The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

12.05.2017 09:01  Уязвимость в Ubuntu, открывающая доступ к чужим файлам из гостевого сеанса

В Ubuntu временно заблокирована возможность использования гостевого сеанса в дисплейном менеджере LightDM из-за выявления уязвимости (CVE-2017-8900), которая позволяет получить доступ к файлам вне гостевой директории, в том числе к файлам в домашних каталогах обычных пользователей. Проблема проявляется начиная с Ubuntu 16.10 и вызвана прекращением применения ограничений AppArmor (в Ubuntu 16.04 и более ранних выпусках применялся профиль /usr/lib/lightdm/lightdm-guest-session) после перехода к использованию systemd для управления сеансами. В качестве возможного пути устранения проблемы рассматривается использование модуля pam_apparmor для применения ограничивающего профиля AppArmor.

  1. Главная ссылка к новости (https://www.ubuntu.com/usn/usn...)
  2. OpenNews: Уязвимость в LightDM, позволяющая повысить свои привилегии в системе
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: lightdm
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 09:09, 12/05/2017 [ответить] [смотреть все]
  • +6 +/
    Показателен ответ разработчиков Ubuntu на сообщение о баге, которое было отправлено ещё в феврале:

    "Ow. Unfortunately I don't have any information on how to fix this since most of the work on guest sessions and systemd was done by Martin Pitt."

    В итоге, после трёх месяцев не придумали ничего, чем просто отключить гостевой сеанс.

     
     
  • 2.2, Аноним, 09:11, 12/05/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +23 +/
    Зря ругаешь. Это обычный самоотвод, т.к. вопрос вне компетенций данного инженера. Во всем виноват systemd, это очевидно.
     
     
  • 3.26, Аноним, 14:28, 12/05/2017 [^] [ответить] [смотреть все]
  • +1 +/
    То есть в других дистрибутивах с systemd всё нормально, и только в Ubuntu пробле... весь текст скрыт [показать]
     
     
  • 4.35, Адекват, 15:27, 12/05/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Без СистемД данная проблема была ... весь текст скрыт [показать]
     
     
  • 5.40, Аноним, 19:50, 12/05/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    а без убунты, а без линукса?
     
  • 5.43, Аноним, 15:37, 13/05/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    То есть если бы был открыт доступ к ssh с публичным паролем, это была бы проблем... весь текст скрыт [показать]
     
  • 1.5, Вот и выросло поколение, 09:35, 12/05/2017 [ответить] [смотреть все]  
  • +14 +/
    Нас в садике учили: если не хочешь, чтобы другие другие видели твои файлы, сделай chmod 700 $HOME.
     
     
  • 2.9, hoopoe, 09:47, 12/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +12 +/
    там немного другое: на системе есть зареганые юзеры - они могут видеть файлы друг друга, и есть гостевой сеанс - он не должен видеть файлы остальных узверей. вот это "не должен" и сломали при внедрении systemd

    вообще странно что гостя тупо не засунули под контейнера, это самый очевидный способ загнать в клетку

     
     
  • 3.13, Аноним, 10:16, 12/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    засовывать его в контейнер ещё тот аттракцион, причём с учётом того что нужно бу... весь текст скрыт [показать]
     
  • 3.15, X3asd, 10:17, 12/05/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    наверно могут те -- которые сделали их друг для друга доступными через вызов set... весь текст скрыт [показать]
     
     
  • 4.17, iPony, 10:35, 12/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Неа По дефолту юзеры без проблем могут шастать по чужой домашней папке https ... весь текст скрыт [показать]
     
     
  • 5.18, UUU, 11:17, 12/05/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    1 find home user -type f -exec chmod 600 2 find home user -type d ... весь текст скрыт [показать]
     
     
  • 6.19, Аноним, 11:34, 12/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    1 Достаточно или нужно с кавычками 2 Что будет если перепутать посл... весь текст скрыт [показать]
     
     
  • 7.22, UUU, 11:45, 12/05/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    1 На практике достаточно 2 Не войдете потом ни в одну папку в домашней директ... весь текст скрыт [показать]
     
     
  • 8.48, Аноним, 23:20, 16/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Подозреваю ты хотел сказать не перепутайте -type d 700 с -type d 600... весь текст скрыт [показать]
     
  • 6.21, Ilya Indigo, 11:40, 12/05/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    $ chmod -R a=,u+rwX ~
     
     
  • 7.49, Аноним, 23:31, 16/05/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    chmod -R go-rwx у группы и осталных отобрать read, write, execute А что ваш ... весь текст скрыт [показать]
     
     
  • 8.51, Ilya Indigo, 23:48, 16/05/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Мой набор букв означает сначала рекурсивно забрать все права у всех 000 , а п... весь текст скрыт [показать]
     
  • 7.52, Аноним, 09:44, 18/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Тут ~/bin/* передают тебе привет.
     
     
  • 8.53, Ilya Indigo, 15:05, 18/05/2017 [^] [ответить] [смотреть все]  
  • +/
    В том-то и дело, что зонды, спайвари и прочая нечисть не сможет этого сделать А... весь текст скрыт [показать]
     
  • 5.46, XoRe, 08:32, 15/05/2017 [^] [ответить] [смотреть все]  
  • +/
    В зависимости от дефолтных настроек ... весь текст скрыт [показать]
     
  • 3.24, yan123, 14:16, 12/05/2017 [^] [ответить] [смотреть все]  
  • +6 +/
    Тогда все юзеры идут в группу users, а гость в группу guest, права выставляем соответсвенно.
    (с) мопед не мой -- подход придуман где-то в ранних 70-х умными людьми и вроде как обкатан и железобетонно работал всё это время.
    Меня тоже в убунте иногда удивляет желание разработчиков прикрутить свои "велосипеды" вместо использования простого рабочего решения.
     
  • 3.31, vitvegl, 14:45, 12/05/2017 [^] [ответить] [смотреть все]  
  • +/
    он под "appaarmor"
     
  • 3.42, Аноним, 21:37, 12/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Все давно уже есть, делаете специальную группу для этих вездешастающих юзеров, д... весь текст скрыт [показать]
     
  • 3.44, Аноним, 19:15, 13/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Они могут видеть потому что являются членами группы, которой разрешено смотреть ... весь текст скрыт [показать]
     
  • 2.16, Нанобот, 10:27, 12/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    трудное у тебя было детство, сочувствую
     
  • 1.6, Аноним, 09:42, 12/05/2017 [ответить] [смотреть все]  
  • +2 +/
    сколько ещё нам чудных открытий готовит системде
     
     
  • 2.12, Crazy Alex, 10:13, 12/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +6 +/
    Это ещё мелочи. Вот когда его ломать начнут...
     
     
  • 3.20, J.L., 11:35, 12/05/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    поскорее бы, а то скушно читать хейтеров systemd, одна слюна и никакой крошки... весь текст скрыт [показать]
     
     
  • 4.23, Аноним, 13:14, 12/05/2017 [^] [ответить] [смотреть все]  
  • +10 +/
    >> Это ещё мелочи. Вот когда его ломать начнут...
    > поскорее бы,

    А что, самостоятельные сломы типа
    https://github.com/systemd/systemd/issues/1143
    > By setting the date to sometime in 2038, we can make systemd getting stuck printing systemd[1]: Time has been changed over and over again.

    или
    https://www.agwa.name/blog/post/how_to_crash_systemd_in_one_tweet (ну да, кто бы мог подумать, что параметр-то пустой будет, а?)
    ну или
    https://github.com/systemd/systemd/issues/5644
    > tmpfiles: R! /dir/.* destroys root

    https://github.com/systemd/systemd/issues/5441
    > Assertion 'path' failed .. Freezing execution

    уже не считаются, да?

    > а то скушно читать хейтеров systemd,

    Так возьмите и почитайте код systemd. Правда, можете сами стать хейтером.
    > одна слюна и никакой крошки

    Одни фантазии поттерофилов и никакой конкретики.

     
     
  • 5.45, Аноним, 19:17, 13/05/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    эту школоту надо заставить пользоваться своим фетишем, а не блеять о его офигенн... весь текст скрыт [показать]
     
  • 1.11, Аноним, 09:55, 12/05/2017 [ответить] [смотреть все]  
  • +2 +/
    Ах да, в убунту же сделали гостевой аккаунт Ещё в релизе 8 10 Так и не затес... весь текст скрыт [показать]
     
     
  • 2.14, Аноним, 10:17, 12/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Неожиданно вспомнил о нём когда человеку не случайному срочно понадобился комп,... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.28, нах, 14:32, 12/05/2017 [^] [ответить] [смотреть все]  
  • +/
    боюсь спросить - там adduser поломан уже насовсем, или не случайному - в смысл... весь текст скрыт [показать]
     
     
  • 4.33, Аноним, 15:23, 12/05/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    >полицаи пришли, cp искать

    И нашли в /bin?

     
     
  • 5.38, Аноним, 18:38, 12/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Поттеринг же, теперь cp в usr bin Вот так мы беспалевно храним ЦоПэ в bin cp,... весь текст скрыт [показать]
     
  • 4.50, Аноним, 23:44, 16/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Да в чем пилять юмор Я уж и гугол теребил И в рестриктет шел cp нормально рабо... весь текст скрыт [показать]
     
  • 1.47, Аноним, 13:50, 15/05/2017 [ответить] [смотреть все]  
  • –1 +/
    А я уже думал на что же переходить с LinuxMint 17 который на основе 14 04 Тогд... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor