рдкреНрд░реЛрд╣реЛрд╕реНрдЯрд░ > ╨С╨╗╨╛╨│ > рдЗрдиреНрдЯрд░рдиреЗрдЯ рд╕рдорд╛рдЪрд╛рд░ > рд▓рд┐рдирдХреНрд╕ рдХрд░реНрдиреЗрд▓рдорд╛ рд░реВрдЯ рдЬреЛрдЦрд┐рдо рд░ systemd рдорд╛ рд╕реЗрд╡рд╛ рдЕрд╕реНрд╡реАрдХрд╛рд░

рд▓рд┐рдирдХреНрд╕ рдХрд░реНрдиреЗрд▓рдорд╛ рд░реВрдЯ рдЬреЛрдЦрд┐рдо рд░ systemd рдорд╛ рд╕реЗрд╡рд╛ рдЕрд╕реНрд╡реАрдХрд╛рд░

Qualys рдХрд╛ рд╕реБрд░рдХреНрд╖рд╛ рдЕрдиреБрд╕рдиреНрдзрд╛рдирдХрд░реНрддрд╛рд╣рд░реВрд▓реЗ рд▓рд┐рдирдХреНрд╕ рдХрд░реНрдиреЗрд▓ рд░ systemd рдкреНрд░рдгрд╛рд▓реА рдкреНрд░рдмрдиреНрдзрдХрд▓рд╛рдИ рдЕрд╕рд░ рдЧрд░реНрдиреЗ рджреБрдИ рдХрдордЬреЛрд░реАрд╣рд░реВрдХреЛ рд╡рд┐рд╡рд░рдг рдкреНрд░рдХрдЯ рдЧрд░реЗрдХрд╛ рдЫрдиреНред рдХрд░реНрдиреЗрд▓ (CVE-2021-33909) рдорд╛ рдПрдХ рдЬреЛрдЦрд┐рдорд▓реЗ рд╕реНрдерд╛рдиреАрдп рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛рд▓рд╛рдИ рдЙрдЪреНрдЪ рдиреЗрд╕реНрдЯреЗрдб рдбрд╛рдЗрд░реЗрдХреНрдЯрд░реАрд╣рд░реВрдХреЛ рд╣реЗрд░рдлреЗрд░ рдорд╛рд░реНрдлрдд рд░реВрдЯ рдЕрдзрд┐рдХрд╛рд░рд╣рд░реВрд╕рдБрдЧ рдХреЛрдб рдХрд╛рд░реНрдпрд╛рдиреНрд╡рдпрди рдкреНрд░рд╛рдкреНрдд рдЧрд░реНрди рдЕрдиреБрдорддрд┐ рджрд┐рдиреНрдЫред

рдЬреЛрдЦрд┐рдордХреЛ рдЦрддрд░рд╛ рдпрд╕ рддрдереНрдпрд▓реЗ рдмрдвреЗрдХреЛ рдЫ рдХрд┐ рдЕрдиреБрд╕рдиреНрдзрд╛рдирдХрд░реНрддрд╛рд╣рд░реВрд▓реЗ рдкреВрд░реНрд╡рдирд┐рд░реНрдзрд╛рд░рд┐рдд рдХрдиреНрдлрд┐рдЧрд░реЗрд╕рдирдорд╛ Ubuntu 20.04/20.10/21.04, Debian 11 рд░ Fedora 34 рдорд╛ рдХрд╛рдо рдЧрд░реНрдиреЗ рдХрд╛рдо рдЧрд░реНрдиреЗ рд╢реЛрд╖рдгрд╣рд░реВ рддрдпрд╛рд░ рдЧрд░реНрди рд╕рдХреНрд╖рдо рдерд┐рдПред рдпреЛ рдиреЛрдЯ рдЧрд░рд┐рдПрдХреЛ рдЫ рдХрд┐ рдЕрдиреНрдп рд╡рд┐рддрд░рдгрд╣рд░реВ рдкрд░реАрдХреНрд╖рдг рдЧрд░рд┐рдПрдХреЛ рдЫреИрди, рддрд░ рд╕реИрджреНрдзрд╛рдиреНрддрд┐рдХ рд░реВрдкрдорд╛ рдкрдирд┐ рд╕рдорд╕реНрдпрд╛рдХреЛ рд▓рд╛рдЧрд┐ рд╕рдВрд╡реЗрджрдирд╢реАрд▓ рдЫрдиреН рд░ рдЖрдХреНрд░рдордг рдЧрд░реНрди рд╕рдХрд┐рдиреНрдЫред рд╢реЛрд╖рдгрдХреЛ рдкреВрд░реНрдг рдХреЛрдб рдЬрддрд╛рддрддреИ рд╕рдорд╕реНрдпрд╛ рд╣рдЯрд┐рд╕рдХреЗрдкрдЫрд┐ рдкреНрд░рдХрд╛рд╢рд┐рдд рдЧрд░реНрдиреЗ рд╡рд╛рдЪрд╛ рдЧрд░рд┐рдПрдХреЛ рдЫ, рддрд░ рдЕрд╣рд┐рд▓реЗрдХреЛ рд▓рд╛рдЧрд┐ рдорд╛рддреНрд░ рд╕реАрдорд┐рдд рдХрд╛рд░реНрдпрдХреНрд╖рдорддрд╛рдХреЛ рдкреНрд░реЛрдЯреЛрдЯрд╛рдЗрдк рдЙрдкрд▓рдмреНрдз рдЫ, рдЬрд╕рд▓реЗ рдкреНрд░рдгрд╛рд▓реАрд▓рд╛рдИ рдХреНрд░реНрдпрд╛рд╕ рдЧрд░реНрди рд╕рдХреНрдЫред рд╕рдорд╕реНрдпрд╛ рдЬреБрд▓рд╛рдИ 2014 рджреЗрдЦрд┐ рдЕрд╡рд╕реНрдерд┐рдд рдЫ рд░ 3.16 рдмрд╛рдЯ рд╕реБрд░реБ рд╣реБрдиреЗ рдХрд░реНрдиреЗрд▓ рд░рд┐рд▓реАрдЬрд▓рд╛рдИ рдЕрд╕рд░ рдЧрд░реНрдЫред рднреЗрджреНрдпрддрд╛ рд╕рдорд╛рдзрд╛рди рд╕рдореБрджрд╛рдпрд╕рдБрдЧ рд╕рдордиреНрд╡рдп рдЧрд░реА рдЬреБрд▓рд╛рдИ резреп рдорд╛ рдХрд░реНрдиреЗрд▓рдорд╛ рд╕реНрд╡реАрдХрд╛рд░ рдЧрд░рд┐рдпреЛред рдореБрдЦреНрдп рд╡рд┐рддрд░рдгрд╣рд░реВрд▓реЗ рдкрд╣рд┐рд▓реЗ рдиреИ рддрд┐рдиреАрд╣рд░реВрдХреЛ рдХрд░реНрдиреЗрд▓ рдкреНрдпрд╛рдХреЗрдЬрд╣рд░реВ (рдбреЗрдмрд┐рдпрди, рдЙрдмрдиреНрдЯреБ, рдлреЗрдбреЛрд░рд╛, RHEL, SUSE, рдЖрд░реНрдХ) рдорд╛ рдЕрджреНрдпрд╛рд╡рдзрд┐рдХрд╣рд░реВ рдЙрддреНрдкрдиреНрди рдЧрд░рд┐рд╕рдХреЗрдХрд╛ рдЫрдиреНред

рдЕрд╕реБрд░рдХреНрд╖рд╛ seq_file рдХреЛрдбрдорд╛ рдХрд╛рд░реНрдпрд╣рд░реВ рдЧрд░реНрдиреБ рдЕрдШрд┐ рд╕рд╛рдЗрдЬ_t рдорд╛ int рд░реВрдкрд╛рдиреНрддрд░рдгрдХреЛ рдкрд░рд┐рдгрд╛рдо рдЬрд╛рдБрдЪ рдЧрд░реНрди рдЕрд╕рдлрд▓ рднрдПрдХреЛ рдХрд╛рд░рдгрд▓реЗ рдЧрд░реНрджрд╛ рд╣реБрдиреНрдЫ, рдЬрд╕рд▓реЗ рд░реЗрдХрд░реНрдбрд╣рд░реВрдХреЛ рдЕрдиреБрдХреНрд░рдордмрд╛рдЯ рдлрд╛рдЗрд▓рд╣рд░реВ рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░реНрджрдЫред рдЬрд╛рдБрдЪ рдЧрд░реНрди рдЕрд╕рдлрд▓ рднрдПрдорд╛ рдзреЗрд░реИ рдиреЗрд╕реНрдЯреЗрдб рдбрд╛рдЗрд░реЗрдХреНрдЯрд░реА рдврд╛рдБрдЪрд╛ (рдкрде рд╕рд╛рдЗрдЬ рез GB рднрдиреНрджрд╛ рдорд╛рдерд┐) рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░реНрджрд╛, рдорд╛рдЙрдиреНрдЯ рдЧрд░реНрджрд╛ рд░ рдореЗрдЯрд╛рдЙрдБрджрд╛ рдмрдлрд░рдорд╛ рдЖрдЙрдЯ-рдЕрдл-рдмрд╛рдЙрдиреНрдбрд╣рд░реВ рд▓реЗрдЦрд┐рдиреНрдЫред рдирддрд┐рдЬрд╛рдХреЛ рд░реВрдкрдорд╛, рдПрдХ рдЖрдХреНрд░рдордгрдХрд░реНрддрд╛рд▓реЗ 1-рдмрд╛рдЗрдЯ рд╕реНрдЯреНрд░рд┐рдЩ "//рдореЗрдЯрд╛рдЗрдПрдХреЛ" рдкреНрд░рд╛рдкреНрдд рдЧрд░реНрди рд╕рдХреНрдЫ "-10 GB - 2 рдмрд╛рдЗрдЯреНрд╕" рдХреЛ рдЕрдлрд╕реЗрдЯрдорд╛ рд▓реЗрдЦрд┐рдПрдХреЛ рдХреНрд╖реЗрддреНрд░рд▓рд╛рдИ рд╡рд┐рдирд┐рдпреЛрдЬрд┐рдд рдмрдлрд░рдХреЛ рддреБрд░реБрдиреНрддреИ рдЕрдЧрд╛рдбрд┐ рджреЗрдЦрд╛рдЙрдБрджреИред

рддрдпрд╛рд░ рдПрдХреНрд╕рдкреНрд▓реЛрдЗрдЯрд▓рд╛рдИ 5 GB рдореЗрдореЛрд░реА рд░ 1 рдорд┐рд▓рд┐рдпрди рдлреНрд░реА рдЗрдиреЛрдбрд╣рд░реВ рд╕рдЮреНрдЪрд╛рд▓рди рдЧрд░реНрди рдЖрд╡рд╢реНрдпрдХ рдЫред рдПрдХреНрд╕реНрдкреНрд▓реЛрдЗрдЯрд▓реЗ mkdir() рд▓рд╛рдИ 1 GB рднрдиреНрджрд╛ рдмрдвреАрдХреЛ рдлрд╛рдЗрд▓ рдкрде рд╕рд╛рдЗрдЬ рдкреНрд░рд╛рдкреНрдд рдЧрд░реНрди рдХрд░рд┐рдм рдПрдХ рдорд┐рд▓рд┐рдпрди рдЙрдкрдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛рд╣рд░реВрдХреЛ рдкрджрд╛рдиреБрдХреНрд░рдо рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░реНрди рдХрд▓ рдЧрд░реЗрд░ рдХрд╛рдо рдЧрд░реНрджрдЫред рдпреЛ рдбрд╛рдЗрд░реЗрдХреНрдЯрд░реА bind-mount рдорд╛рд░реНрдлрдд рдЫреБрдЯреНрдЯреИ рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛ рдиреЗрдорд╕реНрдкреЗрд╕рдорд╛ рдорд╛рдЙрдиреНрдЯ рдЧрд░рд┐рдПрдХреЛ рдЫ, рддреНрдпрд╕рдкрдЫрд┐ рдпрд╕рд▓рд╛рдИ рд╣рдЯрд╛рдЙрдирдХреЛ рд▓рд╛рдЧрд┐ rmdir() рдкреНрд░рдХрд╛рд░реНрдп рдЪрд▓рд╛рдЗрдиреНрдЫред рд╕рдорд╛рдирд╛рдиреНрддрд░рдорд╛, рдПрдЙрдЯрд╛ рдереНрд░реЗрдб рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░рд┐рдПрдХреЛ рдЫ рдЬрд╕рд▓реЗ рд╕рд╛рдиреЛ eBPF рдХрд╛рд░реНрдпрдХреНрд░рдо рд▓реЛрдб рдЧрд░реНрджрдЫ, рдЬреБрди eBPF рд╕реНрдпреВрдбреЛрдХреЛрдб рдЬрд╛рдБрдЪ рдЧрд░реЗрдкрдЫрд┐ рдЪрд░рдгрдорд╛ рдЕрд╡рд░реБрджреНрдз рд╣реБрдиреНрдЫ, рддрд░ рдпрд╕рдХреЛ JIT рд╕рдВрдХрд▓рди рдЕрдШрд┐ред

рдЕрдирдкреНрд░рд┐рднрд┐рд▓реЗрдЬреНрдб рдпреБрдЬрд░рдЖрдИрдбреА рдиреЗрдорд╕реНрдкреЗрд╕рдорд╛, рдлрд╛рдЗрд▓ /proc/self/mountinfo рдЦреЛрд▓рд┐рдПрдХреЛ рдЫ рд░ рдмрд╛рдЗрдиреНрдб-рдорд╛рдЙрдиреНрдЯ рдЧрд░рд┐рдПрдХреЛ рдбрд╛рдЗрд░реЗрдХреНрдЯрд░реАрдХреЛ рд▓рд╛рдореЛ рдкрд╛рдердиреЗрдо рдкрдврд┐рдиреНрдЫ, рдлрд▓рд╕реНрд╡рд░реВрдк "//рдореЗрдЯрд┐рдПрдХреЛ" рд╕реНрдЯреНрд░рд┐рдЩ рдмрдлрд░ рд╕реБрд░реБ рд╣реБрдиреБ рдЕрдШрд┐ рдХреНрд╖реЗрддреНрд░рдорд╛ рд▓реЗрдЦрд┐рдПрдХреЛ рд╣реБрдиреНрдЫред рд░реЗрдЦрд╛ рд▓реЗрдЦреНрдирдХреЛ рд▓рд╛рдЧрд┐ рд╕реНрдерд┐рддрд┐ рдЫрдиреЛрдЯ рдЧрд░рд┐рдПрдХреЛ рдЫ рддрд╛рдХрд┐ рдпрд╕рд▓реЗ рдкрд╣рд┐рд▓реЗ рдиреИ рдкрд░реАрдХреНрд╖рдг рдЧрд░рд┐рдПрдХреЛ рддрд░ рдЕрд╣рд┐рд▓реЗрд╕рдореНрдо рдХрдореНрдкрд╛рдЗрд▓ рдЧрд░рд┐рдПрдХреЛ eBPF рдХрд╛рд░реНрдпрдХреНрд░рдордорд╛ рдирд┐рд░реНрджреЗрд╢рдирд▓рд╛рдИ рдУрднрд░рд░рд╛рдЗрдЯ рдЧрд░реНрджрдЫред

рдЕрд░реНрдХреЛ, eBPF рдХрд╛рд░реНрдпрдХреНрд░рдо рд╕реНрддрд░рдорд╛, рдЕрдирд┐рдпрдиреНрддреНрд░рд┐рдд рдЖрдЙрдЯ-рдЕрдл-рдмрдлрд░ рд▓реЗрдЦрдирд▓рд╛рдИ btf рд░ map_push_elem рд╕рдВрд░рдЪрдирд╛рд╣рд░реВрдХреЛ рд╣реЗрд░рдлреЗрд░ рдорд╛рд░реНрдлрдд рдЕрдиреНрдп рдХрд░реНрдиреЗрд▓ рд╕рдВрд░рдЪрдирд╛рд╣рд░реВрдорд╛ рдкрдвреНрди рд░ рд▓реЗрдЦреНрдиреЗ рдирд┐рдпрдиреНрддреНрд░рд┐рдд рдХреНрд╖рдорддрд╛рдорд╛ рд░реВрдкрд╛рдиреНрддрд░рдг рд╣реБрдиреНрдЫред рдирддрд┐рдЬрд╛рдХреЛ рд░реВрдкрдорд╛, рд╢реЛрд╖рдгрд▓реЗ рдХрд░реНрдиреЗрд▓ рдореЗрдореЛрд░реАрдорд╛ modprobe_path[] рдмрдлрд░рдХреЛ рд╕реНрдерд╛рди рдирд┐рд░реНрдзрд╛рд░рдг рдЧрд░реНрджрдЫ рд░ рдпрд╕рдорд╛ "/sbin/modprobe" рдорд╛рд░реНрдЧрд▓рд╛рдИ рдЕрдзрд┐рд▓реЗрдЦрди рдЧрд░реНрджрдЫ, рдЬрд╕рд▓реЗ рддрдкрд╛рдИрдВрд▓рд╛рдИ рдХреБрдиреИ рдкрдирд┐ рдХрд╛рд░реНрдпрд╛рдиреНрд╡рдпрдирдпреЛрдЧреНрдп рдлрд╛рдЗрд▓рдХреЛ рд╕реБрд░реБрд╡рд╛рдд рдЧрд░реНрди рдЕрдиреБрдорддрд┐ рджрд┐рдиреНрдЫ рд░реВрдЯ рдЕрдзрд┐рдХрд╛рд░рд╣рд░реВ рднрдПрдХреЛ рдШрдЯрдирд╛рдорд╛ред request_module() рдХрд▓, рдЬрд╕рд▓рд╛рдИ рдХрд╛рд░реНрдпрд╛рдиреНрд╡рдпрди рдЧрд░рд┐рдиреНрдЫ, рдЙрджрд╛рд╣рд░рдгрдХрд╛ рд▓рд╛рдЧрд┐, рдиреЗрдЯрд▓рд┐рдЩреНрдХ рд╕рдХреЗрдЯ рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░реНрджрд╛ред

рдЕрдиреНрд╡реЗрд╖рдХрд╣рд░реВрд▓реЗ рдзреЗрд░реИ рд╕рдорд╛рдзрд╛рдирд╣рд░реВ рдкреНрд░рджрд╛рди рдЧрд░реНрдЫрдиреН рдЬреБрди рдХреЗрд╡рд▓ рдПрдХ рд╡рд┐рд╢реЗрд╖ рд╢реЛрд╖рдгрдХреЛ рд▓рд╛рдЧрд┐ рдкреНрд░рднрд╛рд╡рдХрд╛рд░реА рд╣реБрдиреНрдЫ, рддрд░ рд╕рдорд╕реНрдпрд╛ рдЖрдлреИрдВрд▓рд╛рдИ рд╣рдЯрд╛рдЙрдБрджреИрдиред рдлрд░рдХ рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛ рдЖрдИрдбреА рдиреЗрдорд╕реНрдкреЗрд╕рдорд╛ рдорд╛рдЙрдиреНрдЯ рдбрд╛рдЗрд░реЗрдХреНрдЯрд░реАрд╣рд░реВ рдЕрд╕рдХреНрд╖рдо рдЧрд░реНрди "/proc/sys/kernel/unprivileged_userns_clone" рд▓рд╛рдИ реж рдорд╛ рд╕реЗрдЯ рдЧрд░реНрди рд╕рд┐рдлрд╛рд░рд┐рд╕ рдЧрд░рд┐рдиреНрдЫ, рд░ рдХрд░реНрдиреЗрд▓рдорд╛ eBPF рдХрд╛рд░реНрдпрдХреНрд░рдорд╣рд░реВ рд▓реЛрдб рдЧрд░реНрди рдЕрд╕рдХреНрд╖рдо рдЧрд░реНрди "/proc/sys/kernel/unprivileged_bpf_disabled" рд▓рд╛рдИ 0 рдорд╛ рд╕реЗрдЯ рдЧрд░реНрди рд╕рд┐рдлрд╛рд░рд┐рд╕ рдЧрд░рд┐рдиреНрдЫред

рдпреЛ рдЙрд▓реНрд▓реЗрдЦрдиреАрдп рдЫ рдХрд┐ рдареВрд▓реЛ рдбрд╛рдЗрд░реЗрдХреНрдЯрд░реА рдорд╛рдЙрдиреНрдЯ рдЧрд░реНрди рдмрд╛рдЗрдиреНрдб-рдорд╛рдЙрдиреНрдбрдХреЛ рд╕рдЯреНрдЯрд╛ FUSE рдореЗрдХрд╛рдирд┐рдЬреНрдордХреЛ рдкреНрд░рдпреЛрдЧ рд╕рдорд╛рд╡реЗрд╢ рдЧрд░реНрдиреЗ рд╡реИрдХрд▓реНрдкрд┐рдХ рдЖрдХреНрд░рдордгрдХреЛ рд╡рд┐рд╢реНрд▓реЗрд╖рдг рдЧрд░реНрджрд╛, рдЕрдиреБрд╕рдиреНрдзрд╛рдирдХрд░реНрддрд╛рд╣рд░реВрд▓реЗ рдкреНрд░рдгрд╛рд▓реАрдб рдкреНрд░рдгрд╛рд▓реА рдкреНрд░рдмрдиреНрдзрдХрд▓рд╛рдИ рдЕрд╕рд░ рдЧрд░реНрдиреЗ рдЕрд░реНрдХреЛ рдЬреЛрдЦрд┐рдо (CVE-2021-33910) рднреЗрдЯреЗред рдпреЛ рдкрддреНрддрд╛ рд▓рд╛рдЧреНрдпреЛ рдХрд┐ FUSE рдорд╛рд░реНрдлрдд 8 MB рднрдиреНрджрд╛ рдмрдвреА рдкрде рд╕рд╛рдЗрдЬ рднрдПрдХреЛ рдбрд╛рдЗрд░реЗрдХреНрдЯрд░реА рдорд╛рдЙрдиреНрдЯ рдЧрд░реНрдиреЗ рдкреНрд░рдпрд╛рд╕ рдЧрд░реНрджрд╛, рдХрдиреНрдЯреНрд░реЛрд▓ рдЗрдирд┐рд╕рд┐рдпрд▓рд╛рдЗрдЬреЗрд╢рди рдкреНрд░рдХреНрд░рд┐рдпрд╛ (PID1) рд╕реНрдЯреНрдпрд╛рдХ рдореЗрдореЛрд░реА рд░ рдХреНрд░реНрдпрд╛рд╕рдмрд╛рдЯ рдмрд╛рд╣рд┐рд░ рдирд┐рд╕реНрдХрдиреНрдЫ, рдЬрд╕рд▓реЗ рдкреНрд░рдгрд╛рд▓реАрд▓рд╛рдИ "рдЖрддрдВрдХ" рд╕реНрдерд┐рддрд┐рдорд╛ рд░рд╛рдЦреНрдЫред

рд╕рдорд╕реНрдпрд╛ рдпреЛ рд╣реЛ рдХрд┐ systemd рд▓реЗ /proc/self/mountinfo рдХреЛ рд╕рд╛рдордЧреНрд░реА рдЯреНрд░реНрдпрд╛рдХ рд░ рдкрд╛рд░реНрд╕ рдЧрд░реНрджрдЫ, рд░ unit_name_path_escape() рдкреНрд░рдХрд╛рд░реНрдпрдорд╛ рдкреНрд░рддреНрдпреЗрдХ рдорд╛рдЙрдиреНрдЯ рдкреЛрдЗрдиреНрдЯрд▓рд╛рдИ рдкреНрд░рд╢реЛрдзрди рдЧрд░реНрджрдЫ, рдЬрд╕рд▓реЗ strdupa() рдЕрдкрд░реЗрд╢рди рдЧрд░реНрджрдЫ рдЬрд╕рд▓реЗ рдбрд╛рдЯрд╛рд▓рд╛рдИ рдЧрддрд┐рд╢реАрд▓ рд░реВрдкрдорд╛ рдЖрд╡рдВрдЯрд┐рдд рдореЗрдореЛрд░реАрдорд╛ рдирднрдИ рд╕реНрдЯреНрдпрд╛рдХрдорд╛ рд░рд╛рдЦреНрдЫред ред рдЕрдзрд┐рдХрддрдо рд╕реНрдЯреНрдпрд╛рдХ рд╕рд╛рдЗрдЬ RLIMIT_STACK рдорд╛рд░реНрдлрдд рд╕реАрдорд┐рдд рднрдПрдХреЛ рд╣реБрдирд╛рд▓реЗ, рдорд╛рдЙрдиреНрдЯ рдкреЛрдЗрдиреНрдЯрдорд╛ рдзреЗрд░реИ рдареВрд▓реЛ рдмрд╛рдЯреЛ рдкреНрд░рд╢реЛрдзрди рдЧрд░реНрджрд╛ PID1 рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХреНрд░реНрдпрд╛рд╕ рд╣реБрдиреНрдЫ рд░ рдкреНрд░рдгрд╛рд▓реА рдмрдиреНрдж рд╣реБрдиреНрдЫред рдЖрдХреНрд░рдордгрдХреЛ рд▓рд╛рдЧрд┐, рддрдкрд╛рдИрдВрд▓реЗ рдорд╛рдЙрдиреНрдЯ рдкреЛрдЗрдиреНрдЯрдХреЛ рд░реВрдкрдорд╛ рдЙрдЪреНрдЪ рдиреЗрд╕реНрдЯреЗрдб рдбрд╛рдЗрд░реЗрдХреНрдЯрд░реА рдкреНрд░рдпреЛрдЧ рдЧрд░реЗрд░ рд╕рдВрдпреЛрдЬрдирдорд╛ рд╕рд░рд▓ FUSE рдореЛрдбреНрдпреБрд▓ рдкреНрд░рдпреЛрдЧ рдЧрд░реНрди рд╕рдХреНрдиреБрд╣реБрдиреНрдЫ, рдЬрд╕рдХреЛ рдкрде рд╕рд╛рдЗрдЬ 8 MB рднрдиреНрджрд╛ рдмрдвреА рдЫред

рдпреЛ рд╕рдорд╕реНрдпрд╛ systemd 220 (рдЕрдкреНрд░рд┐рд▓ 2015) рджреЗрдЦрд┐ рджреЗрдЦрд╛ рдкрд░реЗрдХреЛ рдЫ, рдкрд╣рд┐рд▓реЗ рдиреИ рдореБрдЦреНрдп systemd рднрдгреНрдбрд╛рд░рдорд╛ рдлрд┐рдХреНрд╕ рдЧрд░рд┐рдПрдХреЛ рдЫ рд░ рд╡рд┐рддрд░рдг (Debian, Ubuntu, Fedora, RHEL, SUSE, Arch) рдорд╛ рдлрд┐рдХреНрд╕ рдЧрд░рд┐рдПрдХреЛ рдЫред рдЙрд▓реНрд▓реЗрдЦрдиреАрдп рд░реВрдкрдорд╛, systemd рд░рд┐рд▓реАрдЬ 248 рдорд╛ systemd рдХреЛрдбрдорд╛ рдмрдЧрдХреЛ рдХрд╛рд░рдгрд▓реЗ рд╢реЛрд╖рдгрд▓реЗ рдХрд╛рдо рдЧрд░реНрджреИрди рдЬрд╕рд▓реЗ /proc/self/mountinfo рдХреЛ рдкреНрд░рд╢реЛрдзрди рдЕрд╕рдлрд▓ рд╣реБрдиреНрдЫред рдпреЛ рдкрдирд┐ рдЪрд╛рдЦрд▓рд╛рдЧреНрджреЛ рдЫ рдХрд┐ 2018 рдорд╛, рдпрд╕реНрддреИ рд╕реНрдерд┐рддрд┐ рдЙрддреНрдкрдиреНрди рднрдпреЛ рд░ рд▓рд┐рдирдХреНрд╕ рдХрд░реНрдиреЗрд▓рдорд╛ CVE-2018-14634 рдЬреЛрдЦрд┐рдордХреЛ рд▓рд╛рдЧрд┐ рд╢реЛрд╖рдг рд▓реЗрдЦреНрдиреЗ рдкреНрд░рдпрд╛рд╕ рдЧрд░реНрджрд╛, Qualys рдЕрдиреБрд╕рдиреНрдзрд╛рдирдХрд░реНрддрд╛рд╣рд░реВрд▓реЗ systemd рдорд╛ рддреАрдирд╡рдЯрд╛ рдорд╣рддреНрд╡рдкреВрд░реНрдг рдХрдордЬреЛрд░реАрд╣рд░реВ рднреЗрдЯреНрдЯрд╛рдПред

рд╕реНрд░реЛрдд: opennet.ru

рдПрдХ рдЯрд┐рдкреНрдкрдгреА рдердкреНрди