URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 100952
[ Назад ]

Исходное сообщение
"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."

Отправлено opennews , 19-Дек-14 17:03 
Компания Alert Logic сообщила (https://www.alertlogic.com/blog/dont-let-grinch-steal-christmas/) о выявлении критической уязвимости в Linux, позволяющей локальному пользователю выполнить некоторые команды с правами root. Уязвимости даже было присвоено отдельное имя "Grinch", и она была причислена к категории таких  сверхопасных проблем, как  Shellshock, Heartbleed и POODLE. Некоторые издания (http://www.itworld.com/article/2860035/this-linux-grinch-cou...) подхватили эту информацию и распространили данные о появлении опасной проблемы, затрагивающей фундаментальные основы организации авторизации пользователей в Linux.


Компания Red Hat поспешила успокоить пользователей (https://access.redhat.com/articles/1298913), так как, на деле, "Grinch" не является уязвимостью и даже ошибкой, а представляет собой штатную возможность. Пользователи, добавленные в группу "wheel" рассматриваются как администраторы локальной системы, которым  PackageKit предоставляет возможность без ввода пароля установить пакеты из заслуживающих доверие репозиториев, но только при выполнении команд из локальной консоли, когда пользователь, имеющих статус администратора, имеет физический доступ к системе. При входе по ssh подобная возможность блокируется.


URL: https://access.redhat.com/articles/1298913
Новость: http://www.opennet.me/opennews/art.shtml?num=41307


Содержание

Сообщения в этом обсуждении
"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено Аноним , 19-Дек-14 17:03 
Это не баг, а фича!

"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено Аноним , 19-Дек-14 17:11 
А кто-то здесь недавно возражал, что журнализды повадились раздувать из мухи слона. Не разберутся, зато уже имя дадут и орут во всю глотку.

"Уязвимость Grinch оказалась штатной возможностью..."
Отправлено arisu , 19-Дек-14 20:52 
> А кто-то здесь недавно возражал, что журнализды повадились раздувать из мухи слона.
> Не разберутся, зато уже имя дадут и орут во всю глотку.

ты это. по ссылке-то ходил, оригинал читал?


"Уязвимость Grinch оказалась штатной возможностью..."
Отправлено 6651156156 , 20-Дек-14 00:19 
A report has been released detailing an issue that the reporter is naming "Grinch". This report incorrectly classifies expected behavior as a security issue.

"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено EuPhobos , 22-Дек-14 10:41 
Особенно доставляет заголовок этой темы. "...дистрибутивов"

"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено Аноним , 19-Дек-14 17:18 
Опасная уязвимость: админы могут админить! :)

"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено Fox Mulder , 19-Дек-14 17:40 
за чтоооооооооооо!!??!!!!!???!!11

"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено A.Stahl , 19-Дек-14 17:52 
>Пользователи, добавленные в группу "wheel" рассматриваются как администраторы локальной системы

Ну это действительно неочевидно. Вполне нормально, что это восприняли как дыру.


"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено Stax , 19-Дек-14 18:02 
> Ну это действительно неочевидно. Вполне нормально, что это восприняли как дыру.

Для тех, кому неочевидно, инсталлятор явно спрашивает при создании пользователей "добавить пользователя в администраторы?". И добавляет в wheel только если стоит галочка.

А при ручном создании потом нужно явно руками добавить в группу, очевидно осознавая, зачем это делается.


"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено irinat , 19-Дек-14 18:05 
> действительно неочевидно

О чём ты говоришь? wheel в Unix-подобных системах используется чуть ли не 30 лет уже. Это всё равно что сказать, что не очевидно, что некто Администратор в Windows может управлять учётной записью главы фирмы. Вон же он, администратор, на рисепшене сидит. Вполне нормально воспринять это как дыру.


"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено A.Stahl , 19-Дек-14 18:50 
Я, например, впервые слышу про это колесо. Я, правда, не админ, но к линуксу отношение имею.

"Уязвимость Grinch оказалась штатной возможностью..."
Отправлено arisu , 19-Дек-14 20:53 
> Я, например, впервые слышу про это колесо.

ну и зря.


"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено Аноним , 19-Дек-14 21:31 
стыдно! я тоже не админ, к гнулинуксам отношения не имею, я ими пользуюсь, но колесо знаю

"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено anonimouse , 20-Дек-14 04:31 
>Я, например, впервые слышу про это колесо.

Поаехали тут ...

>Я, правда, не админ, но к линуксу отношение имею.

Линуксоидам пиво носишь? Гут Волдемар, гут!


"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено robux , 19-Дек-14 19:07 
Много раз видел этот wheel в /etc/group, но ни разу не осознавал, что это админы.
Как то "колесо" и "админ" не вяжется в мозгу.

"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено Stax , 19-Дек-14 19:23 
От этого http://en.wiktionary.org/wiki/big_wheel пошло:

big wheel (plural big wheels)

    (idiomatic) A person with a great deal of power or influence, especially a high-ranking person in an organization.

        She's a big wheel at IBM.

Но да, в русском языке такой идиомы нет.


"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено fly , 19-Дек-14 21:15 
She's a big wheel at IBM.
А в русском - "большая шишка" или "важная птица".

"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено nik , 19-Дек-14 21:38 
А еще есть (по ассоциации) "грудь колесом" ;)

"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено EHLO , 19-Дек-14 22:04 
> She's a big wheel at IBM.
> А в русском - "большая шишка" или "важная птица".

# gpasswd -a васильев шишка


"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено anonimouse , 20-Дек-14 04:33 
> # gpasswd -a васильев шишка

Натянуть васильева на шишку?!?! Мамо этож ахтунгнет какойто 8-о


"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено Аноним , 21-Дек-14 14:40 
Пользователю макоси везде коллеги мерещатся?

"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено Аноним , 22-Дек-14 13:52 
She is a big sheeshqua at IBM.


Алсо, спасибо, никогда не задумывался о wheel.


P.S.: тоже не админ, но как ни разу не наткнуться на wheel не понимаю.

Arch users rejoice!


"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено Led , 22-Дек-14 22:22 
> Алсо, спасибо, никогда не задумывался о wheel.
> как ни разу не наткнуться на wheel не понимаю.

Вот поэтому:

> Arch users rejoice!

В школе этого не проходят.


"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено Сергей , 19-Дек-14 22:29 
Штурвал

"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено Аноним , 21-Дек-14 14:41 
> Штурвал

Руль :)


"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено robux , 20-Дек-14 11:20 
> От этого http://en.wiktionary.org/wiki/big_wheel пошло:
> big wheel (plural big wheels)
>     (idiomatic) A person with a great deal of
> power or influence, especially a high-ranking person in an organization.
>         She's a big wheel
> at IBM.
> Но да, в русском языке такой идиомы нет.

Хаа, вспомнились слова из "Sweet home Alabama":

Big wheels keep on turning
Carry me home to see my kin
Singing songs about the Southland
I miss Alabamy once again
...


"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено aurved , 19-Дек-14 19:28 
Во FreeBSD только пользователи входящие в группу wheel могут удаленно выполнить команду
su -, ввести рутовой пароль и стать рутом.
И по умолчанию же залогиниться рутом по ssh нельзя.

"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено Jan Dakinevich , 22-Дек-14 01:09 
> Во FreeBSD только пользователи входящие в группу wheel...

Если быть точным, данное поведение определяется конфигурацией pam_group(8). Для su это файл /etc/pam.d/su

Если хотите, можете поменять группу (я долгое время указывал group=operator) или, например, поменять ruser на luser. Но лично я не уверен в безопасности данного подхода и последнее время предпочитаю использовать sudo.


"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено Аноним , 19-Дек-14 19:47 
> Много раз видел этот wheel в /etc/group, но ни разу не осознавал, что это админы.

Всю жизнь была административной группой. В некоторых *никсах даже файлы которые могут трогать только админы - создаются как root (owner) и wheel (group).


"Уязвимость Grinch оказалась штатной возможностью..."
Отправлено arisu , 19-Дек-14 20:53 
> Как то "колесо" и "админ" не вяжется в мозгу.

зато «админ» и «корень» очень вяжутся.


"Уязвимость Grinch оказалась штатной возможностью..."
Отправлено Аноним , 19-Дек-14 21:33 
>> Как то "колесо" и "админ" не вяжется в мозгу.
> зато «админ» и «корень» очень вяжутся.

бывают и от тебя правильные слова


"Уязвимость Grinch оказалась штатной возможностью..."
Отправлено Аноним , 19-Дек-14 23:44 
Это не "корень".
В BSD-системах root имеет имя Charlie Root.
http://org.netbase.org/charlie-root.html

"Уязвимость Grinch оказалась штатной возможностью..."
Отправлено arisu , 20-Дек-14 00:00 
> Это не "корень".

так и «wheel» не «колесо».


"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено ишпошт , 19-Дек-14 20:49 
А если дыра на ресепшене "вполне себе даже очень", то можно и нормально воспринять )))

"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено Куяврег , 21-Дек-14 14:56 
# grep wheel /etc/sudoers
## Uncomment to allow members of group wheel to execute any command
# %wheel ALL=(ALL) ALL
# %wheel ALL=(ALL) NOPASSWD: ALL

(gentoo)

# grep wheel /usr/local/etc/sudoers
## Uncomment to allow members of group wheel to execute any command
# %wheel ALL=(ALL) ALL
# %wheel ALL=(ALL) NOPASSWD: ALL

(FreeBSD)

не, никогда не видели, догадаться невозможно. вот какая загадочная группа wheel. хтобымогпадумать?


"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено Язабан , 19-Дек-14 17:52 
Мне кажется обойти проверку SSH просто.

"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено Аноним , 19-Дек-14 18:09 
Тебе кажется.

"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено Stax , 19-Дек-14 18:15 
> Мне кажется обойти проверку SSH просто.

Если вы считаете, что в Polkit настолько крупная дыра, попробуйте обойти, а не теоретизировать насчет "кажется". Разные разрешения для локального и удаленного пользователя работают там совершенно четко. В принципе, он как раз для этой цели и создавался, чтобы можно было по-разному настраивать разрешения в таких ситуациях.


"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено Mr. Cake , 19-Дек-14 20:15 
Подключился к screen-сессии, которая была до этого запущена локально, и вот ты уже "пользователь с физическим доступом".

"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено Аноним , 20-Дек-14 10:25 
Подключился к роботу, который по команде нажимает на кнопки реальной клавиатуры, может нажать кнопку reset выдернуть шнур питания и смотреть куда прикажут ( а так же физически вынести сервер )...

"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено Аноним , 19-Дек-14 18:21 
Вперёд, действуйте! Увидим вас на pwnium 2015.

"Уязвимость Grinch оказалась штатной возможностью..."
Отправлено arisu , 19-Дек-14 20:51 
на деле люди вполне правильно написали о том, что policykit — крап. компания красношап, естественно, поспешила заявить, что хоть и крап, но родной, а потому не пахнет.

"Уязвимость Grinch оказалась штатной возможностью..."
Отправлено Аноним , 19-Дек-14 21:35 
> на деле люди вполне правильно написали о том, что policykit — крап.
> компания красношап, естественно, поспешила заявить, что хоть и крап, но родной,
> а потому не пахнет.

она всего-лишь заявила, что надо сначала документацию внимательнее изучать


"Уязвимость Grinch оказалась штатной возможностью..."
Отправлено arisu , 19-Дек-14 21:35 
> она всего-лишь заявила, что надо сначала документацию внимательнее изучать

от этого крап не превращается в конфетку.


"Уязвимость Grinch оказалась штатной возможностью..."
Отправлено Аноним , 20-Дек-14 14:00 
>> она всего-лишь заявила, что надо сначала документацию внимательнее изучать
> от этого крап не превращается в конфетку.

Зато вы, возможно, перестанете быть неосилятором и разбрасываться заявлениями вида "не читал, но осуждаю".


"Уязвимость Grinch оказалась штатной возможностью..."
Отправлено arisu , 20-Дек-14 15:46 
> Зато вы, возможно, перестанете быть неосилятором и разбрасываться заявлениями вида "не
> читал, но осуждаю".

ты лжец.


"Уязвимость Grinch оказалась штатной возможностью..."
Отправлено anonimouse , 20-Дек-14 04:39 
> на деле люди вполне правильно написали о том, что policykit — крап.

Скоро ты с тоской будешь вспоминать его как забавную игру в крысу :)
Ибо Потцеринг наверняка отреагирует и пофиксит этот крап. Как - вы знаете :)



"Уязвимость Grinch оказалась штатной возможностью..."
Отправлено Аноним , 20-Дек-14 13:59 
Неа. Он сейчас занят починкой докера, это еще полгода минимум.

"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено анон , 19-Дек-14 22:41 
Alert logic у Касперского научилась плохим вещам.

"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено Аноним , 20-Дек-14 10:29 
В одной конторе один главный специалист "типа программист" открыл со своего компьютера через "Сетевое окружение" свой же компьютер и обнаружил полный доступ к диску Цэ. После чего устроил комиссию с разборкой о якобы нарушенной сетевой безопасности и закономерно получил полный позор на свою голову.

Что в свете рассматриваемой темы доказывает, что идиотизм - явление глобальное.


"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено Antonim , 20-Дек-14 17:21 
В тексте новости ляп не простительный для Openneta. Как из самого поста видно уязвимость только в настройках Дистров с  PackageKit - но скопом все Linux'ы сложены. Шапка,Федора и подобные им - в группе "особого внимания".
Вот и вся новость. Тщательней надо бы.

"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено Аноним , 22-Дек-14 09:57 
FUD, следующая итерация...

"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Отправлено EuPhobos , 22-Дек-14 10:40 
Меня больше раздутый заголовок данной новости смущает.

> 19.12.2014 17:00  Уязвимость Grinch оказалась штатной возможностью дистрибутивов Linux

А на самом деле, не во всех дистрибутивах. Например в убунте этот баг называется sudo, а в дебиане его нужно отдельно устанавливать, и прописывать в sudoers или vigr, что б этот "БАГ" заработал.