В Ubuntu ограничат доступ приложений к user namespace

В Ubuntu ограничат доступ приложений к user namespace

В Ubuntu 23.10 появится новая функция защиты от эксплуатации уязвимостей: разработчики решили ограничить доступ непривилегированных пользователей к пространствам имён идентификаторов пользователя (user namespace).

По данным Google, 44% отчетов, поданных в рамках ее программы вознаграждений за выявление уязвимостей в ядре Linux, касаются случаев, когда эксплойт осуществляется путем использования user namespace в обход контейнерной изоляции.

Блокировка непривилегированного доступа к user namespace может нарушить работу таких программ, как Firefox и Google Chrome, поэтому в Ubuntu было решено обеспечить возможность выдавать такое разрешение процессам по выбору. С этой целью в AppArmor-профиль многих затронутых приложений было добавлено новое правило userns, отрабатывающее при выставленном флаге default_allow.

В грядущем выпуске Ubuntu 23.10 опция ограничения доступа к user namespace вначале будет работать как opt-in. После испытания в полевых условиях команда Ubuntu планирует через обновление включить ее по умолчанию.

Для активации предлагается использовать следующие команды:

 

Отключить опцию впоследствии можно будет таким образом:

 

Уязвимости, связанные с использованием user namespace, объявляются в подсистемах ядра Linux с завидной регулярностью. Эксплойт обычно грозит повышением привилегий, в том числе до root.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Моё дело сегодня прилегло: был недоступен сайт и сервисы бухгалтерии

Приблизительно с 11:00 по Москве сайт интернет-бухгалтерии «Моё дело» был недоступен в течение практически всего рабочего дня. Наладить работу ресурса удалось только около 16:00.

С неполадками в работе «Моего дела» столкнулись в том числе в Anti-Malware.ru. Скриншот одного из сотрудников, на котором выдаётся ошибка 502, прикладываем ниже:

 

Если обратиться к сервису DownDetector, можем наблюдать скачок сообщений об ошибках как раз в районе 11:00 по Москве.

 

Согласно алертам, больше всего пострадали организации из Москвы и Московской области (43%). Далее идёт Санкт-Петербург и Ленинградская область (15%).

 

Среди наиболее частых проблем называются:

  • невозможность открыть сайт (70%);
  • сбой в работе личного кабинета (18%);
  • сбои мобильного приложения (4%).

 

Сейчас, судя по всему, работу ресурса удалось восстановить.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru