Kritická zranitelnost v systemd

28. 6. 2017

24 nových názorů

Včera byla objevena kritická chyba CVE-2017–9445 v systemd-resolved. Škodlivý DNS server může speciálně upravenou odpovědí systemd-reslolved shodit nebo eventuálně spustit škodlivý kód. Chyba je ve všech systemd od verze 223. Patch je součástí oznámení a v současnosti se testuje.

(zdroj: phoronix)

Našli jste v článku chybu?

Zasílat nově přidané názory e-mailem

Aktualita je stará, nové názory již nelze přidávat.

28. 6. 2017 15:07

Trupik (neregistrovaný)

Monokultúra ako na windowse... Už len príslušná sada malware tomu chýba a bude to kompletné.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 6. 2017 15:25

lopata (neregistrovaný)

Co bys navrhoval použít místo systemd-resolved, třeba bind?
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=isc%20bind
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 6. 2017 15:34

daemon (neregistrovaný)

Unbound?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 6. 2017 15:47

lopata (neregistrovaný)

https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=unbound
I když si odmyslíš ty bugy na kernel, tak se toho v Unbound zatím našlo víc než v systemd-resolved.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 6. 2017 16:08

Petr (neregistrovaný)

systemd za 6 let 19 záznamů https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=systemd
unbound za 7 let 11 záznamů https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=unbound

ano, systemd neni jen DNS, přesto to o něčem vypovídá
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 6. 2017 16:15

lopata (neregistrovaný)

Ano, vypovídá to o tom, že vývojáři systemd dělají svoji práci docela dobře. Mít za 7 let 19 security vulnerabilities na docela rozsáhlém, intenzivně vyvíjeném a ostře sledovaném projektu, není špatný výsledek.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 6. 2017 20:05

bedňa (neregistrovaný)

Konečne ma dnes niekto rozosmial.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 6. 2017 21:13

Petr (neregistrovaný)

Viz https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=sysvinit
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 6. 2017 21:18

Filip Jirsák

Stříbrný podporovatel

Teď už zbývá jenom vyřešit, jak vám SysVinit bude překládat DNS názvy, nebo jak pomocí Unbound nastartujete službu.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 6. 2017 23:35

kmarty

Jakoby se to po nich nekdy chtelo.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
29. 6. 2017 7:05

Filip Jirsák

Stříbrný podporovatel

No někteří to tady takhle porovnávají.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 6. 2017 22:50

hawran.diskuse

"docela rozsáhlém"
No právě?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 6. 2017 19:10

rpajik

Ale tady jde o neco jineho ... kdyz je chyba v resolvovani, tak mohu aktualizovat konkretni balik a hotovo - je uplne jedno jestli bind nebo cokoliv jineho. Se systemd ale nikoliv ... to aktualizuju moloch co dela uplne vsechno a rozhoduje o tom, jestli mi po pristim rebootu system nabehne nebo ne. Krom toho me zaplata moze donutit restartovat system, aby se aplikovana oprava.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 6. 2017 20:08

Sid (neregistrovaný)

Je dost zahadne preco to ma vlastne zvlast balicek. Cim si to vysvetlujete?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 6. 2017 20:28

tnr (neregistrovaný)

Cim to, ze to na vetsine distribuci ma specialni balik? A cim to, ze se to da restartovat pomoci systemctl restart systemd-resolved ?

Nekteri fakt SD nemit, tak si ho snad musi vymyslet, aby meli na co nadavat a o cem si vymyslet fantasmagorie....
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 6. 2017 21:54

rpajik

Nevim co je vetsina. Ale jedna z nejpozivanejsich distribuci pouzivanych na serverech je debian ... rozbalim si 2,5MB velky balicek systemd_232_5.amd64.deb a co nachazim v CONTENT/lib/systemd/ ? Ano spravne ... systemd-resolved ... heureka !

Ale podle Vas je urcite uplne v poradku, vzit kus v podstate monolitickeho systemd a cast nahradit novejsi verzi ... tohle chce hodne odvahy. Mozna si zkuste zamyslet nad tim, jestli tohle neni ten duvod, proc konzervativni debian to ma v jednom balicku.

Ani odvahu napsat svuj prispevek pod vlastnim jmenem nemate ....
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 6. 2017 23:02

Sid (neregistrovaný)

"Ani odvahu napsat svuj prispevek pod vlastnim jmenem nemate ...." - to je velmi odvazne tvrdenie presne navazujuce "hlbkou myslenia" na vas prvy prispevok. Co tak najrpv trocha rozmyslat a potom zacat komentovat? Btw kde ste pre zmenu prisiel na to, ze systemd je monolit?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 6. 2017 23:22

mhepp (neregistrovaný)

Protože je jako celek vyvíjen. Systemd-resolvd NENÍ samostatná část. Tak, jako je kernel monolitický, přestože má mnoho modulů, je stejně i systemd monolitické, přestože může používat více binárek.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
29. 6. 2017 12:29

Sid (neregistrovaný)

Placate blbosti. Velka cast driverov je zavisla na API ktore poskytuje kernel ale ked ich odstranite tak prekvapujuco kernel funguje bez nich. Tiez systemd nepotrebuje resolved.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 6. 2017 23:03

j (neregistrovaný)

Sem zvedav, jak budes sysdemd aktualizovat za behu ... ten bind si patchnu levou zadni.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 6. 2017 23:08

Tnr (neregistrovaný)

systemctl restart systemd-resolved.
Vskutku slozite...
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
29. 6. 2017 7:57

j (neregistrovaný)

Vazne? On restart jedny tisiciny toho vseho neco oaktualizuje? Tak to je novinka ...

Vskutku ses imbecil jako spousta dalsich, protoze jestli se ti neco patchne, tak celej systemd, a pak to musis cely ... vypnout a zapnout, protoze to jinak vubec udelat nejde. Viz zminovanej debian.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
29. 6. 2017 8:11

tnr (neregistrovaný)

Nemusim. On totiz nikdo kvuli tomuhle nebude upgradovat SD na novou verzi, ale jen aplikuje patch do resolved. Ktery si potom restartnes jako kazdou jinou sluzbu :) Neni to tak tezke :-D
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
29. 6. 2017 4:12

Jenda (neregistrovaný)

Ta monokultura je třeba i v případě glibc (dokonce taky RCE v resolvingu) a dalších knihovnách.

Mimochodem systemd-resolved podle mě používá dost málo lidí, takže žádná monokultura se nekoná.
- Zobrazit celé vlákno

Zasílat nově přidané názory e-mailem

Jan Fikar

První linux nainstaloval kolem roku 1994 a u něj zůstal. Později vystudoval fyziku a získal doktorát.

Témata:

systemd