URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 61116
[ Назад ]

Исходное сообщение
"В системе управления пакетами Fedora 12 обнаружена проблема ..."

Отправлено opennews , 19-Ноя-09 11:13 
После выхода релиза Fedora 12 (http://www.opennet.me/opennews/art.shtml?num=24286) в системе управления пакетами обнаружена (https://www.redhat.com/archives/fedora-devel-list/2009-Novem...) брешь в безопасности. Используемые по умолчанию настройки PackageKit дают возможность (https://bugzilla.redhat.com/show_bug.cgi?id=534047) любому непривилегированному пользователю дистрибутива установить любой пакет из стандартных репозиториев. Критической опасности проблема не представляет, так как без дополнительной аутентификации можно установить только пакеты имеющие корректную цифровую подпись от проекта Fedora.


Для отключения (http://skvidal.wordpress.com/2009/11/18/polkit-and-package-k.../) данного поведения нужно выполнить команду:    "pklalockdown --lockdown org.freedesktop.packagekit.package-install".


URL: https://www.redhat.com/archives/fedora-devel-list/2009-Novem...
Новость: http://www.opennet.me/opennews/art.shtml?num=24333


Содержание

Сообщения в этом обсуждении
"В системе управления пакетами Fedora 12 обнаружена проблема ..."
Отправлено Zenitur , 19-Ноя-09 11:13 
Только вышла, и уязвимость... Она касается только Fedora, или в теории может появиться в любом другом дистрибутиве...

"В системе управления пакетами Fedora 12 обнаружена проблема ..."
Отправлено Zenitur , 19-Ноя-09 23:36 
Вниманию минусующих. Я не высказывал плохого отношения к Fedora, и я очень благодарен им за то, что они находят уязвимости в том коде, где другие люди уязвимости пропустили. У них отличная команда. А в Ubuntu этих узявимостей после релиза могут до 200 найти. Так что я не высказываюсь о Fedora плохо, я высказывал уважение по поводу того, что они нашли уязвимость, и небольшую досаду, что она была.

"В системе управления пакетами Fedora 12 обнаружена проблема ..."
Отправлено LeNiN , 19-Ноя-09 11:53 
> Критической опасности проблема не представляет

Офигеть — вот понаставит пользователь всяких там "подписанных" php, apache, sql, ftp и прочего. Оно ведь после перезагрузки системы запуститься, или сразу?


"В системе управления пакетами Fedora 12 обнаружена проблема ..."
Отправлено kamagan , 19-Ноя-09 12:21 
php, apache и  mysql сами собой не запустятся.

"В системе управления пакетами Fedora 12 обнаружена проблема ..."
Отправлено vadiml , 19-Ноя-09 12:43 
умные люди сразу после установки федоры сделали
yum remove PackegeKit

"В системе управления пакетами Fedora 12 обнаружена проблема ..."
Отправлено anonymous , 19-Ноя-09 22:15 
Ага, но в 12-й к нему вроде бы прикрутили плагин к яму, который подсказывает, из какого пакета можно взять нужную команду (если такого пакета в системе нет). Накой тут еще и packagekit, и почему нельзя было это прилепить только к yum — хз.

"Проблема безопасности в системе управления пакетами Fedora 1..."
Отправлено User294 , 19-Ноя-09 19:21 
Ну и толку от SELinux если непривилегированный дятел может абузить инсталл софта со всей дури?

"Проблема безопасности в системе управления пакетами Fedora 1..."
Отправлено Аноним , 19-Ноя-09 19:40 
Какая-то Санта-Барбара получается. В прошлый релиз тоже были с ним проблемы. Неужели нельзя допилить что-то до конца. Ждем новых увлекательных серий. Длительный секас обеспечен. Вообще, это уже не смешно. Обидеть никого не хотел - просто наболело уже!

"Проблема безопасности в системе управления пакетами Fedora 1..."
Отправлено PAiN , 20-Ноя-09 01:20 
НУ и что нашли и слава богу !  yum все ровно удобней.
P.S.  и ядро мне не понравилось пришлось компилять ванильное

"Проблема безопасности в системе управления пакетами Fedora 1"
Отправлено Аноним , 21-Ноя-09 02:53 
Вы приколисты!
сходили бы по ссылкам и почитали бы о чем речь вообщем идет?!

https://www.redhat.com/archives/fedora-devel-list/2009-Novem...

смысл может уловите..


"Мдя..."
Отправлено LZSaver , 22-Ноя-09 05:36 
Не юзаю PackageKit, мне yum привычней.
В любом случае, Fedora в компаниях
не ставится, так что проблемы-то
и не было вовсе. Но хорошо, что
исправили это недоразумение.