Tre nuovi bug (in attesa di patch) in SystemD garantiscono shell di root

In questo momento immagino gli utenti Devuan seduti alla scrivania in compagnia di un bidone di popcorn mentre osservano gli utenti di systemd che, impotenti, attendono delle patch.

Qualys ha infatti individuato tre nuove vulnerabilità nel sistema di init più amato di sempre™, systemd, più precisamente in systemd-journald, servizio che si occupa di raccogliere e memorizzare i log in maniera indicizzata.

Le tre CVE individuate sono:

Per le CVE 865 ed 866 il team di Qualys ha sviluppato un exploit che, in soli 10 minuti su i386 e 70 minuti su amd64, riesce ad ottenere accesso una shell di root locale.

Al momento pare proprio che tutte le distribuzioni basate su systemd siano vulnerabili, con qualche eccezione:

  • SUSE Linux Enterprise 15
  • openSUSE Leap 15.0
  • Fedora 28 e 29

che non sono exploitabili perché lo user space è compilato utilizzando l’opzione fstack-clash-protection di GCC. In ogni caso è presumibile che arriveranno presto comunicazioni anche dalle altre major, Red Hat in primis.

Va sottolineato comunque, ad onor del vero, come Jimmy Graham, direttore del product management di Qualys, dica di non vedere nulla di strano nella presenza di tre falle nel software, quanto piuttosto:

The noteworthiness to me is that it is very commonly found in most major distributions

La cosa rilevante è che la falla sia presente in tutte le maggiori distribuzioni

Semplice distrazione da parte dei maintainer quindi?

Affascinata sin da piccola dai computer (anche se al massimo avevo un cluster di Mio Caro Diario), sono un’opensourcer per caso, da quando sono incappata in Mandrake. Legacy dentro. Se state leggendo un articolo amarcord, probabilmente l’ho scritto io.

18 risposte a “Tre nuovi bug (in attesa di patch) in SystemD garantiscono shell di root”

  1. Avatar Kim ALLAMANDOLA

    Dal mio punto di vista siamo alla fine di un ciclo: GNU/Linux oggi non implementa più ciò che serve per il mondo attuale, da anni, e per questo da anni si aggiungono pezze e tacconi e progetti immondi per tentare di aggirare problemi e mancanze.

    Purtroppo, da decenni, il design di UNIX si è rivelato ottimo per la sua semplicità ma non scalabile mantenendo i suoi principi, avevano ragione al MIT e alla XeroX a dire che un OS dev’essere un ecosistema teso ad uno scopo non una “base” semplice per software che gli gira sopra.

    Di positivo abbiamo ancora persone che vogliono evolvere, lo testimoniano i mille-mila progettini che appaiono di continuo su GitHub&c, purtroppo NON abbiamo più le competenze causa riforme scolastiche e scelte di mercato quindi solo pochissimi arrivano a fare progetti realmente innovativi e purtroppo stiamo andando di male in peggio sul piano industriale…

    Spero che GuixSD cresca ben più della velocità attuale per portare non solo il futuro della gestione OS ma anche GNU Shepherd al posto di Systemd cosa che NixOS non vuole visto lo stato ancora un po’ embrionale di quest’ultimo.

  2. Avatar Kiko_fire_ram
    Kiko_fire_ram

    Se la ridono anche tutti gl’utenti gentoo e slackware, soprattutto quest’ultimi vista la filosofia dietro slackware.

    SystemD ha portato troppo casino e continua a crearne. Per fortuna le alternative senza systemD esistono eccome, tra cui anche MX Linux di quelle imparentate alla lontana con Debian, basata su Antix che usa tradizionalmente SystemV

  3. Avatar Kiko_fire_ram
    Kiko_fire_ram

    Il concetto alla base di unix di fare una sola cosa e farla bene funziona tutt’oggi. I problemi stanno nascendo da quando stanno storpiando questa impostazione. Esempio lampante è slackware che continuando a mantenere un’impostazione classica è una delle distribuzioni più stabili e sicure. Certo ha i suoi svantaggi ma di certo non gli si può imputare scarsa stabilità o poca sicurezza. Di programmatori in gamba ce ne sono tutt’oggi, sono solo rari come lo erano ieri sebbene oggi il numero totale di sviluppatori sia molto più ampio di prima

  4. Avatar Maurizio Tosetti
    Maurizio Tosetti

    Provero ‘ Nix os su macchina virtuale quando trovero ‘ il tempo . Pero ‘ mi sembra difficile da installare..

  5. Avatar Ivan Guerreschi
    Ivan Guerreschi

    Spero pure io in una bella accelerata di GuixSD che migliora in ogni release, trovo ogni suo componente davvero ben fatto e super modulare

  6. Avatar Kiko_fire_ram
    Kiko_fire_ram

    Che problema hai avuto coi repo su MX? magari è risolvibile.

    Devuan carina per tutto il discorso dietro ma è ancora meno aggiornata di una debian standard purtroppo. Va benissimo per server ma per desktop non è il massimo

  7. Avatar Kim ALLAMANDOLA

    Slackware di unix ha solo la base, non diversamente da ogni altra distro: X per esempio NON è qualcosa di “unix” (dei suoi principi guida), menchemeno tutto le librerie che ci stanno sopra, solo per fare un esempio molto visibile…

    Unix vorrebbe dire che ogni cosa si basa sulla libreria standard del C estesa a POSIX/X-Open e stop. Niente “librerie terze”, niente framework ecc. Ad oggi non c’è praticamente più nulla salvo giusto il sistema di base che può esistere con questo principio.

    Quel che c’è rimasto è la parte IMO cattiva ovvero il concetto che l’OS è una “piattaforma” su cui “caricare” tanti componenti indipendenti che comunicano con un semplice set di IPC, pipe&c sono fantastiche per usi CLI di base, chiunque abbia un minimo di esperienza le usa, ma come “pipi” o redirigi qualcosa da un’applicazione GUI ad un’altra? Quale applicazione multitier attuale/reale/pratica comunica con IPC unix?

    Sistemi precedenti puntavano a due concetti che per me oggi sono necessari per garantire usabilità, libertà e interoperabilità ovvero che “il sistema” dev’essere qualcosa che “pieghi” ai tuoi bisogni, integrato come fosse una singola applicazione (concetto che in salsa diversa stà rinascendo timidamente coi microservices) e di conseguenza che OGNI “componente” del sistema deve vivere come una funzione/metodo/classe/* non come “un software” a parte. Questi due concetti interdipendenti portano il desktop al centro del mondo perché per distribuita che possa essere un’infrastruttura IT è l’utente al centro, è l’interfaccia flessibile e integrata al centro e forza l’esistenza di un substrato comune che per sua natura dev’essere aperto/condiviso. Unix al contrario ha aperto la strada a quel che vediamo oggi: dai nuovi terminali stupidi (dal mobile al “tutto via browser”) alle “applicazioni self-contained” che aiutano tantissimo il software proprietario.

    Detto così può suonare come una minestra, ci sarebbe da scriverci un libricino per esser più chiari ma spero di aver trasmesso l’idea…

  8. Avatar Kim ALLAMANDOLA

    Il “difficile” è un termine relativo: concettualmente è MOLTO più semplice di Ubuntu: tutto va in uno o più files di testo, scritti in genere in un solo linguaggio poco digeribile ma chiaro per l’umano. L’install al di la della UI è il classico partiziona-monta-lancia l’installer per l’uso locale, scegli come bootare il remoto e lascia fare NixOps per l’uso remoto/LAN/cloud…

    Se non ti spaventi di vedere una shell (bash di default ma quella che vuoi altrimenti) l’install la puoi fare partizionando anche con una GUI se ti accontenti di quel che può fare gparted, monti le partizioni nell’ordine in /mnt, generi la configurazione di base se non ne hai già una pronta (semplicemente nixos-generate-config –root /mnt o la root che hai usato per montare i volumi/partizioni di destinazione) la modifichi come vuoi (agg. utente, chiavi ssh, pacchetti ecc), salvi e lanci nixos-install. Fine.

    La conf stessa puoi generartela, salvarla da qualche parte/passarla all’OS host, modificarla nella tua distro favorita col tuo editor favorito e il manuale sottomano, poi rimetterla nella live per installare, quindi formalmente di “CLI” hai solo due comandi, il resto lo fai con comodo altrove.

  9. Avatar Kim ALLAMANDOLA

    Mh, l’ho provato un po’ e francamente paragonato a NixOS lo trovo VERAMENTE indietro, non solo per il supporto LVM ma in generale… Mi piace scheme (e guile in particolare), mi piace l’assenza di systemd, mi piace guix import, ma nel complesso… Solo ripulire lo store è semi-manuale…

    ‘Somma lo vedo qualcosa ancora molto giocattoloso per sviluppatori non qualcosa che possa essere il mio desktop domestico…

  10. Avatar Maurizio Tosetti
    Maurizio Tosetti

    Mx Linux ha qualche problema con i repository ci sono programmi che non funzionano. Sarei piu’ orientato a provare Devuan invece. Cosa ne pensi ?

  11. Avatar Ivan Guerreschi
    Ivan Guerreschi

    Certo per uso desktop in questo momento per molti è limitato mancano molti pacchetti e servizi, e in questo momento non è il mio sistema desktop predefinito, ma per quello che devo fare ha già tutto, Emacs è integrato benissimo comprso EXWM, ha i linguaggi di programmazione che desidero e web server che mi servono, ma spero che cresca molto di più e con più diversificazione

  12. Avatar Maddo

    Mah ti dirò ho provato GuixSD su VM (la 0.16) e ti posso dire che non ho riscontrato grossi problemi con guix gc, che anzi mi è parso funzionare più che egregiamente. Shepherd mi piace molto di più di SystemD già da ora sinceramente (ma non l’ho realmente usato su un server o anche sul mio desktop baremetal quindi trattengo il mio giudizio a riguardo), e per quanto abbia più volte provato a mandare giù il DSL di nix, davvero non lo digerisco, ma lì sarò forse io. Comunque faccio questo commento per dirti che ti volevo sentitamente ringraziare per avermi aperto al mondo emacs, che adesso uso non solo per scrivere codice, ma anche e soprattutto per todo bozze e relazioni con org-mode (che è davvero la roba migliore che abbia mai visto, tra l’altro esportabile in qualsiasi cosa).

  13. Avatar Kim ALLAMANDOLA

    Oh, contento di aver contribuito alla scoperta di un nuovo tools 🙂 per Guix/gc osserva la dimensione del gnu store e vedrai che aumenta regolarmente, le vecchie generations van cancellate a mano (rm del symlink in /var/guix/profiles) e solo allora il gc ranza via i pkg corrispondenti. Per carità non è fantascienza ma è comunque una seccatura che nix ha risolto da non so quanti anni…

    Su org-mode se hai voglia di esplorare prova a centralizzare le tue conf ovvero per citare la mia mail un file my_mail. org che ha vari blocchi babel tangle-ati al salvataggio nelle varie conf dei software coinvolti, ovvero ad es. afew, notmuch (e hooks), mbsync ecc così in un solo files hai sia la descrizione documentata del setup “logico” completo sia l’intera configurazione 🙂

  14. Avatar Maddo

    Stavo giusto cercando di configurare emacs come client di posta, perché sembra essere veramente molto buono per quello che devo fare in quanto sono iscritto a diverse mailing list e con i client classici, per me è un delirio. Consigli particolari? Altra roba che cerco di configurare è pure ERC, coi vari bridge bitlbee(anche se sto principalmente su IRC e discord), però mi sembra abbastanza complesso come primo impatto rispetto a irssi. Mi sono invece subito innamorato di eshell e davvero non capisco come facciano le persone a odiarla in questo modo. Comunque hai per caso qualche programma di chat dove posso beccarti? Perché disqus davvero non è il massimo della vita per avere una discussione XD

  15. Avatar Kim ALLAMANDOLA

    Guarda ora sono in partenza, bestemmiando che anche con un bicchiere di benzina pare mi sia gelato il gasolio…. Rientro lunedì sera quindi tra lunedì e martedì posso strippare la mia conf dei dati personali e condividerla, è da un po’ che rimugino ma per ora non ho ancora fatto, ho solo org-izzato il tutto unendo in un solo file notmuch, mbsync, afew e IMAPFilter (che stò abbandonando per afew). Il delirio è che hai moooolte configurazioni prolisse da fare, ovvero l’inizio richiede un po’ di tempo e la documentazione non è il massimo ma comunque una volta passato questo scoglio tutto fila assai meglio delle webmail.

    Il “brutto” se usi più postazioni è che mbsync come offlineimap ecc nominano le mail con un UID dipendente dalla macchina quindi non puoi sync-are indipendentemente con lo stesso notmuch la tua posta (es. portatile + fisso) per ovviare la soluzione è avere “un master” che fa girare mbsync e n slave che muchsync-ano da questo cosa anche assai veloce. Purtroppo se non hai un VPS/server domestico sempre on per avere le mail fresche hai bisogno di un “master” connesso… A parte ciò tutto funziona bene.

    Per ERC posso dare qualche dritta ma cercando di evitare le chat non ho gran esperienza, cmq è usatissimo quindi direi che qualsiasi chat tu voglia c’è. Per eshell il problema principale è il “terminale dumb” su cui gira, ovvero va benissimo per usi REPL (lanci un comando, vedi risultato, …) ma per tutte le applicazioni interattive (ncurses &c) è un problema. L’emulatore di terminale meno peggio che supporta (sane-term) fa comunque pena rispetto a un emulatore tipo VTE/Gnome/Konsole/rxvt…

    Se vuoi off-topic kdisqus at mio dominio è sempre operativa, non chatto ma questo WE a parte rispondo mediamente in tempi stretti 🙂

  16. Avatar Kernelio Linusso
    Kernelio Linusso

    Niente da fare. Mi spiace, ma più mi sforzo di leggere i tuoi post e più li trovo pipponi mentali senza alcun pro.
    Nella mia mente ti ho già diagnosticato la sindrome del bastian contrario, che usa elucubrazioni piuttosto banali e superficiali pur di aver sempre qualcosa da ridire su tutto; salvo poi guardarsi bene da fornire motivazioni valide per i propri argomenti.

  17. Avatar Maurizio Tosetti
    Maurizio Tosetti

    Nessuno. Ho solo provato Mx Linux 5 minuti in live. Leggevo su Distrowatch che qualcuno ha avuto difficoltà ad installare Wine. Da quello che ho capito Mx è una semi rolling. Secondo me può portare a qualche instabilità rispetto a uno distro tipo Debian ad esempio..

  18. Avatar carlo coppa
    carlo coppa

    Questa volta i popcorn li mangio anch’io visto che utilizzo openSUSE Leap 15 !

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *