Bezpečnostní firma GRIMM objevila tři chyby v linuxovém subsystému iSCSI. Chyba je tam již od začlenění iSCSI v roce 2006, je tedy patnáct let stará a jde zneužít i když nemáte iSCSI hardware. Chyba umožňuje lokální eskalaci práv.
Jde o chyby CVE-2021–27365, CVE-2021–27363 a CVE-2021–27364, které byly opraveny již minulou neděli. Například jádro 5.11.4 je již opravené. Více detailů naleznete na GitHubu.
(zdroj: securityaffairs.co)
No to jeste jde.
A ted si predstav ze ti dodavatel napise: pro opravu teto bezpecnostni chyby v managementu musite vymenit cele sasi. Mame ted jeden "startup" na akvizici a dodavatele jsou trochu vice komedianti. Jo tyhle hovinka si ted vyziram ja, ale mam za to slusne zaplaceno takze stiznost u piva jak bych to udelal lepe a oni jsou blbi ...
Bohuzel dalsi problem "Infrastructure built by startup programmers".
Taky co cekat u garazovek reseni iYsystems a supermacro.
15. 3. 2021, 17:15 editováno autorem komentáře
Některé moduly, např. pro filesystémy nebo síťové protokoly, se loadují automaticky, takže pokud je v nich bezpečnostní chyba, je často možné ji zneužít i bez práv roota, přestože se ty moduly za normálních okolností nepoužívají. Ale lze to samozřejmě řešit i jinak, např. v novějších verzích openSUSE jsou moduly různých exotických filesystémů defaultně blacklistované a kdo některý z nich používá, musí je explicitně povolit.
presně to je důvod proč také osekávám kernel a userspace, snižuji tím příležitosti, zlepšuji debugování a snižuji frekvenci nutných aktualizací, to jde ruku v ruce i se spolehlivostí a nižšími náklady na údržbu.
Místo na disku je asi poslední co mě trápí, mám rád přehled nad svým systémem, těžko ale mít přehled pokud systém obsahuje spousty funkcí, které nepužívám a tedy je ani neznám.
Pro vývoj si nahodím plnotučný OS do virtuálu, ale postupně jak dospívám k produkci, osekávám a osekávám, občas mám i chuť celou aplikaci zabalit do initramfs a vykašlat se na userspace OS, ale to by kolegové na mě dost nadávali.
ČLÁNKY DO MAILU