The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываемом в Linux-окружениях Microsoft Azure"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываемом в Linux-окружениях Microsoft Azure"  +/
Сообщение от opennews (??), 17-Сен-21, 10:23 
Клиенты облачной платформы Microsoft Azure, использующие Linux в виртуальных машинах, столкнулись с  критической уязвимостью (CVE-2021-38647), позволяющей удалённо выполнить  код с правами root. Уязвимость получила кодовое имя OMIGOD и  примечательна тем, что проблема присутствует в приложении OMI Agent, которое без лишней огласки устанавливается в Linux-окружения...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55813

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +28 +/
Сообщение от banan (??), 17-Сен-21, 10:23 
Невообразимо детский косяк вкупе с принудиловом.
Если и это ничему ажуроводов не научит (спойлер: должно научить не пользоваться azure и иже с ним) - то я даже не знаю.
Ответить | Правка | Наверх | Cообщить модератору

7. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +11 +/
Сообщение от kissmyass (?), 17-Сен-21, 10:33 
дебилы должны страдать, пусть пользуются, за счет таких покемонов мы получили net core под линуху, и даже mono начала импортировать исходники оттуда
Ответить | Правка | Наверх | Cообщить модератору

39. Скрыто модератором  +3 +/
Сообщение от Жироватт (ok), 17-Сен-21, 12:38 
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

45. Скрыто модератором  +4 +/
Сообщение от Timoteo Cirkla (ok), 17-Сен-21, 12:54 
Ответить | Правка | Наверх | Cообщить модератору

56. Скрыто модератором  –1 +/
Сообщение от пох. (?), 17-Сен-21, 13:28 
Ответить | Правка | Наверх | Cообщить модератору

67. Скрыто модератором  +1 +/
Сообщение от Аноним (67), 17-Сен-21, 16:27 
Ответить | Правка | Наверх | Cообщить модератору

78. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +2 +/
Сообщение от лютый жабби__ (?), 17-Сен-21, 20:25 
>Если и это ничему ажуроводов не научит

ажуроводы все распильщики, их не научит, ибо им пофиг.

у маздаев за программно выключенные виртуалки надо платить, если не скажешь дополнительную команду типа shutdown. а за диски будешь платить в любом случае. ещё и минимальный размер системного диска гиг 50 (или 30) был. для линя, который 1-2 весит! а скорость SSD зависит не от дисков, а от стоимости VM. чтобы как в хетцнере был vps за 3 бакса с 5000 iops? хаха, не, получи 100 ) а на HDD 50....

азуре это дорогой беспонт, кто им пользуется, отбит на голову...

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

104. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от Аноним (104), 20-Сен-21, 22:25 
А разве кто-то добровольно пользуется azure? С их космическими ценами, дороже чем в AWS и Google вместе взятыми?
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +25 +/
Сообщение от beduin747 (ok), 17-Сен-21, 10:24 
Лишнее доказательство того, что MS близко к линуху подпускать нельзя.
Ответить | Правка | Наверх | Cообщить модератору

4. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +9 +/
Сообщение от iPony129412 (?), 17-Сен-21, 10:28 
Если там критерием оценивать, кого нельзя к линуксам подпускать, то думаю, что будет пустое поле.
Ответить | Правка | Наверх | Cообщить модератору

5. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от Отпетый Виндузятник (?), 17-Сен-21, 10:31 
в точку, поня, но местным (с красными глазами) адептам сабжа такое лучше в лоб не говорить, ибо ребята обидчивые до крайности
Ответить | Правка | Наверх | Cообщить модератору

12. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +2 +/
Сообщение от Аноним (12), 17-Сен-21, 10:40 
один ты в белом пальто стоишь красивый?
Ответить | Правка | Наверх | Cообщить модератору

13. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +1 +/
Сообщение от Аноним (13), 17-Сен-21, 10:48 
Нет, их там двое.
Ответить | Правка | Наверх | Cообщить модератору

19. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от Аноним (19), 17-Сен-21, 11:08 
Ты хотел быть третьим?
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

81. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +1 +/
Сообщение от нах.. (?), 17-Сен-21, 21:23 
Нет, посмотрел на них, и прошел мимо.
Ответить | Правка | Наверх | Cообщить модератору

61. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от Админ Анонимов (?), 17-Сен-21, 14:11 
там просто не хватает трудно отменяемых авто обновлений и правильного антивируса
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  –1 +/
Сообщение от InuYasha (??), 17-Сен-21, 10:25 
> но оно ещё не доведено до пользователей Microsoft Azure

да... у них же, вроде, принято обновления выкатывать по четвергам, что-ли

> Автообновление агента не поддерживается

обычно это как раз хорошо, имхо. А то без ведома багов насуют... как npm какой-нибудь.

Ответить | Правка | Наверх | Cообщить модератору

15. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +3 +/
Сообщение от Fluttershy (?), 17-Сен-21, 10:59 
Так они уже этот OMI засунули, че терять-то
Ответить | Правка | Наверх | Cообщить модератору

6. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  –5 +/
Сообщение от lockywolf (ok), 17-Сен-21, 10:33 
У кого-нибудь готовый эксплоит есть? Хочу помайнить битка на целом огромном облачном провайдере, но возиться с деталями уязвимости лениво.
Ответить | Правка | Наверх | Cообщить модератору

11. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +5 +/
Сообщение от Аноним (19), 17-Сен-21, 10:39 
Новость почитай если ты там ничего не нашел тебе не надо.
Ответить | Правка | Наверх | Cообщить модератору

16. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  –4 +/
Сообщение от васян (?), 17-Сен-21, 11:01 
Я запустил то что в новости - оно сперва повисло на пять минут, а потом наплевало мне в консоль какие-то ашипка про команда не команда.

А где же эксплойт?

Ответить | Правка | Наверх | Cообщить модератору

73. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от ИмяХ (?), 17-Сен-21, 18:20 
Там уже майнят все, кому не лень.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

8. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +10 +/
Сообщение от Аноним (8), 17-Сен-21, 10:34 
> Суть уязвимости в том, что при удалении в сообщении заголовка "Authentication", отвечающего за аутентификацию, сервер считает прохождение проверки успешной, принимает управляющее сообщение и допускает выполнение команд с правами root.

В Microsoft работают профессионалы своего дела. Просто их профессия не компьютерная безопасность.

Ответить | Правка | Наверх | Cообщить модератору

31. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от Аноним12345 (?), 17-Сен-21, 12:16 
там работают индусы
Ответить | Правка | Наверх | Cообщить модератору

42. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от OpenEcho (?), 17-Сен-21, 12:40 
О, белая кость подтянулась...
Ну, куда им до тебя с твоим более известным и популярным БольшеСовтом!
Ответить | Правка | Наверх | Cообщить модератору

9. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от Аноним (9), 17-Сен-21, 10:36 
ммм, вкусна
Ответить | Правка | Наверх | Cообщить модератору

10. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от Аноним (19), 17-Сен-21, 10:38 
Ажур итак создает для каждой новой виртуалки нетворк секурити групп в которой только несколько портов открыты типа ssh http/https все остальные порты надо руками открывать.
Ответить | Правка | Наверх | Cообщить модератору

14. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  –1 +/
Сообщение от пох. (?), 17-Сен-21, 10:57 
Судя по тому что Shodan их нашло - ЭТУ часть работы бангалорский коллектив msовских подрядчиков выполнил не на от...сь, и при установке OMI, эти самые порты открываются автоматически (логично, как ms должна получать туда доступ)

Хотя, конечно, всегда остается вероятность, что эти пятнадцать тыщ - имени васянов, скопипастивших с серверфолта нужную и полезную инструкцию установки чего-то, написанного на безопастных язычках, начинающуюся с пункта "отключаем нахрен всю нетворк секьюрить - мы так и не научились разрешать в ней наш единственный порт".

Ответить | Правка | Наверх | Cообщить модератору

18. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от Аноним (19), 17-Сен-21, 11:06 
Они доступны внутри ажура внутри виртуальной сети. По крайней мере я доступ снаружи получить не могу. Если его явно не открыть.  

Единственный вектор если у тебя есть ограниченный доступ до дев окружения и ты решил загадить прод к которому у тебя нет доступа, например своему работадателю/закзчику. Например через CI, но тут уже работодатель может против тебя применить социнженерию)

Ответить | Правка | Наверх | Cообщить модератору

20. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  –1 +/
Сообщение от пох. (?), 17-Сен-21, 11:13 
> Они доступны внутри ажура внутри виртуальной сети.

а как туда automation попадет? Он же не внутри твоей сети, он где-то на своих виртуалках ms крутится.

> Если его явно не открыть.

ну вон те 15 тыщ лошар - справились с задачей.
Кстати, действительно, немного их, в тех масштабах. У остальных либо не получилось открыть, либо пожадничали заплатить за сервис.

Ответить | Правка | Наверх | Cообщить модератору

23. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от Аноним (19), 17-Сен-21, 11:25 
У Ажура много разных севрисов, помимо простых виртуалок как у всех. Есть например ML, который тоже что-то создает но что там по умолчанию открыто а что закрыто  не понятно. Или у того же кубера, если кто руками поднимал, может быть затык и все работает только когда все порты открыты. Да много сочетанию можно придумать. Но например в самой простом сетапе виртуалки и база созданные по умолчанию все относительно секурно выглядит снаружи. Но обновится конечно же не помешает.  
Ответить | Правка | Наверх | Cообщить модератору

33. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от InuYasha (??), 17-Сен-21, 12:27 
> Ажур

Азура! Трибунала на вас нет...

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

58. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от Аноним (19), 17-Сен-21, 13:54 
Нажми на динамик для озвучки https://translate.google.com/?sl=auto&tl=en&text=azure&op=tr...
Ответить | Правка | Наверх | Cообщить модератору

77. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от InuYasha (??), 17-Сен-21, 20:13 
> Нажми на динамик для озвучки https://translate.google.com/?sl=auto&tl=en&text=azure&op=tr...

Нажми на чувство юмора https://en.uesp.net/wiki/Lore:Azura
https://en.uesp.net/wiki/Tribunal:Tribunal

Ответить | Правка | Наверх | Cообщить модератору

103. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от Тёмное братство (?), 20-Сен-21, 11:46 
Зачем же под трибунал?
Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

17. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +2 +/
Сообщение от Рева RarogCmex Денисemail (?), 17-Сен-21, 11:02 
Название уязвимости OMIGOD --созвучное с Oh my god! -- убило меня наповал
Ответить | Правка | Наверх | Cообщить модератору

41. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от Аноним (41), 17-Сен-21, 12:39 
https://www.urbandictionary.com/define.php?term=omigod
Ответить | Правка | Наверх | Cообщить модератору

21. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +1 +/
Сообщение от Аноним (21), 17-Сен-21, 11:16 
> Проблема усугубляется тем, что в Azure явно не документировано применение OMI и OMI Agent устанавливается без предупреждения

Только не рассказывайте им про ssm агента в aws, а то у нас там вся инфра хостится)

Ответить | Правка | Наверх | Cообщить модератору

26. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  –1 +/
Сообщение от Sw00p aka Jerom (?), 17-Сен-21, 11:31 
выпилить к чертям
Ответить | Правка | Наверх | Cообщить модератору

22. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +1 +/
Сообщение от Аноним (22), 17-Сен-21, 11:24 
Ну чтож, M$ по своему рукоjobству даже свои сервисы с линуксами умудрились сделать дырявыми.
Вот только, случайно ли?!
Ответить | Правка | Наверх | Cообщить модератору

25. Скрыто модератором  +/
Сообщение от Аноним (19), 17-Сен-21, 11:27 
Ответить | Правка | Наверх | Cообщить модератору

27. Скрыто модератором  –1 +/
Сообщение от пох. (?), 17-Сен-21, 11:54 
Ответить | Правка | Наверх | Cообщить модератору

47. Скрыто модератором  +1 +/
Сообщение от Аноним (-), 17-Сен-21, 12:57 
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

24. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +1 +/
Сообщение от eugener (ok), 17-Сен-21, 11:26 
> выполнить обновление пакета вручную, используя команды "dpkg -l omi"

-l же просто выводит список пакетов по шаблону?

Ответить | Правка | Наверх | Cообщить модератору

28. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +3 +/
Сообщение от пох. (?), 17-Сен-21, 11:56 
а rpm -qa как думаешь, что делает? ;-)

Ну не умеет мсовский индус в пакеты. Его в секьюрити тим по просьбе брата взяли - а вчера еще глину месил.


Ответить | Правка | Наверх | Cообщить модератору

30. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  –1 +/
Сообщение от Михрютка (ok), 17-Сен-21, 12:03 
да нет, индус как раз не ошибся

deepakjain111 released this Sep 8, 2021

Installation examples:
Ubuntu 16.04, x64:
sudo dpkg -i ./omi-1.6.8-1.ssl_100.ulinux.x64.deb

Red Hat Enterprise Linux, Oracle Linux, or CentOS 6/7, x64:
sudo rpm -Uvh ./omi-1.6.8-1.ssl_100.ulinux.x64.rpm

видимо, испорченный телефон сработал

Ответить | Правка | Наверх | Cообщить модератору

35. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  –1 +/
Сообщение от пох. (?), 17-Сен-21, 12:29 
Мож, поправился уже? Он же тоже умеет пользоваться поиском по серверфолту.

> видимо, испорченный телефон сработал

ненене - -i/-l могло быть опечаткой, но с rpm это выстрел в упор из эскопеты с загнутым по кругу стволом - такое никакой опечаткой не объяснишь.

Это явные следы поиска бингом "эквивалент dpkg -l в rpm". И нашел что искал ;-)

Ответить | Правка | Наверх | Cообщить модератору

40. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от Михрютка (ok), 17-Сен-21, 12:39 
хех

как ни странно это оказались авторы эксплоета :)

https://github.com/horizon3ai/CVE-2021-38647

Mitigations

Update and ensure the OMI agent is at version 1.6.8.1.

    For Debian systems (e.g., Ubuntu): dpkg -l omi
    For Redhat based system (e.g., Fedora, CentOS, RHEL): rpm -qa omi

видимо все же имели в виду, как проверить версию пакета.

остальные пали жертвой копипаста

Ответить | Правка | Наверх | Cообщить модератору

44. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от Михрютка (ok), 17-Сен-21, 12:52 
не, в секьюрити по просьбе брата, по-моему, вот эту взяли

https://twitter.com/GossiTheDog/status/1437898118310268930/p...

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

48. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от пох. (?), 17-Сен-21, 13:00 
ЭТО взяли по квоте для lgbtq и альтернативно-одаренных (сразу две вакансии заполнили). Жаль Макс не осилил это запилить вместо новости.

Видосик ему пришлите, как хакать. А то без видосика оно не могетъ.

А ведь наезжали на ms что они не френдли и вообще квот не соблюдают...

Ответить | Правка | Наверх | Cообщить модератору

49. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от Михрютка (ok), 17-Сен-21, 13:05 
> Видосик ему пришлите, как хакать. А то без видосика оно не могетъ.

может, у них там в Индии обычаи такие, откуда я знаю.

нашел LPE - спой и станцуй об этом на камеру, видео зашли в секьюрити тим.

Ответить | Правка | Наверх | Cообщить модератору

29. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от Михрютка (ok), 17-Сен-21, 11:59 
как и rpm -qa

это надмакс видимо что-то напутал, возможно, имелось в виду - проверить, установлен ли пакет.

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

32. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +2 +/
Сообщение от Аноним (32), 17-Сен-21, 12:21 
Всем бэкдорам бэкдор!
МС король бэкдоров.
Ответить | Правка | Наверх | Cообщить модератору

34. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +1 +/
Сообщение от Diozan (ok), 17-Сен-21, 12:28 
Девиз Майкрософт: "Перенесём все свои баги в Линукс"
Ответить | Правка | Наверх | Cообщить модератору

36. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +1 +/
Сообщение от Аноним (36), 17-Сен-21, 12:33 
Майкрософт теперь поглотит линукс и будет только BSD
Ответить | Правка | Наверх | Cообщить модератору

51. Скрыто модератором  +1 +/
Сообщение от Аноним (-), 17-Сен-21, 13:07 
Ответить | Правка | Наверх | Cообщить модератору

69. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  –1 +/
Сообщение от Аноним (67), 17-Сен-21, 16:34 
Так она и уже - полулинукс, но не такой как линукс. Посмотри на:
- linuxulator
- epoll-shim
- дрова видева и войфая.

БЗД без линукса не останется, ведь на реальном железе как-то работать надо.

Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

84. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +1 +/
Сообщение от Аноним (-), 17-Сен-21, 22:25 
> Так она и уже - полулинукс, но не такой как линукс. Посмотри на:
> - epoll-shim

"Small epoll implementation using kqueue" - вай, беда - враппер
> - linuxulator
> HISTORY
>     Linux ABI support first appeared in FreeBSD 2.1

Главное, не смотреть на wine в <куча линуксдистров на выбор>

Ответить | Правка | Наверх | Cообщить модератору

74. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от Аноним (74), 17-Сен-21, 18:57 
и illumos.
Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

37. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от Жироватт (ok), 17-Сен-21, 12:35 
Ребята, ребята, РЕБЯ-Я-Я-ЯТЫ!
Я знаю, что нужно зделоть!
Нужно во все эти окружения срочно установить микрософт сесурити эссентиалз, кловунд протектион от касперского и линуксовского дохтырь веба!
Ответить | Правка | Наверх | Cообщить модератору

38. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  –4 +/
Сообщение от Аноним (38), 17-Сен-21, 12:37 
И вот никаких бы проблем с велосипедами MS бы не было, если бы Linux поддерживал стандарты DMTF на уровне ОС!

Есть международный принятый стандарт удалённого управления
https://www.dmtf.org/standards/ws-man
В идеале было бы не плохо поддерживать WBEM целиком, но нативный WS-MAN решил бы кучу проблем, учитывая, сколько всего надо реализовать, чтобы он появился.

Я в своё время объяснял тут, что есть 2 подхода к конфигурированию:
1. Конфигурация на основе документов
2. Конфигурация на основе API

Linux не поддерживает второй способ, и куча олбачных девляпсов костылят API поверх оболочки и конфигурационных файлов. Причем чаще всего свое собственное велосипедное вонючее RESTfull API, которое для решения задач удаленного управления не подходит (там всё stateful по определению).
Самые сказочные ставят оркестраторы вроде Ansible и Puppet для задач удаленного управления (вместо задач CD, для которых они созданы).

Вот что мешает объявить реестр CIM-классов на базе того же самого systemd? Религия.
А что мешает эти же самые интерфейсы или их реализации прикручивать к шине IPC/RPC? Безграмотность.
Просто когда пользователи ОС, как адепты карго-культа молятся на "юниксвей" (в юниксах родились реестры), на KISS (который как раз и проявляется в компонентном разделении), на POSIX (с его тредами, локалями и отсутсвием нормального управления памятью, зато есть унылый fork) не понимают что это за технологии и мечтают о шине данных, лучшее на что они могут надеяться это dbus и скрипты для переконфигурирования конфигураций к другим скриптам.

Просто если взять 100 конфигов и написать скрипт на баше, который там что-то меняет, и дёрнуть его через ssh, это не конфигурирование через API. И если переписать скрипт на python и дёргать через ansible, то это тоже ничего не меняет.

Важно понимать, что с какими бы плюсами не обладали бы конфигурационные файлы, задач требующих API это никогда не отменит. Иронично, что именно MS своими дырявыми костылями решает одну из самых главных проблем unix-like операционных систем - невменяемое конфигурирование, пока уга-буги прыгают с бубном и призывают венде-капец.

Ответить | Правка | Наверх | Cообщить модератору

43. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +1 +/
Сообщение от Жироватт (ok), 17-Сен-21, 12:50 
Все вы такие крутые на опеннете. Да, и ты тоже. Вот только простые вопросы до сих пор без ответа.

- Почему нет до сих пор нативной реализации в ядре или околоядерном софте, хотя проблема (с точки зрения девляпса) давно назрели и надо её срочно-срочно вилкой решать?
- Почему сообщество не хочет пилить забесплатно девляпсам NIH-аналог WMI забесплатно?
- Почему редхат, интел и иже с ними не хотят пилить забесплатно девляпсам NIH-аналог WMI забесплатно, удовлетворяясь декларативными конфигами?
- Почему ни один девляпс так и не поднял свою попу от стула и не сделал свой WMI, сБиШ, кой по их заверениям оторвут с руками и ногами все?
- Почему ты пишешь это тут, а не в рассылке перед Торвальдсом, девляпс?

Ответить | Правка | Наверх | Cообщить модератору

55. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  –1 +/
Сообщение от пох. (?), 17-Сен-21, 13:24 
> Почему нет до сих пор нативной реализации в ядре или околоядерном софте

бть, ну зачем ты им подсказываешь?! Так - проблема только в системах на ms'овском хостинге, причем в специальной сложной позе и надо еще постараться ручками поотключать все дополнительные защиты.

А вляпают такой бэкдор в системду и еще небольшой интерфейсик со стороны ведра - во-первых, ну чтоб тебе не надо было помнить про исключить порты в файрволе мы все-все-все сделаем за тебя, во-вторых это же просто хорошо и правильно, когда система не загружается потому что у тебя недостаточно модная версия systemd! (Наоборот-то уже было, неинтересно.)
Надо ведь заставлять луддитов выкидывать устаревшее г-но и обмазываться свеженьким!

Ты бы хоть не забыл посоветовать непременно на безопастном хрусте разработать - тогда еще угроза была бы минимальна.

Ответить | Правка | Наверх | Cообщить модератору

57. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +1 +/
Сообщение от Аноним (38), 17-Сен-21, 13:54 
> Почему нет до сих пор нативной реализации в ядре или околоядерном софте, хотя проблема (с точки зрения девляпса) давно назрели и надо её срочно-срочно вилкой решать?

Потому что в корпоративном сегменте, где всё это нужно есть решения от Red Hat, которые нужно купить и всё делать через них. И не забыть купить их доп. саппорт, потому что заморочишься отлавливать подводные камни заботливо расставленные в их решениях. Покупайте RHEV, OpenShift и OpenStack со вкусом Red Hat.

> Почему сообщество не хочет пилить забесплатно девляпсам NIH-аналог WMI забесплатно?

Потому что карго культ и неграмотность. Ты тому пример. WMI - это windows-реализация группы открытых стандартов, которые используются в другом софте и железе. NIH (not invented here) это изобретение велосипеда, который уже есть, а в Linux нет ни своего велосипеда по WBEM, ни вендовый портировать нельзя, потому что он даёт управление над компонентами венды... это другая ОС.

> Почему редхат, интел и иже с ними не хотят пилить забесплатно девляпсам NIH-аналог WMI забесплатно, удовлетворяясь декларативными конфигами?

У интела в есть Intel ME и Intel AMT зачем им упралялка на линукс, а про платные костыли Red Hat я писал выше. А еще у Red Hat есть systemd, который с этой точки зрения - монолитный ящик, который никакого API управления никому толком не даёт и в лучшем случае часть себя в dbus объявляет.

> Почему ни один девляпс так и не поднял свою попу от стула и не сделал свой WMI, сБиШ, кой по их заверениям оторвут с руками и ногами все?

Потому что это инфраструктурное решение, для которого нужно быть чуть более чем питонописателем REST-сервисов. Тонну системного софта, которое заточено на оболочку и текстовый конфиг нужно дополнить функционалом. Это MS не может себе позволить, поэтому и пилит сущий костыль, про баги которого рассказывает новость.

> Почему ты пишешь это тут, а не в рассылке перед Торвальдсом, девляпс?

Потому что:
1. Опеннет - это рассадник глупых комментаторов, которые религиозно верят в пришествие капеца, верят в превосходство одной ОС над другой и понятия не имеют, что и зачем нужно. Тут эта информация нужнее.
2. Потому что Торвальдс - это не по адресу. Торвальдс - это человек который занимается ядром, в то время как WBEM на 80% управляет юзерспейсом и сам должен быть в юзерспейсе. Те условные 20% что в ядре тоже должно сначала в юзерспейс отдаться через API. Этим технологиям не место в ядре.

Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

62. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +1 +/
Сообщение от Михрютка (ok), 17-Сен-21, 14:22 
>>>И вот никаких бы проблем с велосипедами MS бы не было, если бы Linux поддерживал стандарты DMTF на уровне ОС!

потому что иди нафиг со своими пегасусами и сублимами в ведре, вот почему.

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

68. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  –1 +/
Сообщение от iPony129412 (?), 17-Сен-21, 16:28 
> со своими пегасусами

Это что такое? 🤨

Ответить | Правка | Наверх | Cообщить модератору

70. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от Михрютка (ok), 17-Сен-21, 16:48 
это такая мишпуха, чтобы завести wbem под линуксом
Ответить | Правка | Наверх | Cообщить модератору

80. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от Михрютка (ok), 17-Сен-21, 21:06 
Иронично, что именно MS
> своими дырявыми костылями решает одну из самых главных проблем unix-like операционных
> систем - невменяемое конфигурирование, пока уга-буги прыгают с бубном и призывают
> венде-капец.

Спасибо, очень хорошо обьяснили, товарищ.

Теперь я знаю, что есть вменяемое конфигурирование

Это развернуть втихаря, "ночью, без предупреждения" дырявый агент,

а когда кал ударил в вентилятор, объяснить пользователям

https://msrc-blog.microsoft.com/2021/09/16/additional-guidan.../

>>>Customers must update vulnerable extensions for their Cloud and On-Premises deployments as the updates become available

вместо того, чтоб втихаря, поджав хвост, быренько подтереть там, где облажались.

Очень вмэняэмо, очень правосла^W энтерпрайзно.

Желаю защитникам такого вменяемого конфигурирования долгой, но плохой жизни.


Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

94. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от Аноним (38), 18-Сен-21, 21:07 
Таблеток прими.

Это то же самое что ныть, когда у тебя ssh предустановили и сделали исключение на 22-ой порт на файрволе, а потом нашлась уязвимость. Это во-первых, а во-вторых, конфигурирование на основе API, подразумевает наличие этого API и классов. В Linux нет ни стандартизированной базовой системы ни тем более объектно ориентированного API для управления компонентами и модулями. Только оболочка и документики.

Агент - это тот костыль поверх которого МС строит реализацию wbem в ОС, в которой и пользователи и разрабы, что такое удаленное управление не знают дальше редактирования текстового документа. А единственная компания, которая оккупировала развитие инфраструктуры этой ОС пилит питонячьи велосипеды вместо поддержки открытых стандартов.

Ты реально такая уга-буга, которая не понимает как работает CIM/WSMAN и где должно быть API и классы или просто истеришь от наличия агента? Ну так в Linux всё делается через агентов и сторонних демонов, потому что своего ничерта нету.

Ответить | Правка | Наверх | Cообщить модератору

97. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +1 +/
Сообщение от Михрютка (ok), 19-Сен-21, 10:22 
товарищ, не напрягайтесь.

мы уже поняли, что из себя представляет вменяемое конфигурирование

это

а) без ведома клиента установить в клиентскую vm дырявый пакет с rce и lpe
б) спустя три с половиной месяца после того, как стало известно, что в пакете дыры, не суметь откатить или обновить этот пакет, вместо этого свалив эту обязанность на клиента.

> Ты реально такая уга-буга

ок зумер

Ответить | Правка | Наверх | Cообщить модератору

101. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от Аноним (38), 19-Сен-21, 14:01 
> мы уже поняли, что из себя представляет вменяемое конфигурирование

Вы это кто? 3.5 михрютки, которые нужны для того чтобы конфиг править через текстовый редактор? Научись говорить за себя.

что а), что б) происходит, когда МС разрабатывает и внедряет что-то. Если бы реализацию бы сделали сами без МСовских агентских костылей так бы не было
но дурачки вроде тебя не понимают. У дурачков есть "философия" файла .conf. И есть специально обученные михрютки, которые должны его редактировать.

> ок зумер

Называть зумером человека, который указывает на отсутствие в линуксе стандартной шины, API для конфигурирования (90-е) и поддержки почки стандартов, которая оборачивает бинарную шину в SOAP (00-е) - реально уга-буга. Зумеры, как минимум, на REST бы костыляли. А вообще если ты намекаешь тем самым, что ты не просто необразованный дурак, а старый необразованный дурак... то это ничего не меняет, в конечном итоге.

Ответить | Правка | Наверх | Cообщить модератору

102. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от Михрютка (ok), 19-Сен-21, 15:19 
да ты хоть и весь в кал изойди со своими шинами. По факту все эти шины и апи конфигурирования за три с половиной месяца не смогли выконфигурировать дырявый пакет из системы.

До тебя это доходит, анон? Или ты опять начнешь наяривать про соап и рест, теоретик?

Ответить | Правка | Наверх | Cообщить модератору

105. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от Наме (?), 23-Сен-21, 12:42 
WBEM это решение с очень крутой кривой освоения. Уже только поэтому оно не способно решать те проблемы, для решения которых задумано. Банально неосилянты, а таких абсолютное доминирующее большинство, начнут лепить очередные баши/перлы/питоны, перекидываться эксимелями и ясончиком и опять нарастят опухоль, которая станет больше организма и начнёт сама жить своей жизнью, объявив себя настоящим единственным организмом. Это закон любых больших коллективов.
Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

50. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +1 +/
Сообщение от Аноним (50), 17-Сен-21, 13:06 
Белогривые лошадки...
Ответить | Правка | Наверх | Cообщить модератору

52. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от Аноним (52), 17-Сен-21, 13:15 
rm -rf /* будет у буратин...
Ответить | Правка | Наверх | Cообщить модератору

53. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от Аноним (53), 17-Сен-21, 13:17 
Это выбор каждого употреблять с лопаты или как-то самому обходится.
Соглашаясь быть подопечным - соглашаешся на шалости и хотелки опекуна.
Ответить | Правка | Наверх | Cообщить модератору

60. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +1 +/
Сообщение от Массоны Рептилоиды (?), 17-Сен-21, 14:01 
> Автообновление агента не поддерживается, поэтому пользователям необходимо выполнить обновление пакета вручную

Ну как, поддерживается же:

python3 omigod.py -t 10.0.0.5 -c "apt -y install omi; yum -y update omi"

Ответить | Правка | Наверх | Cообщить модератору

63. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от PnD (??), 17-Сен-21, 14:26 
Микрософт не научился репозитории поддерживать. (Насколько я смог почитать буквы в новости.)
Поэтому сценарий "починки" будет чуть сложнее.
Ответить | Правка | Наверх | Cообщить модератору

87. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от СеменСеменыч777 (?), 17-Сен-21, 23:30 
> Микрософт не научился репозитории поддерживать

???

https://packages.microsoft.com/

Ответить | Правка | Наверх | Cообщить модератору

90. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от А (??), 18-Сен-21, 01:09 
Но использовать их для обновления M$ не научился.

Хотя... У них системы задуманы для другого.

Ответить | Правка | Наверх | Cообщить модератору

64. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от ыы (?), 17-Сен-21, 14:27 
>Автообновление агента не поддерживается, поэтому пользователям необходимо выполнить обновление пакета вручную,

Я микрософт вирус..  мои разработчики настолько бедны что ... пожалуйста, поставьте меня себе сами...

Ответить | Правка | Наверх | Cообщить модератору

72. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +1 +/
Сообщение от Аноним (72), 17-Сен-21, 17:35 
> Суть уязвимости в том, что при удалении в сообщении заголовка "Authentication", отвечающего за аутентификацию, сервер считает прохождение проверки успешной, принимает управляющее сообщение и допускает выполнение команд с правами root.

Не баг а фича.

Явно зделано умышленно.

А что с M$ вы хотели?

Ответить | Правка | Наверх | Cообщить модератору

75. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от YetAnotherOnanym (ok), 17-Сен-21, 19:03 
> достаточно отправить к агенту XML-запрос, удалив заголовок, отвечающий за аутентификацию. OMI использует аутентификацию при получении управляющих сообщений, проверяя, что клиент имеет право на отправку той или иной команды. Суть уязвимости в том, что при удалении в сообщении заголовка "Authentication", отвечающего за аутентификацию, сервер считает прохождение проверки успешной, принимает управляющее сообщение и допускает выполнение команд с правами root

Microsoft way.

Ответить | Правка | Наверх | Cообщить модератору

85. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от Михрютка (ok), 17-Сен-21, 22:26 
>> достаточно отправить к агенту XML-запрос, удалив заголовок, отвечающий за аутентификацию. OMI использует аутентификацию при получении управляющих сообщений, проверяя, что клиент имеет право на отправку той или иной команды. Суть уязвимости в том, что при удалении в сообщении заголовка "Authentication", отвечающего за аутентификацию, сервер считает прохождение проверки успешной, принимает управляющее сообщение и допускает выполнение команд с правами root
> Microsoft way.

зато не

>>>велосипедное вонючее RESTfull API

Ответить | Правка | Наверх | Cообщить модератору

89. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от А (??), 18-Сен-21, 01:06 
Зато дыра шедевральная.
Ответить | Правка | Наверх | Cообщить модератору

76. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от mikhailnov (ok), 17-Сен-21, 20:00 
А слушать порты на локальной петле не достаточно было бы?
Ответить | Правка | Наверх | Cообщить модератору

83. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от Тот самый (?), 17-Сен-21, 22:15 
>при удалении в сообщении заголовка "Authentication", отвечающего за аутентификацию, сервер считает прохождение проверки успешной

Это шедевр!

Ответить | Правка | Наверх | Cообщить модератору

88. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от А (??), 18-Сен-21, 01:05 
Поржал.

M$ - это быстро, некачествено, за деньги.

Ответить | Правка | Наверх | Cообщить модератору

91. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от Аноним (91), 18-Сен-21, 01:54 
>> это быстро

Чего там быстрого?
Если только быстро копируют все как обезьяны с остальных и пристраиваются к чужим инициативам.

Ответить | Правка | Наверх | Cообщить модератору

92. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от СеменСеменыч777 (?), 18-Сен-21, 09:32 
левые агенты - всегда потенциальная дыра.
всяких там заббиксов тоже касается.
а уж если за дело берется майкрософт ...
Ответить | Правка | Наверх | Cообщить модератору

95. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от Аноним (95), 19-Сен-21, 05:01 
"..agent" Собственно, дальше можно не читать. Через висящую в процессах приблуду можно хоть Армагеддон организовать. Невыносимо-отвратительный проприетарный метод.
Ответить | Правка | Наверх | Cообщить модератору

96. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от Аноним (96), 19-Сен-21, 08:23 
Понятное дело, что когда Linux начинают использовать более 1%, то специалисты по безопасности начинают обращать внимание на Linux и находят там такие дыры. Linux -- он как Неуловимый Джо. В нём не находят дыр безопасности лишь по той причине, что он никому не нужен. Вот его стала использовать популярная корпорация, подтянулись безопастники и сразу нашли в Linux'е уязвимость. Всё правильно. Всегда так происходит.
Ответить | Правка | Наверх | Cообщить модератору

106. "Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываем..."  +/
Сообщение от Аноним (-), 11-Окт-21, 13:36 
Девайсов с линуксом выпускается в три-пять раз больше чем людей на земле. Каждый год ! Процент, еслиб..
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру