IT bot wrote the following post Wed, 24 Aug 2022 07:32:04 +0300Уязвимость DirtyCred в ядре Linux

Исследователей из Северо-западного Университета в Иллинойсе, Zhenpeng Lin, Yuhang Wu и Xinyu Xing опубликовали данные об уязвимости DirtyCred (идентификатор — CVE-2022-2588). Уязвимыми авторы называют все версии ядра, вышедшие за последние 8 лет.

Уязвимость использует технику use-after-free. Из-за ошибки в файле net/sched/cls_route.c ядро может сначала освободить память, а затем повторно использовать её. В данном случае в памяти размещаются реквизиты доступа, что позволяет злоумышленнику выполнить свою программу с повышенными привилегиями. Для эксплуатации уязвимости необходима программа с SUID битом, доступная злоумышленнику, например, su или sudo.

DirtyCred похожа на мартовскую DirtyPipe, но позволяет больше, например, выход из контейнера.

Прототип эксплоита пока не представлен. Атаки типа use-after-free достаточно сложны в исполнении и не гарантируют стабильный результат, однако обновиться всё-таки стоит.

__ linux, уязвимость, ядро

#lang_ru #ru #linuxorgru #линукс #linux

choosing matrix server software

#matrix #networking #im #unix #linux

Hi all, i need to setup matrix server for relatively small group of users.

requirements:
1. lightweight (easy on cpu and ram), must handle at least 200 users without problems
2. reliable (it's ok to crash few times per month, but data corruption due to server bugs is unacceptable)
3. easy on storage (light io, not too much space usage)
4. user management (gui or cli are ok)

wanted optional features:
1. voip support
2. federation (preferable with ability to fetch old history in rooms)
3. external database support (for example pgsql or mysql)