OpenForum RSS: Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го... https://www.opennet.ru/openforum/vsluhforumID3/111221.html В Ubuntu временно заблокирована (https://www.ubuntu.com/usn/usn-3285-1/) возможность использования гостевого сеанса в дисплейном менеджере LightDM из-за выявления уязвимости (https://bugs.launchpad.net/ubuntu/+source/lightdm/+bug/1663157) (CVE-2017-8900 (https://security-tracker.debian.org/tracker/CVE-2017-8900)), которая позволяет получить доступ к файлам вне гостевой директории, в том числе к файлам в домашних каталогах обычных пользователей. Проблема проявляется в начиная с Ubuntu 16.10 и вызвана прекращением применения ограничений AppArmor (в Ubuntu 16.04 и более ранних выпусках применялся профиль /usr/lib/lightdm/lightdm-guest-session) после перехода к использованию systemd для управления сеансами. В качестве возможного пути устранения проблемы рассматривается использование модуля pam_apparmor для применения ограничивающего профиля AppArmor.<br><br><br><br>URL: https://www.ubuntu.com/usn/usn-3285-1/<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=46537<br> Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/111221.html#55 Tue, 24 Jul 2018 19:00:38 GMT Эта долбанная AppArmor вместо того чтобы защищать систему наоборот позволяет получить доступ над всем сервером на ubuntu и debian злодей 3 раза уже взламывал через нее мой сервер представляясь как кэш полиция Гугла блокируя мои директивы, пристраивая свой кэш и воруя мой трафик, сразу и не заметишь, при этом не позволяя мне отключить ее, приходилось полностью переустанавливать систему и сервер, если бы не отдельный аккаунт на VPS биллинг то полностью бы потерял контроль над сервером. Разработчикам стоит задуматься над этим полуфабрикатом а не запускать ее по умолчанию.<br> Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го... (Ilya Indigo) https://www.opennet.ru/openforum/vsluhforumID3/111221.html#53 Thu, 18 May 2017 12:05:31 GMT &gt; Тут ~/bin/* передают тебе привет.<br><br>В том-то и дело, что зонды, спайвари и прочая нечисть не сможет этого сделать.<br>А если Вы разработчик и у Вас в ~/bin/ проекты, то<br>1 Вы сами должны знать об этом и управлять правами!<br>2 При желании, Вам ничего не должно мешать запустить их через оболочку sh ~/bin/appname<br>3 QtCreator, возможно и другие IDE, сами при пересборке проекта назначают бит исполнения свеже-собранному эльфу.<br> Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/111221.html#52 Thu, 18 May 2017 06:44:26 GMT Тут ~/bin/* передают тебе привет.<br> Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го... (Ilya Indigo) https://www.opennet.ru/openforum/vsluhforumID3/111221.html#51 Tue, 16 May 2017 20:48:30 GMT &gt;&gt; $ chmod -R a=,u+rwX ~ <br>&gt; chmod -R go-rwx ~ # у группы и осталных отобрать read, write, <br>&gt; execute <br>&gt; А что ваш набор букв означает?<br><br>Мой "набор букв" означает сначала рекурсивно забрать все права у всех (000), а потом рекурсивно дать права на чтение, запись и открытие директорий владельцу (600 для файлов и 700 для директорий) Всё в одном "наборе букв".<br><br>Ваш же "набор букв" только забирает права у группы и остальных, но не забирает бит исполнения у владельца, а также не гарантирует наличие прав на чтение, запись и открытие директорий у его владельца.<br> Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/111221.html#50 Tue, 16 May 2017 20:44:08 GMT Да в чем пилять юмор. Я уж и гугол теребил. И в рестриктет шел cp нормально работает.<br>Что за фишка с гостевым пользователем и cp?<br> Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/111221.html#49 Tue, 16 May 2017 20:31:17 GMT &gt; $ chmod -R a=,u+rwX ~ <br><br>chmod -R go-rwx ~ # у группы и осталных отобрать read, write, execute<br>А что ваш набор букв означает?<br><br><br> Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/111221.html#48 Tue, 16 May 2017 20:20:58 GMT &gt; 2. Не войдете потом ни в одну папку в домашней директории.<br><br>Подозреваю ты хотел сказать "не перепутайте "-type d ... 700" с "-type d ... 600"<br> Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/111221.html#47 Mon, 15 May 2017 10:50:40 GMT &gt; Проблема проявляется начиная с Ubuntu 16.10 и вызвана прекращением применения ограничений AppArmor (в Ubuntu 16.04 и более ранних выпусках применялся профиль /usr/lib/lightdm/lightdm-guest-session) после перехода к использованию systemd для управления сеансами.<br><br>А я уже думал на что же переходить с LinuxMint 17 (который на основе 14.04)<br><br>&gt; Linux Mint 18 is based on Ubuntu 16.04.<br><br>Тогда надо брать.<br> Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го... (XoRe) https://www.opennet.ru/openforum/vsluhforumID3/111221.html#46 Mon, 15 May 2017 05:32:41 GMT &gt; Неа. По дефолту юзеры без проблем могут шастать по чужой домашней папке <br><br>В зависимости от дефолтных настроек.<br>