После выхода релиза Fedora 12 (http://www.opennet.me/opennews/art.shtml?num=24286) в системе управления пакетами обнаружена (https://www.redhat.com/archives/fedora-devel-list/2009-Novem...) брешь в безопасности. Используемые по умолчанию настройки PackageKit дают возможность (https://bugzilla.redhat.com/show_bug.cgi?id=534047) любому непривилегированному пользователю дистрибутива установить любой пакет из стандартных репозиториев. Критической опасности проблема не представляет, так как без дополнительной аутентификации можно установить только пакеты имеющие корректную цифровую подпись от проекта Fedora.
Для отключения (http://skvidal.wordpress.com/2009/11/18/polkit-and-package-k.../) данного поведения нужно выполнить команду: "pklalockdown --lockdown org.freedesktop.packagekit.package-install".
URL: https://www.redhat.com/archives/fedora-devel-list/2009-Novem...
Новость: http://www.opennet.me/opennews/art.shtml?num=24333
Только вышла, и уязвимость... Она касается только Fedora, или в теории может появиться в любом другом дистрибутиве...
Вниманию минусующих. Я не высказывал плохого отношения к Fedora, и я очень благодарен им за то, что они находят уязвимости в том коде, где другие люди уязвимости пропустили. У них отличная команда. А в Ubuntu этих узявимостей после релиза могут до 200 найти. Так что я не высказываюсь о Fedora плохо, я высказывал уважение по поводу того, что они нашли уязвимость, и небольшую досаду, что она была.
> Критической опасности проблема не представляетОфигеть — вот понаставит пользователь всяких там "подписанных" php, apache, sql, ftp и прочего. Оно ведь после перезагрузки системы запуститься, или сразу?
php, apache и mysql сами собой не запустятся.
умные люди сразу после установки федоры сделали
yum remove PackegeKit
Ага, но в 12-й к нему вроде бы прикрутили плагин к яму, который подсказывает, из какого пакета можно взять нужную команду (если такого пакета в системе нет). Накой тут еще и packagekit, и почему нельзя было это прилепить только к yum — хз.
Ну и толку от SELinux если непривилегированный дятел может абузить инсталл софта со всей дури?
Какая-то Санта-Барбара получается. В прошлый релиз тоже были с ним проблемы. Неужели нельзя допилить что-то до конца. Ждем новых увлекательных серий. Длительный секас обеспечен. Вообще, это уже не смешно. Обидеть никого не хотел - просто наболело уже!
НУ и что нашли и слава богу ! yum все ровно удобней.
P.S. и ядро мне не понравилось пришлось компилять ванильное
Вы приколисты!
сходили бы по ссылкам и почитали бы о чем речь вообщем идет?!https://www.redhat.com/archives/fedora-devel-list/2009-Novem...
смысл может уловите..
Не юзаю PackageKit, мне yum привычней.
В любом случае, Fedora в компаниях
не ставится, так что проблемы-то
и не было вовсе. Но хорошо, что
исправили это недоразумение.