Для старых ядер есть live-patch, которые в целом позволяют им еще немного пожить, и я с вами полностью согласен, однако я не ожидал увидеть столь полноценный эксплоит и такую дырку, например, на 6.12.0-124.49.1, и пока что, к сожалению, ничего кроме костылей не помогло хотя бы снизить риск проявления проблемы в обслуживаемых системах. Ну а рекомпилить ядро такое себе занятие. Поэтому бежим на костылях от хакермэнов с PoC в кармане, ждем пока мейнтейнер выплюнет новое ядро в паблик. Аминь )
File "/opt/alt/python-internal/lib64/python3.11/socket.py", line 232, in __init__
_socket.socket.__init__(self, family, type, proto, fileno)
OSError: [Errno 97] Address family not supported by protocol
От себя: я бы выбрал комбинацию всех доступных способов: args в cmdline, blacklist модулей, запрет в systemd. К сожалению, эксплуатируется уязвимость практически везде, где я тестировал, на ядре 5 и выше. На ядре 3.10 не воспроизвелось, 4 под рукой нет. Обязательно перезагружайтесь после тестов, пока не добьетесь результата с неработающим poc.
Жесть, посмотрел на код - как будто бы в 2009 год вернулся :) wen.ru, ruwap, xwab, wapadmin, хомяк :) Спасибо за ностальгию, но в прод такое тащить нельзя)
Про VTS стоит отметить то, что чем больше метрик он пишет, тем сильнее идет оверхед по памяти и процессору, и 1 воркер nginx может начать кушать до 10гб памяти очень легко
Это работает в обе стороны, в нетоксичных компаниях. Вы тратите время кандидата, он тратит время рекрутера. Причем кандидат в заведомо проигрышной позиции, психологически правильно давать ему обратную связь.
Это ещё что :) У них возврат средств возможен исключительно по письменному заявлению, обращение в тикет-систему не катит :) Правда, если пригрозить ЗоЗПП, то без заявлений всё возвращается на карту, которой была оплата, с "сожалеем, что у вас сложилось такое мнение о нас".
А еще интересный факт - вы никогда не узнаете характеристик вашего вирт сервера. Модель процессора, частота, всё неизвестно. На сайте - не публикуется, в хках - скрывается гипервизором.
30 секунд таймаута, когда код выполняется в основном потоке - это пушка. Если сдэк ляжет, сайт будет работать на 30 секунд медленнее. Дополнительная головная боль для хостера/админа/владельца сайта и вопросы "сайт работает медленно, помогите".
DNS яндекса чаще возвращают записи без проблем. Зарубежные DNS - возвращают записи через раз или не возвращают вовсе. Также могут быть иные ресолверы, которые возвращают тоже без ошибок или с незначительными перебоями.
Танцы с gparted нужны, чтобы уменьшить размер раздела. Virt-sparsify не уменьшает разделы, не увеличивает их, а работает с файловым образом - тримит его, грубо говоря.
--in-place просто избавляет от необходимости писать во второй файл, имея х2 свободного пространства в рабочей фс. И то, есть нюансы.
Для старых ядер есть live-patch, которые в целом позволяют им еще немного пожить, и я с вами полностью согласен, однако я не ожидал увидеть столь полноценный эксплоит и такую дырку, например, на 6.12.0-124.49.1, и пока что, к сожалению, ничего кроме костылей не помогло хотя бы снизить риск проявления проблемы в обслуживаемых системах. Ну а рекомпилить ядро такое себе занятие. Поэтому бежим на костылях от хакермэнов с PoC в кармане, ждем пока мейнтейнер выплюнет новое ядро в паблик. Аминь )
Фикс который указан в статье работать не будет, если внезапно ваше ядро собрано с параметром
Есть альтернативные способы выключения, которые работают:
И через запрет в systemd
Ребут и эксплоит падает
От себя: я бы выбрал комбинацию всех доступных способов: args в cmdline, blacklist модулей, запрет в systemd. К сожалению, эксплуатируется уязвимость практически везде, где я тестировал, на ядре 5 и выше. На ядре 3.10 не воспроизвелось, 4 под рукой нет. Обязательно перезагружайтесь после тестов, пока не добьетесь результата с неработающим poc.
Жесть, посмотрел на код - как будто бы в 2009 год вернулся :) wen.ru, ruwap, xwab, wapadmin, хомяк :) Спасибо за ностальгию, но в прод такое тащить нельзя)
не сработает, забыли
--no-preserve-rootПро VTS стоит отметить то, что чем больше метрик он пишет, тем сильнее идет оверхед по памяти и процессору, и 1 воркер nginx может начать кушать до 10гб памяти очень легко
Могу Вам пожелать только найти работу мечты, где все понимают друг-друга с полуслова. Ну, а если вы начальник, то побольше подходящих кандидатов :)
Это работает в обе стороны, в нетоксичных компаниях. Вы тратите время кандидата, он тратит время рекрутера. Причем кандидат в заведомо проигрышной позиции, психологически правильно давать ему обратную связь.
Так это ж 1C
Вы и правда считаете, что это нормально?)
Бывает и такое)
А почему не нашли, что отталкивало в кандидатах?
Это ещё что :) У них возврат средств возможен исключительно по письменному заявлению, обращение в тикет-систему не катит :) Правда, если пригрозить ЗоЗПП, то без заявлений всё возвращается на карту, которой была оплата, с "сожалеем, что у вас сложилось такое мнение о нас".
А еще интересный факт - вы никогда не узнаете характеристик вашего вирт сервера. Модель процессора, частота, всё неизвестно. На сайте - не публикуется, в хках - скрывается гипервизором.
30 секунд таймаута, когда код выполняется в основном потоке - это пушка. Если сдэк ляжет, сайт будет работать на 30 секунд медленнее. Дополнительная головная боль для хостера/админа/владельца сайта и вопросы "сайт работает медленно, помогите".
Такие вещи должны быть более оптимизированными.
Желательно подождать, пока прогрузится результат теста
https://habr.com/ru/news/790188/
DNS яндекса чаще возвращают записи без проблем. Зарубежные DNS - возвращают записи через раз или не возвращают вовсе. Также могут быть иные ресолверы, которые возвращают тоже без ошибок или с незначительными перебоями.
Действительно, присутствует такая проблема - https://habr.com/ru/news/790188/
Как минимум, это хорошая головная боль под конец рабочего дня :)
Танцы с gparted нужны, чтобы уменьшить размер раздела. Virt-sparsify не уменьшает разделы, не увеличивает их, а работает с файловым образом - тримит его, грубо говоря.
--in-place просто избавляет от необходимости писать во второй файл, имея х2 свободного пространства в рабочей фс. И то, есть нюансы.
Кроме того, его еще можно было разогнать, емнип, спокойно до 610мгц, если ничего не путаю