Компания Alert Logic сообщила (https://www.alertlogic.com/blog/dont-let-grinch-steal-christmas/) о выявлении критической уязвимости в Linux, позволяющей локальному пользователю выполнить некоторые команды с правами root. Уязвимости даже было присвоено отдельное имя "Grinch", и она была причислена к категории таких  сверхопасных проблем, как  Shellshock, Heartbleed и POODLE. Некоторые издания (http://www.itworld.com/article/2860035/this-linux-grinch-cou...) подхватили эту информацию и распространили данные о появлении опасной проблемы, затрагивающей фундаментальные основы организации авторизации пользователей в Linux.

Компания Red Hat поспешила успокоить пользователей (https://access.redhat.com/articles/1298913), так как, на деле, "Grinch" не является уязвимостью и даже ошибкой, а представляет собой штатную возможность. Пользователи, добавленные в группу "wheel" рассматриваются как администраторы локальной системы, которым  PackageKit предоставляет возможность без ввода пароля установить пакеты из заслуживающих доверие репозиториев, но только при выполнении команд из локальной консоли, когда пользователь, имеющих статус администратора, имеет физический доступ к системе. При входе по ssh подобная возможность блокируется.

URL: https://access.redhat.com/articles/1298913
Новость: http://www.opennet.me/opennews/art.shtml?num=41307

• Уязвимость Grinch оказалась штатной возможностью дистрибутив...,Аноним, 17:03 , 19-Дек-14
• Уязвимость Grinch оказалась штатной возможностью дистрибутив...,Аноним, 17:11 , 19-Дек-14
  • Уязвимость Grinch оказалась штатной возможностью...,arisu, 20:52 , 19-Дек-14
    • Уязвимость Grinch оказалась штатной возможностью...,6651156156, 00:19 , 20-Дек-14
  • Уязвимость Grinch оказалась штатной возможностью дистрибутив...,EuPhobos, 10:41 , 22-Дек-14
• Уязвимость Grinch оказалась штатной возможностью дистрибутив...,Аноним, 17:18 , 19-Дек-14
  • Уязвимость Grinch оказалась штатной возможностью дистрибутив...,Fox Mulder, 17:40 , 19-Дек-14
• Уязвимость Grinch оказалась штатной возможностью дистрибутив...,A.Stahl, 17:52 , 19-Дек-14
  • Уязвимость Grinch оказалась штатной возможностью дистрибутив...,Stax, 18:02 , 19-Дек-14
  • Уязвимость Grinch оказалась штатной возможностью дистрибутив...,irinat, 18:05 , 19-Дек-14
    • Уязвимость Grinch оказалась штатной возможностью дистрибутив...,A.Stahl, 18:50 , 19-Дек-14
      • Уязвимость Grinch оказалась штатной возможностью...,arisu, 20:53 , 19-Дек-14
      • Уязвимость Grinch оказалась штатной возможностью дистрибутив...,Аноним, 21:31 , 19-Дек-14
      • Уязвимость Grinch оказалась штатной возможностью дистрибутив...,anonimouse, 04:31 , 20-Дек-14
    • Уязвимость Grinch оказалась штатной возможностью дистрибутив...,robux, 19:07 , 19-Дек-14
      • Уязвимость Grinch оказалась штатной возможностью дистрибутив...,Stax, 19:23 , 19-Дек-14
        • Уязвимость Grinch оказалась штатной возможностью дистрибутив...,fly, 21:15 , 19-Дек-14
          • Уязвимость Grinch оказалась штатной возможностью дистрибутив...,nik, 21:38 , 19-Дек-14
          • Уязвимость Grinch оказалась штатной возможностью дистрибутив...,EHLO, 22:04 , 19-Дек-14
            • Уязвимость Grinch оказалась штатной возможностью дистрибутив...,anonimouse, 04:33 , 20-Дек-14
              • Уязвимость Grinch оказалась штатной возможностью дистрибутив...,Аноним, 14:40 , 21-Дек-14
          • Уязвимость Grinch оказалась штатной возможностью дистрибутив...,Аноним, 13:52 , 22-Дек-14
            • Уязвимость Grinch оказалась штатной возможностью дистрибутив...,Led, 22:22 , 22-Дек-14
        • Уязвимость Grinch оказалась штатной возможностью дистрибутив...,Сергей, 22:29 , 19-Дек-14
          • Уязвимость Grinch оказалась штатной возможностью дистрибутив...,Аноним, 14:41 , 21-Дек-14
        • Уязвимость Grinch оказалась штатной возможностью дистрибутив...,robux, 11:20 , 20-Дек-14
      • Уязвимость Grinch оказалась штатной возможностью дистрибутив...,aurved, 19:28 , 19-Дек-14
        • Уязвимость Grinch оказалась штатной возможностью дистрибутив...,Jan Dakinevich, 01:09 , 22-Дек-14
      • Уязвимость Grinch оказалась штатной возможностью дистрибутив...,Аноним, 19:47 , 19-Дек-14
      • Уязвимость Grinch оказалась штатной возможностью...,arisu, 20:53 , 19-Дек-14
        • Уязвимость Grinch оказалась штатной возможностью...,Аноним, 21:33 , 19-Дек-14
        • Уязвимость Grinch оказалась штатной возможностью...,Аноним, 23:44 , 19-Дек-14
          • Уязвимость Grinch оказалась штатной возможностью...,arisu, 00:00 , 20-Дек-14
    • Уязвимость Grinch оказалась штатной возможностью дистрибутив...,ишпошт, 20:49 , 19-Дек-14
  • Уязвимость Grinch оказалась штатной возможностью дистрибутив...,Куяврег, 14:56 , 21-Дек-14
• Уязвимость Grinch оказалась штатной возможностью дистрибутив...,Язабан, 17:52 , 19-Дек-14
  • Уязвимость Grinch оказалась штатной возможностью дистрибутив...,Аноним, 18:09 , 19-Дек-14
  • Уязвимость Grinch оказалась штатной возможностью дистрибутив...,Stax, 18:15 , 19-Дек-14
    • Уязвимость Grinch оказалась штатной возможностью дистрибутив...,Mr. Cake, 20:15 , 19-Дек-14
      • Уязвимость Grinch оказалась штатной возможностью дистрибутив...,Аноним, 10:25 , 20-Дек-14
  • Уязвимость Grinch оказалась штатной возможностью дистрибутив...,Аноним, 18:21 , 19-Дек-14
• Уязвимость Grinch оказалась штатной возможностью...,arisu, 20:51 , 19-Дек-14
  • Уязвимость Grinch оказалась штатной возможностью...,Аноним, 21:35 , 19-Дек-14
    • Уязвимость Grinch оказалась штатной возможностью...,arisu, 21:35 , 19-Дек-14
      • Уязвимость Grinch оказалась штатной возможностью...,Аноним, 14:00 , 20-Дек-14
        • Уязвимость Grinch оказалась штатной возможностью...,arisu, 15:46 , 20-Дек-14
  • Уязвимость Grinch оказалась штатной возможностью...,anonimouse, 04:39 , 20-Дек-14
    • Уязвимость Grinch оказалась штатной возможностью...,Аноним, 13:59 , 20-Дек-14
• Уязвимость Grinch оказалась штатной возможностью дистрибутив...,анон, 22:41 , 19-Дек-14
• Уязвимость Grinch оказалась штатной возможностью дистрибутив...,Аноним, 10:29 , 20-Дек-14
• Уязвимость Grinch оказалась штатной возможностью дистрибутив...,Antonim, 17:21 , 20-Дек-14
• Уязвимость Grinch оказалась штатной возможностью дистрибутив...,Аноним, 09:57 , 22-Дек-14
• Уязвимость Grinch оказалась штатной возможностью дистрибутив...,EuPhobos, 10:40 , 22-Дек-14

Это не баг, а фича!

А кто-то здесь недавно возражал, что журнализды повадились раздувать из мухи слона. Не разберутся, зато уже имя дадут и орут во всю глотку.

> А кто-то здесь недавно возражал, что журнализды повадились раздувать из мухи слона.
> Не разберутся, зато уже имя дадут и орут во всю глотку.

ты это. по ссылке-то ходил, оригинал читал?

A report has been released detailing an issue that the reporter is naming "Grinch". This report incorrectly classifies expected behavior as a security issue.

Особенно доставляет заголовок этой темы. "...дистрибутивов"

Опасная уязвимость: админы могут админить! :)

за чтоооооооооооо!!??!!!!!???!!11

>Пользователи, добавленные в группу "wheel" рассматриваются как администраторы локальной системы

Ну это действительно неочевидно. Вполне нормально, что это восприняли как дыру.

> Ну это действительно неочевидно. Вполне нормально, что это восприняли как дыру.

Для тех, кому неочевидно, инсталлятор явно спрашивает при создании пользователей "добавить пользователя в администраторы?". И добавляет в wheel только если стоит галочка.

А при ручном создании потом нужно явно руками добавить в группу, очевидно осознавая, зачем это делается.

> действительно неочевидно

О чём ты говоришь? wheel в Unix-подобных системах используется чуть ли не 30 лет уже. Это всё равно что сказать, что не очевидно, что некто Администратор в Windows может управлять учётной записью главы фирмы. Вон же он, администратор, на рисепшене сидит. Вполне нормально воспринять это как дыру.

Я, например, впервые слышу про это колесо. Я, правда, не админ, но к линуксу отношение имею.

> Я, например, впервые слышу про это колесо.

ну и зря.

стыдно! я тоже не админ, к гнулинуксам отношения не имею, я ими пользуюсь, но колесо знаю

>Я, например, впервые слышу про это колесо.

Поаехали тут ...

>Я, правда, не админ, но к линуксу отношение имею.

Линуксоидам пиво носишь? Гут Волдемар, гут!

Много раз видел этот wheel в /etc/group, но ни разу не осознавал, что это админы.
Как то "колесо" и "админ" не вяжется в мозгу.

От этого http://en.wiktionary.org/wiki/big_wheel пошло:

big wheel (plural big wheels)

    (idiomatic) A person with a great deal of power or influence, especially a high-ranking person in an organization.

        She's a big wheel at IBM.

Но да, в русском языке такой идиомы нет.

She's a big wheel at IBM.
А в русском - "большая шишка" или "важная птица".

А еще есть (по ассоциации) "грудь колесом" ;)

> She's a big wheel at IBM.
> А в русском - "большая шишка" или "важная птица".

# gpasswd -a васильев шишка

> # gpasswd -a васильев шишка

Натянуть васильева на шишку?!?! Мамо этож ахтунгнет какойто 8-о

Пользователю макоси везде коллеги мерещатся?

She is a big sheeshqua at IBM.

Алсо, спасибо, никогда не задумывался о wheel.

P.S.: тоже не админ, но как ни разу не наткнуться на wheel не понимаю.

Arch users rejoice!

> Алсо, спасибо, никогда не задумывался о wheel.
> как ни разу не наткнуться на wheel не понимаю.

Вот поэтому:

> Arch users rejoice!

В школе этого не проходят.

Штурвал

> Штурвал

Руль :)

> От этого http://en.wiktionary.org/wiki/big_wheel пошло:
> big wheel (plural big wheels)
>     (idiomatic) A person with a great deal of
> power or influence, especially a high-ranking person in an organization.
>         She's a big wheel
> at IBM.
> Но да, в русском языке такой идиомы нет.

Хаа, вспомнились слова из "Sweet home Alabama":

Big wheels keep on turning
Carry me home to see my kin
Singing songs about the Southland
I miss Alabamy once again
...

Во FreeBSD только пользователи входящие в группу wheel могут удаленно выполнить команду
su -, ввести рутовой пароль и стать рутом.
И по умолчанию же залогиниться рутом по ssh нельзя.

> Во FreeBSD только пользователи входящие в группу wheel...

Если быть точным, данное поведение определяется конфигурацией pam_group(8). Для su это файл /etc/pam.d/su

Если хотите, можете поменять группу (я долгое время указывал group=operator) или, например, поменять ruser на luser. Но лично я не уверен в безопасности данного подхода и последнее время предпочитаю использовать sudo.

> Много раз видел этот wheel в /etc/group, но ни разу не осознавал, что это админы.

Всю жизнь была административной группой. В некоторых *никсах даже файлы которые могут трогать только админы - создаются как root (owner) и wheel (group).

> Как то "колесо" и "админ" не вяжется в мозгу.

зато «админ» и «корень» очень вяжутся.

>> Как то "колесо" и "админ" не вяжется в мозгу.
> зато «админ» и «корень» очень вяжутся.

бывают и от тебя правильные слова

Это не "корень".
В BSD-системах root имеет имя Charlie Root.
http://org.netbase.org/charlie-root.html

> Это не "корень".

так и «wheel» не «колесо».

А если дыра на ресепшене "вполне себе даже очень", то можно и нормально воспринять )))

# grep wheel /etc/sudoers
## Uncomment to allow members of group wheel to execute any command
# %wheel ALL=(ALL) ALL
# %wheel ALL=(ALL) NOPASSWD: ALL

(gentoo)

# grep wheel /usr/local/etc/sudoers
## Uncomment to allow members of group wheel to execute any command
# %wheel ALL=(ALL) ALL
# %wheel ALL=(ALL) NOPASSWD: ALL

(FreeBSD)

не, никогда не видели, догадаться невозможно. вот какая загадочная группа wheel. хтобымогпадумать?

Мне кажется обойти проверку SSH просто.

Тебе кажется.

> Мне кажется обойти проверку SSH просто.

Если вы считаете, что в Polkit настолько крупная дыра, попробуйте обойти, а не теоретизировать насчет "кажется". Разные разрешения для локального и удаленного пользователя работают там совершенно четко. В принципе, он как раз для этой цели и создавался, чтобы можно было по-разному настраивать разрешения в таких ситуациях.

Подключился к screen-сессии, которая была до этого запущена локально, и вот ты уже "пользователь с физическим доступом".

Подключился к роботу, который по команде нажимает на кнопки реальной клавиатуры, может нажать кнопку reset выдернуть шнур питания и смотреть куда прикажут ( а так же физически вынести сервер )...

Вперёд, действуйте! Увидим вас на pwnium 2015.

на деле люди вполне правильно написали о том, что policykit — крап. компания красношап, естественно, поспешила заявить, что хоть и крап, но родной, а потому не пахнет.

> на деле люди вполне правильно написали о том, что policykit — крап.
> компания красношап, естественно, поспешила заявить, что хоть и крап, но родной,
> а потому не пахнет.

она всего-лишь заявила, что надо сначала документацию внимательнее изучать

> она всего-лишь заявила, что надо сначала документацию внимательнее изучать

от этого крап не превращается в конфетку.

>> она всего-лишь заявила, что надо сначала документацию внимательнее изучать
> от этого крап не превращается в конфетку.

Зато вы, возможно, перестанете быть неосилятором и разбрасываться заявлениями вида "не читал, но осуждаю".

> Зато вы, возможно, перестанете быть неосилятором и разбрасываться заявлениями вида "не
> читал, но осуждаю".

ты лжец.

> на деле люди вполне правильно написали о том, что policykit — крап.

Скоро ты с тоской будешь вспоминать его как забавную игру в крысу :)
Ибо Потцеринг наверняка отреагирует и пофиксит этот крап. Как - вы знаете :)

Неа. Он сейчас занят починкой докера, это еще полгода минимум.

Alert logic у Касперского научилась плохим вещам.

В одной конторе один главный специалист "типа программист" открыл со своего компьютера через "Сетевое окружение" свой же компьютер и обнаружил полный доступ к диску Цэ. После чего устроил комиссию с разборкой о якобы нарушенной сетевой безопасности и закономерно получил полный позор на свою голову.

Что в свете рассматриваемой темы доказывает, что идиотизм - явление глобальное.

В тексте новости ляп не простительный для Openneta. Как из самого поста видно уязвимость только в настройках Дистров с  PackageKit - но скопом все Linux'ы сложены. Шапка,Федора и подобные им - в группе "особого внимания".
Вот и вся новость. Тщательней надо бы.

FUD, следующая итерация...

Меня больше раздутый заголовок данной новости смущает.

> 19.12.2014 17:00  Уязвимость Grinch оказалась штатной возможностью дистрибутивов Linux

А на самом деле, не во всех дистрибутивах. Например в убунте этот баг называется sudo, а в дебиане его нужно отдельно устанавливать, и прописывать в sudoers или vigr, что б этот "БАГ" заработал.