Сервера с lifetime в годы и даже десятилетия.
Регулярно слышу хвастливые рассказы о серверах, которые работают без перезагрузок несколько лет.
Регулярно слышу влажные мечты (чаще всего красноглазые, но, увы, далеко не всегда) о том, чтобы один раз настроить сервер, а потом годами к нему не прикасаться.
Ни разу не слышал, чтобы по факту таких вот регулярно (регулярно, КАРЛ !) появляющихся новостей, кто-то из этих людей признал свою неправоту в данном вопросе (и я уже не говорю о профнепригодности):
А потом они спрашивают, почему я так отношусь к красноглазым...
Регулярно слышу влажные мечты (чаще всего красноглазые, но, увы, далеко не всегда) о том, чтобы один раз настроить сервер, а потом годами к нему не прикасаться.
Ни разу не слышал, чтобы по факту таких вот регулярно (регулярно, КАРЛ !) появляющихся новостей, кто-то из этих людей признал свою неправоту в данном вопросе (и я уже не говорю о профнепригодности):
В ядре Linux исправлена уязвимость двухлетней давности
Проблема позволяет получить права суперпользователя на системе.
В ядре Linux устранена опасная уязвимость повышения привилегий, обнаруженная более двух лет назад. Проблема была обнаружена сотрудником Google Майклом Дэвидсоном (Michael Davidson) в апреле 2015 года и устранена в релизе ядра Linux 4.0. Разработчики Linux портировали патч на устаревшие ветки 3.x с выпуском ядра Linux 3.10.77, однако в связи с тем, что на то время уязвимость не рассматривалась как серьезная угроза безопасности, исправление не было перенесено в LTS (Long Term Support, поддержка в течение длительного периода)-ядра и пакеты с ядром некоторых дистрибутивов.
По словам экспертов Qualys Research Labs, уязвимость затрагивает все версии CentOS 7 до 1708, все версии Red Hat Enterprise Linux 7 до 7.4, и все версии CentOS 6 и Red Hat Enterprise Linux 6.
Уязвимость получила идентификатор CVE-2017-1000253 и оценена в 7,8 балла по шкале CVSSv3. Проблема содержится в реализации метода загрузки исполняемых файлов ELF и позволяет получить права суперпользователя на системе. Суть уязвимости: исполняемый файл приложения, скомпилированного в режиме PIE (Position Independent Executable), может быть загружен таким образом, что часть информации из сегмента данных отразится на области памяти, выделенной под стек, в результате вызвав повреждение памяти. Злоумышленник может проэксплуатировать данную проблему для повышения своих привилегий путем манипуляций с находящимися в системе исполняемыми файлами с флагом SUID, собранными в режиме PIE.
Эксперты Qualys представили PoC-эксплоит, работающий на CentOS-7 с версиями ядра 3.10.0-514.21.2.el7.x86_64 и 3.10.0-514.26.1.el7.x86_64.
Для дистрибутивов Red Hat , Debian и CentOS уже доступны обновления, устраняющие данную проблему в LTS-релизах с версиями ядра 3.х.
А потом они спрашивают, почему я так отношусь к красноглазым...
