|
Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Серия уязвимостей в Firejail" | +/– | |
Сообщение от opennews (ok) on 08-Янв-17, 00:05 | ||
В системе для изолированного выполнения приложений Firejail (https://firejail.wordpress.com/) выявлено девять уязвимостей, большинство из которых позволяют повысить свои привилегии в основной системе до пользователя root. Firejail использует (https://www.opennet.ru/opennews/art.shtml?num=45120) для изоляции механизм пространств имён (namespaces), AppArmor и фильтрацию системных вызовов (seccomp-bpf) в Linux, но для настройки изолированного запуска требует повышенных привилегий, которые получает через привязку к утилите флага suid root или запуск при помощи sudo. Как оказалось безопасность Firejail находится в весьма печальном состоянии и многие опции и пользовательские данные обрабатываются под euid 0. | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения по теме | [Сортировка по времени | RSS] |
1. "Серия уязвимостей в Firejail" | –1 +/– | |
Сообщение от НовыйЮзер (ok) on 08-Янв-17, 00:05 | ||
Красота. Недавно читал про сабж - думал может пригодится, а вот оно как... | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
18. "Серия уязвимостей в Firejail" | +1 +/– | |
Сообщение от anonymous (??) on 08-Янв-17, 16:02 | ||
С самим sandbox там всё в порядке, судя по всему. Суть уязвимостей в том, что запустив firejail с определёнными параметрами можно получить root. Если sandbox был запущен с правильными параметрами, то процессы изнутри sandbox ничего плохого сделать не смогут. | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
39. "Серия уязвимостей в Firejail" | +/– | |
Сообщение от anonymous (??) on 08-Янв-17, 21:01 | ||
Беда в том, что firejail - suid. Если похакают твоего пользователя, то используя firejail можно будет похакать рута. Вообще-то считается не очень. suid приложения надо писать очень тщательно. | ||
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору |
48. "Серия уязвимостей в Firejail" | –1 +/– | |
Сообщение от Аноним (??) on 09-Янв-17, 18:28 | ||
>Беда в том, что firejail - suid | ||
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору |
2. "Серия уязвимостей в Firejail" | +12 +/– | |
Сообщение от Аноним (??) on 08-Янв-17, 00:24 | ||
Ирония в том, что самые нелепые уязвимости вылезают в программах для повышения безопасности. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
3. "Серия уязвимостей в Firejail" | –3 +/– | |
Сообщение от botman (ok) on 08-Янв-17, 01:14 | ||
Поэтому sudo предпочитаю su. Говорят так лучше с точки зрения безопасности, хоть пароли разные для разных операций. | ||
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору |
12. "Серия уязвимостей в Firejail" | +/– | |
Сообщение от Аноним (??) on 08-Янв-17, 10:42 | ||
> Говорят так лучше с точки зрения безопасности | ||
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору |
9. "Серия уязвимостей в Firejail" | +/– | |
Сообщение от Анонимс on 08-Янв-17, 05:11 | ||
по-моему, здесь разница в том, кто делал - "системный" программист или "прикладной" | ||
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору |
15. "Серия уязвимостей в Firejail" | –2 +/– | |
Сообщение от botman (ok) on 08-Янв-17, 13:24 | ||
если уязвимость с повышением прав до root была в ядре - фиолетово | ||
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору |
45. "Серия уязвимостей в Firejail" | +/– | |
Сообщение от Аноним (??) on 09-Янв-17, 05:30 | ||
> если уязвимость с повышением прав до root была в ядре - фиолетово | ||
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору |
4. "Серия уязвимостей в Firejail" | –2 +/– | |
Сообщение от Аноним (??) on 08-Янв-17, 02:03 | ||
Я использую firejail, уязвимости с удаленным исправлением кода есть? | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
27. "Серия уязвимостей в Firejail" | +2 +/– | |
Сообщение от Анонимаа on 08-Янв-17, 20:37 | ||
Исполенение кода в твоем браузере - не удаленное. | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
6. "Серия уязвимостей в Firejail" | +/– | |
Сообщение от Аноним (??) on 08-Янв-17, 03:04 | ||
А в новости про автокликер баннеров (https://www.opennet.ru/opennews/art.shtml?num=45821) народ был свято уверен, что Firejail их защитит в случае, когда автокликер словит рано или поздно эксплоит-пак. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
7. "Серия уязвимостей в Firejail" | +/– | |
Сообщение от Аноним (??) on 08-Янв-17, 03:11 | ||
Эксплоит-паку в данном случае нужно будет предолеть ещё и firejail. Т.е. должен быть специфичный экслоит, эксплуатирующий уязвимости сразу двух продуктов. Да ещё и под linux. А шанс на появление такого экслоита аналогичен шансу, что firejail займёт хотя бы 20% пользовательских ПК всего мира. | ||
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору |
8. "Серия уязвимостей в Firejail" | +/– | |
Сообщение от Аноним (??) on 08-Янв-17, 04:03 | ||
Что мешает делать бомбовую атаку из исплоитов? | ||
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору |
11. "Серия уязвимостей в Firejail" | +1 +/– | |
Сообщение от tellur on 08-Янв-17, 10:19 | ||
> Что мешает делать бомбовую атаку из исплоитов? | ||
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору |
46. "Серия уязвимостей в Firejail" | +/– | |
Сообщение от Аноним (??) on 09-Янв-17, 05:41 | ||
> Нежелание палить все карты. | ||
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору |
47. "Серия уязвимостей в Firejail" | –1 +/– | |
Сообщение от iPony on 09-Янв-17, 08:55 | ||
Ну учитывая, что речь была про линуксы, то экономическая целесообразность. | ||
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору |
13. "Серия уязвимостей в Firejail" | +/– | |
Сообщение от Аноним (??) on 08-Янв-17, 11:23 | ||
Если firejail работает под рутом то нужно преодолеть только firejail. | ||
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору |
19. "Серия уязвимостей в Firejail" | +/– | |
Сообщение от Аноним (??) on 08-Янв-17, 16:27 | ||
> Если firejail работает под рутом | ||
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору |
44. "Серия уязвимостей в Firejail" | +/– | |
Сообщение от Аноним (??) on 09-Янв-17, 05:25 | ||
> Если firejail работает под рутом то нужно преодолеть только firejail. | ||
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору |
16. "Серия уязвимостей в Firejail" | +2 +/– | |
Сообщение от IB on 08-Янв-17, 14:28 | ||
Не читатели? | ||
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору |
10. "Серия уязвимостей в Firejail" | +/– | |
Сообщение от Аноним (??) on 08-Янв-17, 09:54 | ||
Интересно, в убунте скоро исправят? | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
22. "Серия уязвимостей в Firejail" | –1 +/– | |
Сообщение от gre on 08-Янв-17, 17:36 | ||
Доизолировались. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
26. "Серия уязвимостей в Firejail" | –1 +/– | |
Сообщение от Tyuiop on 08-Янв-17, 19:03 | ||
Внимательно посмотрел на номера уязвимостей, в том числе исправленных. Много думал. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
33. "Серия уязвимостей в Firejail" | +/– | |
Сообщение от Аноним (??) on 08-Янв-17, 20:49 | ||
А что там странного, номера CVE не назначаются по порядку. Red Hat выдаёт номера CVE из заранее выделенного пула. В 2017 году им выдали пул CVE-2017-5xxx. | ||
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору |
43. "Серия уязвимостей в Firejail" | +1 +/– | |
Сообщение от rshadow (ok) on 08-Янв-17, 22:40 | ||
Иногда лучше один раз прочитать, чем семь раз подумать =) | ||
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |