![]() |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Уязвимость в tuned, позволяющая выполнить код с правами root" | +/– | ![]() |
Сообщение от opennews (?), 28-Ноя-24, 17:55 | ||
В развиваемом компанией Red Hat фоновом процессе tuned, выполняющем автоматическую оптимизацию настроек оборудования и ядра в зависимости от текущей нагрузки, выявлена уязвимость (CVE-2024-52336), позволяющая локальному непривилегированному пользователю выполнить любые команды с правами root... | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения | [Сортировка по ответам | RSS] |
1. Сообщение от Мухорчатый (?), 28-Ноя-24, 17:55 | +1 +/– | ![]() |
У кого tuned включен, скажите - есть от него толк? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #3, #5, #39 |
2. Сообщение от Аноним (2), 28-Ноя-24, 17:57 | +2 +/– | ![]() |
Новые уязвимости в продуктах редхат, не удивлен честно говоря... | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
3. Сообщение от Аноним (3), 28-Ноя-24, 18:02 | +/– | ![]() |
От scx_bpfland и ananicy импакт очень ощущается, про существование автотюнинга sysctl узнал только что. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #1 Ответы: #15 |
5. Сообщение от Ivan (??), 28-Ноя-24, 18:06 | –1 +/– | ![]() |
Не знаю делает ли он что-нибудь сам по себе, но я на ноуте использую tuned-ppd чтобы управлять режимами энергосбережения из гнома | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #1 |
11. Сообщение от Шарп (ok), 28-Ноя-24, 18:28 | +8 +/– | ![]() |
Какая-то детская дыра. Просто создали dbus-ручку для запуска скриптов из под root'а. Архитектора на мыло. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #14, #16, #23, #32 |
13. Сообщение от Аноним (15), 28-Ноя-24, 18:58 | +1 +/– | ![]() |
> В развиваемом компанией Red Hat фоновом процессе tuned, выполняющем | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
14. Сообщение от Аноним (15), 28-Ноя-24, 18:59 | +3 +/– | ![]() |
> Какая-то детская дыра. Просто создали dbus-ручку для запуска скриптов | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #11 |
15. Сообщение от Аноним (15), 28-Ноя-24, 19:00 | –1 +/– | ![]() |
> От scx_bpfland и ananicy импакт очень ощущается, про существование автотюнинга | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #3 Ответы: #22, #43 |
16. Сообщение от Аноним (16), 28-Ноя-24, 19:10 | +/– | ![]() |
Как можно запускать сторонний код под root'ом? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #11 Ответы: #17, #46 |
17. Сообщение от Аноним (16), 28-Ноя-24, 19:16 | +/– | ![]() |
Неплохо было бы, чтобы прилагался манифест безопасности по листу systemd-analyze security. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #16 |
21. Сообщение от Аноним (-), 28-Ноя-24, 19:45 | +1 +/– | ![]() |
Вот и попались! Недавно на системе с арчем отвалился стандартный power-profiles-daemon, почитав, узнал что он уже не поддерживается и желательно поставить новую разработку от красной шапочки под названием tuned, которая еще и удобно обратно-совместима с предыдущей. Сразу удивился c количества новых фич и задумался о реализации всего этого добра, а вот оно и полезло! Опять рептилоиды-иллюминаты и агентства на три буквы лезут ко мне на локалхост! | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #27 |
22. Сообщение от Аноним (22), 28-Ноя-24, 19:45 | –1 +/– | ![]() |
Сам будь мужиком, попробуй в систему без пароля рута проникнуть. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #15 Ответы: #25 |
23. Сообщение от Аноним (22), 28-Ноя-24, 19:52 | +1 +/– | ![]() |
Тоже можно сказать про run0, systemd-run, pkexec и прочие "безопасные технологии" редхаты. Главное, что от "небезопасного", чужого, а также - неприятельски-неподконтрольного, sudo в дистрибутивах избавляются, а в своих дебусоподелках черные дырени, размерами с галактику, не видят. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #11 |
24. Сообщение от пух (??), 28-Ноя-24, 20:39 | –1 +/– | ![]() |
DBUS пора в ядро в виде KDBUS. Хоть аудит пройдет нормально. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #28, #29, #33 |
25. Сообщение от Аноним (-), 28-Ноя-24, 20:55 | +/– | ![]() |
> Сам будь мужиком, попробуй в систему без пароля рута проникнуть. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #22 Ответы: #30 |
27. Сообщение от Лутшый в мире линупс (?), 28-Ноя-24, 20:58 | +3 +/– | ![]() |
> Недавно на системе с арчем отвалился стандартный power-profiles-daemon, почитав, узнал что он уже не поддерживается и желательно поставить новую разработку | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #21 Ответы: #31 |
28. Сообщение от Аноним (28), 28-Ноя-24, 20:59 | –1 +/– | ![]() |
Ушедшему работать в M$, Торвальдс когда-то показал палец на такое предложение. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #24 |
29. Сообщение от Лутшый в мире линупс (?), 28-Ноя-24, 21:06 | +3 +/– | ![]() |
Ядро итак превратилось в свалку. ИМХО, абсолютно тупиковый путь, полностью противоречащий концепции микроядер. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #24 Ответы: #34 |
30. Сообщение от Аноним (22), 28-Ноя-24, 21:43 | +2 +/– | ![]() |
Сабжа не хватит для удаленной эксплуатации. Как ты локальный доступ по ssh получил? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #25 |
31. Сообщение от Аноним (22), 28-Ноя-24, 21:45 | +/– | ![]() |
У меня не отвалился. ЧЯДНТ? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #27 |
32. Сообщение от Аноним (32), 28-Ноя-24, 22:21 Скрыто ботом-модератором | +2 +/– | ![]() |
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #11 |
33. Сообщение от Семен (??), 28-Ноя-24, 22:47 | +1 +/– | ![]() |
Так он нахер не сдался никому в ядре, kdbus будет тормозить ядро из-за лишних syscall, dbus сам по себе не оптимальный протокол по производительности с определенными архитектурными проблемами, нехватало еще, чтобы его в ядро впихнули, как критическую службу, которая будет отжирать ядерное процессорное время и вытеснять процессы. Все только проиграют от этого. Нужная нормальная и более производительная альтернатива dbus. И баг сам по себе не в DBUS, а в tuned. DBUS это лишь служба сообщений ни больше не меньше, со своими подписчиками и отправителями, слушатели подписываются на определенные сообщения и обрабатывают их, а отправитель может отправлять определенные типы сообщения. Тот же polkit агент во всех DE использует dbus для связи с polkit для повышения привилегий. Мне собственно все эти polkit и rtkit не нравятся, я их первым делом удаляю, и пересобираю компоненты зависящие от них, и ничего не запускают от обычного пользователя с правами root. Благо sway позволяет выкинуть весь этот хлам. Тому же pipewire не нужен rtkit, и он может быть собран без него, и нужные приоритеты процесса может через systemd получить. Меня вообще раздражает сам факт, что популярные дистрибутивы и DE начали запускать десятки не нужных мне служб, когда можно оставить только парочку и удалить не нужные компоненты и сделать систему более безопасной. Раньше всего этого не было, но последние годы это приобрело какой-то нездоровый характер, что разработчики дистрибутива хотят впихнуть все для малограмотных юзеров, и сделать вторую венду с управлением через ГУЙ. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #24 Ответы: #36, #41, #42 |
34. Сообщение от Минона (ok), 28-Ноя-24, 23:05 | –1 +/– | ![]() |
Линукс никогда не следовал этой концепции. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #29 |
36. Сообщение от Аноним (36), 29-Ноя-24, 00:35 | +/– | ![]() |
Да он в юзерспейсе-то не тормозит. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #33 |
39. Сообщение от freebzzZZZzzd (ok), 29-Ноя-24, 08:50 | +/– | ![]() |
>У кого tuned включен, скажите - есть от него толк? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #1 Ответы: #49 |
41. Сообщение от Аноним (41), 29-Ноя-24, 10:40 | +/– | ![]() |
> популярные дистрибутивы и DE начали запускать | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #33 |
42. Сообщение от InuYasha (??), 29-Ноя-24, 12:12 | +/– | ![]() |
Мне достаточно того что и в userspace DBUS может повесить всё на свете. На десктопе его убивал спектакль, на серверах - забыл что (может БД какая-то). В обоих случаях это неприемлемо. А на ноуте, когда резко ЦПУ уходит в 100% и ты не можешь сохранить документы, вообще опасно. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #33 Ответы: #44 |
43. Сообщение от Хехмда (?), 29-Ноя-24, 15:02 | +/– | ![]() |
Я поставил. С профилем лоу летенси нетворк пинги действительно уменьшаются больше чем на порядок, локальные и до вертуалок превращаются в 5-7мкс вместо 70-100мкс. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #15 |
44. Сообщение от Аноним (36), 29-Ноя-24, 16:10 | +/– | ![]() |
Ну там, где фодора-редхат-системд да, наворотили, сам видел. У меня в gentoo живет dbus спокойно. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #42 |
46. Сообщение от Аноним (-), 29-Ноя-24, 17:31 | +/– | ![]() |
> Как можно запускать сторонний код под root'ом? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #16 |
48. Сообщение от Аноним (48), 29-Ноя-24, 21:36 | +/– | ![]() |
Я всегда убивал dbus на всех системах. Теперь понятно что не зря. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #50 |
49. Сообщение от Аноним (49), 30-Ноя-24, 03:05 | +/– | ![]() |
Я боюсь тебе рассказать про кровавый Ынтырпрайз на Cent7. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #39 |
50. Сообщение от Аноним (49), 30-Ноя-24, 03:10 Скрыто ботом-модератором | +/– | ![]() |
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #48 |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2025 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |