Systemd saiki duwe luwih saka 1.2 yuta garis kode

Systemd minangka sistem inisialisasi lan daemon sing wis dirancang khusus kanggo kernel Linux minangka alternatif kanggo daemon startup System V (sysvinit). Tujuan utamane yaiku nyedhiyakake kerangka kerja sing luwih apik kanggo ngatur katergantungan ing antarane layanan, saengga mbukak layanan paralel nalika wiwitan lan nyuda panggilan menyang skrip Shell.

Sawise ngluwihi yuta baris kode ing 2017, Repositori Git systemd nuduhake yen saiki tekan 1.207.302 baris kode. 1.2 yuta baris kasebut sumebar ing 3,260 file lan kasusun saka 40,057 konfirmasi saka meh 1,400 penulis sing beda.

Systemd nyathet sawetara komit taun pungkasan, nanging nganti saiki, angel mbayangake cathetan iki bisa dirusak ing taun 2019.

Taun iki, wis ana 2 komitmen. Ing taun kepungkur, statistik nuduhake 145, nalika ing 2016 lan 2017 sistem gunggunge kurang saka sethithik luwih saka patang ewu komitmen.

Lennart Poettering tetep dadi kontributor sing paling misuwur kanggo systemd kanthi luwih saka 32% komitmen sajrone taun iki.

Sawise dheweke, kita bisa nemokake manawa panulis liyane sing ngetutake Lennart Poettering taun iki yaiku Yu Watanabe, Zbigniew Jędrzejewski-Szmek, Frantisek Sumsal, Susant Sahani lan Evgeny Vereshchagin. Udakara 142 wong wis nyumbang kanggo wit sumber Systemd wiwit wiwitan taun.

Systemd isih durung disenengi wong akeh

Sanajan saiki, distribusi GNU / Linux nggunakake sistemd, iki wis dikritik banget (lan dudu kanggo wong liya) dening sawetara anggota komunitas open source, sing percaya manawa proyek kasebut bertentangan karo filosofi Unix lan pangembang duwe prilaku anti-Unix, amarga systemd ora kompatibel karo kabeh sistem non-Linux.

Mulane Penting, kanggo elinga yen sistemd ana ing wiwitan pamisahan komunitas Debian nalika mutusake kanggo nggunakake. minangka sistem inisialisasi default, senadyan ana ancaman saka sawetara wajib pajak.

Kanthi sadurunge tumindak kasebut mula dheweke ninggalake proyek Debian kanggo nggawe garpu sing diarani Devuan (Debian sing ora nggunakake sistemd).

Inggih target utama proyek yaiku nyedhiyakake varian Debian tanpa kerumitan lan ketergantungan sistem, sawijining sistem init lan manajer layanan sing wiwitane dikembangake dening Red Hat lan mengko diadopsi dening akeh distro liyane.

Lan iku ing wiwitan taun kita nglaporake sawetara distribusi Linux utama sing rentan karo sawetara bug sistem.

Artikel sing gegandhengan:

Kerentanan anyar ditemokake ing Systemd

Antarane bagean saka kesalahan sing ana, salah sawijine yaiku ing layanan 'jurnal', sing nglumpukake lan nyimpen data log. Dheweke bisa dieksploitasi kanggo entuk hak istimewa root ing mesin target utawa kanggo mbukak informasi.

Sawetara kesalahan kasebut ditemokake dening peneliti ing firma keamanan Qualys, cacat kasebut yaiku rong kerentanan memori kerusakan (tumpukan buffer overflow - CVE-2018-16864 lan alokasi memori tanpa wates - CVE-2018-16865) lan siji sing ngidini bocor informasi (waca wates, CVE- 2018-16866).

Peneliti nggawe eksploitasi kanggo CVE-2018-16865 lan CVE-2018-16866 sing nyedhiyakake root root lokal ing mesin x86 lan x64.

Eksploitasi mlayu luwih cepet ing platform x86 lan nggayuh tujuane sajrone sepuluh menit. Ing x64, eksploitasi njupuk 70 menit.

Qualys ngumumake manawa ngrencanakake ngeculake kode eksploitasi PoC kanggo mbuktekake anane cacat lan nerangake kanthi rinci babagan kepiye carane ngeksploitasi cacat kasebut. Peneliti uga nggawe bukti konsep CVE-2018-16864 sing ngidini sampeyan ngontrol eip, flag instruksional i386.

Kerentanan buffer overflow (CVE-2018-16864) dikenalake ing wulan April 2013 (systemd v203) lan dieksploitasi ing wulan Februari 2016 (systemd v230).

Babagan kerentanan alokasi memori tanpa wates (CVE-2018-16865), diwiwiti wulan Desember 2011 (systemd v38) lan dimanfaatake ing wulan April 2013 (systemd v201), nalika kerentanan bocor memori (CVE-2018-16866) dikenalake ing Juni 2015 (systemd v221) lan ora sengaja didandani wulan Agustus 2018.