OpenNews: Уязвимость в Ubuntu, открывающая доступ к чужим файлам из гостевого сеанса

12.05.2017 09:01 Уязвимость в Ubuntu, открывающая доступ к чужим файлам из гостевого сеанса

В Ubuntu временно заблокирована возможность использования гостевого сеанса в дисплейном менеджере LightDM из-за выявления уязвимости (CVE-2017-8900), которая позволяет получить доступ к файлам вне гостевой директории, в том числе к файлам в домашних каталогах обычных пользователей. Проблема проявляется начиная с Ubuntu 16.10 и вызвана прекращением применения ограничений AppArmor (в Ubuntu 16.04 и более ранних выпусках применялся профиль /usr/lib/lightdm/lightdm-guest-session) после перехода к использованию systemd для управления сеансами. В качестве возможного пути устранения проблемы рассматривается использование модуля pam_apparmor для применения ограничивающего профиля AppArmor.

исправить +10 +/–

Лицензия: CC-BY

Тип: Проблемы безопасности

Ключевые слова: lightdm

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение

Линейный вид | Ajax | Показать все | RSS

1.1, Аноним, 09:09, 12/05/2017 [ответить] [смотреть все] [к модератору]

+7 +/–

Показателен ответ разработчиков Ubuntu на сообщение о баге, которое было отправлено ещё в феврале:

"Ow. Unfortunately I don't have any information on how to fix this since most of the work on guest sessions and systemd was done by Martin Pitt."

В итоге, после трёх месяцев не придумали ничего, чем просто отключить гостевой сеанс.

2.2, Аноним, 09:11, 12/05/2017 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+23 +/–
Зря ругаешь. Это обычный самоотвод, т.к. вопрос вне компетенций данного инженера. Во всем виноват systemd, это очевидно.

3.26, Аноним, 14:28, 12/05/2017 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
То есть в других дистрибутивах с systemd всё нормально, и только в Ubuntu пробле... весь текст скрыт [показать]

4.35, Адекват, 15:27, 12/05/2017 [^] [ответить] [смотреть все] [к модератору]	–2 +/–
Без СистемД данная проблема была ... весь текст скрыт [показать]

5.40, Аноним, 19:50, 12/05/2017 [^] [ответить] [смотреть все] [к модератору]	–1 +/–
а без убунты, а без линукса?

5.43, Аноним, 15:37, 13/05/2017 [^] [ответить] [смотреть все] [к модератору]	–2 +/–
То есть если бы был открыт доступ к ssh с публичным паролем, это была бы проблем... весь текст скрыт [показать]

1.5, Вот и выросло поколение, 09:35, 12/05/2017 [ответить] [смотреть все] [к модератору]	+14 +/–
Нас в садике учили: если не хочешь, чтобы другие другие видели твои файлы, сделай chmod 700 $HOME.

2.9, hoopoe, 09:47, 12/05/2017 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+12 +/–
там немного другое: на системе есть зареганые юзеры - они могут видеть файлы друг друга, и есть гостевой сеанс - он не должен видеть файлы остальных узверей. вот это "не должен" и сломали при внедрении systemd вообще странно что гостя тупо не засунули под контейнера, это самый очевидный способ загнать в клетку

3.13, Аноним, 10:16, 12/05/2017 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
засовывать его в контейнер ещё тот аттракцион, причём с учётом того что нужно бу... весь текст скрыт [показать]

3.15, X3asd, 10:17, 12/05/2017 [^] [ответить] [смотреть все] [к модератору]	–1 +/–
наверно могут те -- которые сделали их друг для друга доступными через вызов set... весь текст скрыт [показать]

4.17, iPony, 10:35, 12/05/2017 [^] [ответить] [смотреть все] [к модератору]	+/–
Неа По дефолту юзеры без проблем могут шастать по чужой домашней папке https ... весь текст скрыт [показать]

5.18, UUU, 11:17, 12/05/2017 [^] [ответить] [смотреть все] [к модератору]	–3 +/–
1 find home user -type f -exec chmod 600 2 find home user -type d ... весь текст скрыт [показать]

6.19, Аноним, 11:34, 12/05/2017 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
1 Достаточно или нужно с кавычками 2 Что будет если перепутать посл... весь текст скрыт [показать]

7.22, UUU, 11:45, 12/05/2017 [^] [ответить] [смотреть все] [к модератору]	–2 +/–
1 На практике достаточно 2 Не войдете потом ни в одну папку в домашней директ... весь текст скрыт [показать]

8.48, Аноним, 23:20, 16/05/2017 [^] [ответить] [смотреть все] [к модератору]	–1 +/–
Подозреваю ты хотел сказать не перепутайте -type d 700 с -type d 600... весь текст скрыт [показать]

6.21, Ilya Indigo, 11:40, 12/05/2017 [^] [ответить] [смотреть все] [к модератору]	+4 +/–
$ chmod -R a=,u+rwX ~

7.49, Аноним, 23:31, 16/05/2017 [^] [ответить] [смотреть все] [к модератору]	–2 +/–
chmod -R go-rwx у группы и осталных отобрать read, write, execute А что ваш ... весь текст скрыт [показать]

8.51, Ilya Indigo, 23:48, 16/05/2017 [^] [ответить] [смотреть все] [к модератору]	+3 +/–
Мой набор букв означает сначала рекурсивно забрать все права у всех 000 , а п... весь текст скрыт [показать]

7.52, Аноним, 09:44, 18/05/2017 [^] [ответить] [смотреть все] [к модератору]	+/–
Тут ~/bin/* передают тебе привет.

8.53, Ilya Indigo, 15:05, 18/05/2017 [^] [ответить] [смотреть все] [к модератору]	+/–
В том-то и дело, что зонды, спайвари и прочая нечисть не сможет этого сделать А... весь текст скрыт [показать]

5.46, XoRe, 08:32, 15/05/2017 [^] [ответить] [смотреть все] [к модератору]	+/–
В зависимости от дефолтных настроек ... весь текст скрыт [показать]

3.24, yan123, 14:16, 12/05/2017 [^] [ответить] [смотреть все] [к модератору]	+6 +/–
Тогда все юзеры идут в группу users, а гость в группу guest, права выставляем соответсвенно. (с) мопед не мой -- подход придуман где-то в ранних 70-х умными людьми и вроде как обкатан и железобетонно работал всё это время. Меня тоже в убунте иногда удивляет желание разработчиков прикрутить свои "велосипеды" вместо использования простого рабочего решения.

3.31, vitvegl, 14:45, 12/05/2017 [^] [ответить] [смотреть все] [к модератору]	+/–
он под "appaarmor"

3.42, Аноним, 21:37, 12/05/2017 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
Все давно уже есть, делаете специальную группу для этих вездешастающих юзеров, д... весь текст скрыт [показать]

3.44, Аноним, 19:15, 13/05/2017 [^] [ответить] [смотреть все] [к модератору]	+/–
Они могут видеть потому что являются членами группы, которой разрешено смотреть ... весь текст скрыт [показать]

2.16, Нанобот, 10:27, 12/05/2017 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	–1 +/–
трудное у тебя было детство, сочувствую

1.6, Аноним, 09:42, 12/05/2017 [ответить] [смотреть все] [к модератору]	+2 +/–
сколько ещё нам чудных открытий готовит системде

2.12, Crazy Alex, 10:13, 12/05/2017 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+6 +/–
Это ещё мелочи. Вот когда его ломать начнут...

3.20, J.L., 11:35, 12/05/2017 [^] [ответить] [смотреть все] [к модератору]	–2 +/–
поскорее бы, а то скушно читать хейтеров systemd, одна слюна и никакой крошки... весь текст скрыт [показать]

4.23, Аноним, 13:14, 12/05/2017 [^] [ответить] [смотреть все] [к модератору]

+11 +/–

>> Это ещё мелочи. Вот когда его ломать начнут...
> поскорее бы,

А что, самостоятельные сломы типа
https://github.com/systemd/systemd/issues/1143
> By setting the date to sometime in 2038, we can make systemd getting stuck printing systemd[1]: Time has been changed over and over again.

или
https://www.agwa.name/blog/post/how_to_crash_systemd_in_one_tweet (ну да, кто бы мог подумать, что параметр-то пустой будет, а?)
ну или
https://github.com/systemd/systemd/issues/5644
> tmpfiles: R! /dir/.* destroys root

https://github.com/systemd/systemd/issues/5441
> Assertion 'path' failed .. Freezing execution

уже не считаются, да?

> а то скушно читать хейтеров systemd,

Так возьмите и почитайте код systemd. Правда, можете сами стать хейтером.
> одна слюна и никакой крошки

Одни фантазии поттерофилов и никакой конкретики.

5.45, Аноним, 19:17, 13/05/2017 [^] [ответить] [смотреть все] [к модератору]	+3 +/–
эту школоту надо заставить пользоваться своим фетишем, а не блеять о его офигенн... весь текст скрыт [показать]

1.11, Аноним, 09:55, 12/05/2017 [ответить] [смотреть все] [к модератору]	+2 +/–
Ах да, в убунту же сделали гостевой аккаунт Ещё в релизе 8 10 Так и не затес... весь текст скрыт [показать]

2.14, Аноним, 10:17, 12/05/2017 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+1 +/–
Неожиданно вспомнил о нём когда человеку не случайному срочно понадобился комп,... весь текст скрыт [показать] [показать ветку]

3.28, нах, 14:32, 12/05/2017 [^] [ответить] [смотреть все] [к модератору]	+/–
боюсь спросить - там adduser поломан уже насовсем, или не случайному - в смысл... весь текст скрыт [показать]

4.33, Аноним, 15:23, 12/05/2017 [^] [ответить] [смотреть все] [к модератору]	+4 +/–
>полицаи пришли, cp искать И нашли в /bin?

5.38, Аноним, 18:38, 12/05/2017 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
Поттеринг же, теперь cp в usr bin Вот так мы беспалевно храним ЦоПэ в bin cp,... весь текст скрыт [показать]

4.50, Аноним, 23:44, 16/05/2017 [^] [ответить] [смотреть все] [к модератору]	–1 +/–
Да в чем пилять юмор Я уж и гугол теребил И в рестриктет шел cp нормально рабо... весь текст скрыт [показать]

1.47, Аноним, 13:50, 15/05/2017 [ответить] [смотреть все] [к модератору]	–1 +/–
А я уже думал на что же переходить с LinuxMint 17 который на основе 14 04 Тогд... весь текст скрыт [показать]

Добавить комментарий