/B075DYXZW1
Όταν το systemd γίνεται πηγή έμπνευσηςIt is wrong to put temptation in the path of any nation,/For fear they should succumb and go astray;
So when you are requested to pay up or be molested,/You will find it better policy to say: --
"We never pay any-one Dane-geld,/No matter how trifling the cost;
For the end of that game is oppression and shame,/And the nation that plays it is lost!"
Rudyard Kipling
-
10-09-17, 12:31 Απάντηση: Boycott systemd #334
Δεν κατάλαβα πάντως, το επαινεί ή το θάβει;
NetBSD Rocks!
http://www.netbsd.org
-
10-09-17, 15:49 Απάντηση: Boycott systemd #335
Απ'ότι διαβάζω, και τα δύο μαζί!
It's like a parody of romance novels, a parody of system admins and a breakdown of why and why not of systemd all in one
-
13-09-17, 01:18 Απάντηση: Boycott systemd #336
Savaged by Systemd: an Erotic Unix Encounter
Authored by Michael Warren Lucas
Ο Michael Lucas εντάσσεται κυρίως στο χώρο των *BSD, οπότε ενδέχεται να είναι λίγο επικριτικός όσον αφορά το systemd.Τελευταία επεξεργασία από το μέλος xtremae : 13-09-17 στις 08:00.
-
08-10-17, 22:43 Απάντηση: Boycott systemd #337
- Εγγραφή
- 27-08-2004
- Περιοχή
- internet
- Μηνύματα
- 23.371
- Downloads
- 58
- Uploads
- 17
- Άρθρα
- 9
- Ταχύτητα
- 49999 / 4999
- ISP
- ΟΤΕ Conn-x
- DSLAM
- ΟΤΕ - ΚΟΥΝΟΥΠΙΔΙΑΝΩΝ
Για να λέμε και τα καλά, πολύ χρήσιμη δυνατότητα:
http://0pointer.net/blog/dynamic-use...h-systemd.htmlGentoo Linux: mess with the best and you might learn something
δικτυακή παράσταση | twitter | within specifications
Αν φτάσω τα 100 και με ρωτήσουν το μυστικό της μακροζωίας θα πω: Πάντα είχα 3 ποτήρια μπροστά μου· ένα με νερό, ένα με καφέ & ένα με αλκοόλ.
-
22-04-18, 19:56 Απάντηση: Boycott systemd #338
- Εγγραφή
- 27-08-2004
- Περιοχή
- internet
- Μηνύματα
- 23.371
- Downloads
- 58
- Uploads
- 17
- Άρθρα
- 9
- Ταχύτητα
- 49999 / 4999
- ISP
- ΟΤΕ Conn-x
- DSLAM
- ΟΤΕ - ΚΟΥΝΟΥΠΙΔΙΑΝΩΝ
Στο ίδιο release με το προηγούμενο, είχε άλλη μια ωραία δυνατότητα που μου είχε ξεφύγει. Ουσιαστικά λειτουργεί με το eBPF σύστημα του Linux kernel.
http://0pointer.net/blog/ip-accounti...h-systemd.html
Μπορείς να ορίσεις per process networking accounting και ίσως ακόμη πιο σημαντικό, per process IP deny/allow lists. Nice!Gentoo Linux: mess with the best and you might learn something
δικτυακή παράσταση | twitter | within specifications
Αν φτάσω τα 100 και με ρωτήσουν το μυστικό της μακροζωίας θα πω: Πάντα είχα 3 ποτήρια μπροστά μου· ένα με νερό, ένα με καφέ & ένα με αλκοόλ.
-
06-05-18, 15:13 Απάντηση: Boycott systemd #339
Καλό είναι να υπάρχει κάτι, έστω και κακό. Αυτό άλλωστε είναι υποκειμενικό. Εμένα μου αρέσει το upstart, της Γεωργίας το systemd, της Μαρίας το sysv, του Κώστα το openrc. Όλα καλά αρκεί να μπορώ ΕΓΩ να επιλέξω τι θα χρησιμοποιώ, όχι να μου το επιβάλουν. Αν δεν υπάρχει ελευθερία, δύσκολα τα πραγματα.
BTW εγώ χρησιμοποιώ gentoo/openrc
--giannis--
-
15-08-18, 16:53 Απάντηση: Boycott systemd #340
Άλλη μια καλώς υλοποιημένη και καλώς δοκιμασμένη λειτουργία του systemd
[Intro]
Παλαιότερα έπρεπε να έχουμε ένα τεράστιο /etc/passwd με ένα κάρο χρήστες για τον Ψ και τον Ζ δαίμονα ενώ μπορεί να μην εγκαθιστούσαμε ποτέ τον δαίμονα. Κάποιες διανομές υλοποίησαν ένα "δυναμικό" σύστημα στο οποίο έδιναν μόνο ένα πολύ βασικό passwd με 5-6 χρήστες και στα post-install scripts των πακέτων είχαν κώδικα που δημιουργούσε τον τάδε χρήστη την ώρα που θα εγκαθιστούσαμε το πακέτο που τον χρειαζόταν. Το systemd υλοποίησε την λειτουργία sysusers η οποία πάλι μπορεί να χρησιμοποιηθεί κατά το post-install script ενός πακέτου αλλά έκανε πιο εύκολη αυτή τη δουλειά.
Αν όμως δοκιμαστικά εγκαθιστάς ένα πρόγραμμα και μετά το αφαιρείς (πχ ας βάλω το exim μια εβδομάδα να το δω, μετά ας βάλω το postfix να δω πώς δουλεύει αυτό, κτλ), τότε μετά από καιρό καταλήγεις και πάλι να έχεις ένα μεγάλο passwd με άχρηστους χρήστες. Έτσι λοιπόν, κάποια στιγμή το systemd το πήρε παραπέρα το πράγμα και δημιούργησε την υποδομή Dynamic Users με την οποία δεν χρειάζεται καν να δημιουργήσουμε ένα χρήστη. Μπορούμε να πούμε ότι μια υπηρεσία θα χρησιμοποιεί δυναμικούς χρήστες οπότε ο systemd δημιουργεί προσωρινά ένα χρήστη και τον αφαιρεί όταν σταματήσει η υπηρεσία. Για να δουλέψει αυτό, χρησιμοποιεί διάφορα bind mounts για να δημιουργήσει ένα εικονικό περιβάλλον στον κατάλογο /var/lib/private. Καταχρηστικά δηλαδή θα μπορούσαμε να πούμε ότι δημιουργεί ένα είδος "chroot".
[Πρόβλημα]
Όλα καλά και ωραία ως εδώ. Πολύ ωραία ιδέα που απλοποίησε τα 15 χειροκίνητα βήματα που έπρεπε να κάνουμε για να τρέχουμε τον Ψ δαίμονα σε chroot. Όπως πάντα όμως υλοποιήθηκε μόνο με το στενό όραμα των devs και χωρίς κανένα testing. Αφού έπαιζε στο workflow τους, όλα είναι καλά.
Τι προβλήματα προκάλεσε αυτό ? Όπως διαβάζουμε εδώ, το πρώτο πρόβλημα είναι ότι αν αποτύχει αυτή η διαδικασία, ο systemd αφαιρούσε σωστά τον προσωρινό χρήστη αλλά άφηνε τον κατάλογο ο οποίος πλέον είχε σαν χρήστη:ομάδα ένα ανύπαρκτο χρήστη το οποίο μετά καθιστούσε επ αόριστον αδύνατο να τρέξει ξανά η υπηρεσία (γιατί δεν είχε άδειες να μπει στον κατάλογο) αν δεν καταλάβαινες εσύ τι φταίει και να αφαιρέσεις χειροκίνητα τον κατάλογο.
Το 2ο πρόβλημα (το οποίο προκαλεί το πρώτο) είναι ότι σκέφτηκαν "σαν root τρέχει οπότε δεν μπορεί να αποτύχει ποτέ" και δεν έγινε καμμία δοκιμή για να δουν αν έχει προβλήματα. Να που όμως αν το τρέχεις σε κάποιο container ή (στην περίπτωση του OP) με NFS mounts που μπορεί να έχουμε uid mappings και το uid 0 να μην αντιστοιχεί σε κανονικό uid 0 αλλά σε κάποιο non-privileged uid, μπορεί να αποτύχει η διαδικασία. Επίσης, μια και δεν μπορούσε να αποτύχει ποτέ, δεν σκέφτηκαν να logάρουν τίποτα και το journal δεν είχε ουδεμία πληροφορία. Ο OP το βρήκε χρησιμοποιώντας το strace και ψάχνοντας ένα τεράστιο log με system calls και μετά κοιτάζοντας τον κώδικα του systemd."I like offending people, because I think people who get offended should be offended" - Linus Torvalds
"Παλιά είχαμε φτωχούς οι οποίοι ζούσανε σε φτωχογειτονιές. Τώρα, η οικονομικά δυσπραγούσα τάξη
κατέχει στέγες υποδεέστερης ποιότητας σε υποβαθμισμένα αστικά κέντρα" - George Carlin
Γα.... την πολιτική ορθότητα.
-
15-08-18, 17:05 Απάντηση: Boycott systemd #341
Εγώ πάντως έχω πλέον μετακομίσει μόνιμα σε BSD (FreeBSD στο pc & NetBSD στο pi) και έχω ξεχάσει τη χολέρα του systemd...
Αλλά που και που, μπαίνω και διαβάζω τι μ@λ@κιες εξακολουθούν να συμβαίνουν και ταλαιπωρούν τον κόσμο, με τις π@π@ριες της παρέας του Poettering...NetBSD Rocks!
http://www.netbsd.org
-
15-08-18, 17:56 Απάντηση: Boycott systemd #342
Και εγώ λατρεύω NetBSD αλλά δυστυχώς τα BSD δεν κάνουν για όλο τον κόσμο.
Μέχρι πρότεινος δεν επέτρεπαν εκκίνηση από UEFI ή και από GPT (τα Open και Net έχουν μόλις εδώ και 2 - 3 releases) με αποτέλεσμα να έπρεπε να τρέχεις legacy boot και αναχρονιστικές αηδίες τύπου bsd labels. Το drm υποσύστημα ακολουθεί πολύ αργά αυτό του linux (το οποίο επίσης δεν υποστηρίζει καλά τα πάντα) με αποτέλεσμα να μην παίζουν καλά κάποιες κάρτες intel και amd. Το χειρότερο κατ εμέ πρόβλημα το οποίο είναι showstopper για εμένα είναι το filesystem. Αν εξαιρέσεις το Free (και το Dragonfly με το hammer), τα Open και Net δεν έχουν καλή υποστήριξη (ή και καθόλου) ZFS με αποτέλεσμα να είσαι αιχμάλωτος ενός αρχαίου filesystem. Το UFS μπορεί να είναι μεν σταθερότατο αλλά η ελευθερία της pooled storage και των snapshots (και των checksums φυσικά στον τομέα της ασφάλειας) που παρέχουν τα ZFS / BTRFS είναι νομίζω απαραίτητα."I like offending people, because I think people who get offended should be offended" - Linus Torvalds
"Παλιά είχαμε φτωχούς οι οποίοι ζούσανε σε φτωχογειτονιές. Τώρα, η οικονομικά δυσπραγούσα τάξη
κατέχει στέγες υποδεέστερης ποιότητας σε υποβαθμισμένα αστικά κέντρα" - George Carlin
Γα.... την πολιτική ορθότητα.
-
15-08-18, 18:33 Απάντηση: Boycott systemd #343
Ξεκινώντας από το τελευταίο που ανέφερες, θα έλεγα ότι το ufs filesystem όπου έχει journalling (WAPBL σε NetBSD, SU+J σε FreeBSD) είναι rock-stable και νομίζω ότι καλύπτει τη συντριπτική πλειοψηφία του κόσμου (όπως πιστεύω ότι και στο linux, με το ext4 συμβαίνει το ίδιο). Το OpenBSD (soft updates) εδώ βρίσκεται πίσω. Βέβαια, αν θέλεις προχωρημένα πράγματα (snapshots, checksums, κτλ) το ZFS στο FreeBSD φυσικά rock-άρει!
Στο θέμα του νέου υλικού (κυρίως στις κάρτες γραφικών) δυστυχώς έχεις δίκιο. Εκεί είναι σαφώς αρκετά προβληματικά τα πράγματα...
Τέσπα, sorry για τοNetBSD Rocks!
http://www.netbsd.org
-
15-08-18, 19:38 Απάντηση: Boycott systemd #344
Πρόσφατη συζήτηση σχετικά με το systemd.
-
15-08-18, 21:06 Απάντηση: Boycott systemd #345
- Εγγραφή
- 27-08-2004
- Περιοχή
- internet
- Μηνύματα
- 23.371
- Downloads
- 58
- Uploads
- 17
- Άρθρα
- 9
- Ταχύτητα
- 49999 / 4999
- ISP
- ΟΤΕ Conn-x
- DSLAM
- ΟΤΕ - ΚΟΥΝΟΥΠΙΔΙΑΝΩΝ
Ξέχασες κι ένα άλλο πρόβλημα. Tο /var/lib/private κάθε δαίμονας το βλέπει διαφορετικά —γίνονται expose διαφορετικά αρχεία μόνο σε αυτόν. Εσύ σαν χρήστης ή σαν root, δεν έχεις πρόσβαση σε αυτά, δεν μπορείς να δεις αυτό που βλέπει ο δαίμονας ως configuration, οπότε είναι αδύνατο να κάνεις debug ή θα πρέπει να ψάχνεις σε δεκάδες namespaces, etc, πράγμα αδύνατο.
Gentoo Linux: mess with the best and you might learn something
δικτυακή παράσταση | twitter | within specifications
Αν φτάσω τα 100 και με ρωτήσουν το μυστικό της μακροζωίας θα πω: Πάντα είχα 3 ποτήρια μπροστά μου· ένα με νερό, ένα με καφέ & ένα με αλκοόλ.
Bookmarks