The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

10.08.2016 09:16  Серьёзная уязвимость в инфраструктуре проекта Fedora Linux

В системе Fedora Account System (FAS), используемой для авторизации и организации входа разработчиков Fedora в различные web-сервисы проекта, в том числе в репозитории git и Bugzilla, выявлена проблема с безопасностью (CVE-2016-1000038), позволяющая без авторизации выполнить HTTP-запрос от имени любого пользователя инфраструктуры.

Уязвимость связана с логической ошибкой в коде, из-за которой web-приложение FAS может принять некорректный поддельный клиентский сертификат. При установке заголовка X-Client-Verify осуществлялось копирование логина из заголовка X-Client-CN, выставлялся флаг успешной авторизации и пропускалась стадия проверки пароля. Проблема решена в свежем выпуске FAS путём удаления кода поддержки авторизации по клиентским сертификатам, который выглядел скорее как заглушка, чем работающий код.

При отправке запроса от имени участника проекта Fedora, имеющего высокий уровень доступа, атакующий мог добавить, отредактировать или удалить параметры учетной записи пользователя или группы. Так как FAS является открытой разработкой и используется не только в Fedora, разработчикам проектов, применяющих FAS, рекомендуется срочно обновить систему до последнего выпуска.

Проблема выявлена разработчиками Fedora и уже устранена в рабочем сервисе. Репозитории пакетов, компоненты дистрибутива Fedora и пользователи не пострадали. В настоящее время проводится дополнительный аудит старых логов для выявления признаков возможных манипуляций параметрами пользователей и групп. На текущий момент никаких признаков, что об уязвимости было известно злоумышленникам, не найдено. В целостности репозиториев разработчики не сомневаются, так как любая активность в интерфейсе dist-git, связанная с содержимым пакетов, приводит к отправке уведомления сопровождающим. При этом через web-сервисы повлиять на отправку подобных уведомлений невозможно.

  1. Главная ссылка к новости (http://www.compatdb.org/forums...)
  2. OpenNews: В инфраструктуре проекта Fedora выявлены проблемы с безопасностью
  3. OpenNews: Взлом инфраструктуры свободных проектов Deluge и qBittorrent
  4. OpenNews: Взлом инфраструктуры Linux Mint привёл к распространению ISO-образов с бэкдором
  5. OpenNews: Взломан официальный форум проекта Ubuntu
  6. OpenNews: Серверы инфраструктуры Fedora и Red Hat были взломаны
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: fedora
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Аноним, 09:55, 10/08/2016 [ответить] [смотреть все]    [к модератору]
  • +13 +/
    Это просто какая-то диверсия, очень похоже на бэкдор:

    -        if not user_name:
    -            if cherrypy.request.headers['X-Client-Verify'] == 'SUCCESS':
    -                user_name = cherrypy.request.headers['X-Client-CN']
    -                cherrypy.request.fas_provided_username = user_name
    -                using_ssl = True
    -

     
     
  • 2.8, Анинимим, 12:06, 10/08/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • –2 +/
    а сколько еще забекдоренных пакетов в федоренных репах теперь...
     
     
  • 3.10, Аноним, 14:29, 10/08/2016 [^] [ответить] [смотреть все]    [к модератору]
  • +6 +/
    В Федоре везде!
    В вашем любимом дистрибутиве нигде!
     
     
  • 4.24, Аноним, 11:33, 17/08/2016 [^] [ответить] [смотреть все]    [к модератору]
  • +/
    Хорошо, что вы признали ущербность вашей федоры.
     
  • 1.3, Аноним, 09:58, 10/08/2016 [ответить] [смотреть все]     [к модератору]
  • +5 +/
    Три года назад в FAS уже латали дыру, похоже обещание провести аудит кода остали... весь текст скрыт [показать]
     
     
  • 2.21, hhg, 09:02, 12/08/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    обещанного три года ждут. вот, дождались.
     
  • 1.4, Онанимус, 10:01, 10/08/2016 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Вот, говорят, что никто не воспользовался и ничего не затронуто, а с чего тогда всполошились? Рутинная ревизия кода? Дай то Бог...
     
     
  • 2.7, Аноним, 11:58, 10/08/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    В новости этого не написано В ней написано не пострадали ... весь текст скрыт [показать] [показать ветку]
     
  • 1.5, Аноним, 10:53, 10/08/2016 [ответить] [смотреть все]    [к модератору]  
  • –4 +/
    Надо было ставить CentOS.
     
     
  • 2.11, Аноним, 16:02, 10/08/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –6 +/
    Продано, Fedora и CentOS RedHat сейчас в режиме стагнации стабильности redhat... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.19, adminlocalhost, 08:07, 11/08/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Что кому продано?
     
     
  • 4.26, Аноним, 11:37, 17/08/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > Что кому продано?

    Тебе не пофигу, на локалхосте-то?

     
  • 3.25, Аноним, 11:36, 17/08/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Режим стагнации стабильности у дебиана, который уже не первый год умирает от net... весь текст скрыт [показать]
     
  • 1.27, Аноним, 10:41, 18/08/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
    Fedorino горе
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor