The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Проблема безопасности в системе управления пакетами Fedora 12 (2 дополнение)

19.11.2009 10:52

После выхода релиза Fedora 12 в системе управления пакетами обнаружена брешь в безопасности. Используемые по умолчанию настройки PackageKit дают возможность любому непривилегированному пользователю дистрибутива установить любой пакет из стандартных репозиториев. Критической опасности проблема не представляет, так как без дополнительной аутентификации можно установить только пакеты имеющие корректную цифровую подпись от проекта Fedora.

Для отключения данного поведения нужно выполнить команду: "pklalockdown --lockdown org.freedesktop.packagekit.package-install".

Дополнение: Разработчики дистрибутива оригинально подошли к решению проблемы, они добавили в заметки к релизу, что это теперь документированная особенность работы Fedora. С одной стороны в Fedora ведется серьезная работа в плане интеграции SELinux для повышения безопасности, с другой стороны намеренно оставляется серьезная брешь, позволяющая любому пользователю переполнить дисковый раздел в обход квот, установить серверные процессы или ПО в котором нашли уязвимость, но еще не успели исправить (не исключен вариант установки старой, уязвимой, версии пакета).

Дополнение 2: Здравый смысл восторжествовал, для PackageKit выпущено обновление, допускающее возможность установки пакетов только при наличии прав суперпользователя.

  1. Главная ссылка к новости (https://www.redhat.com/archive...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/24333-fedora
Ключевые слова: fedora, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (11) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Zenitur (?), 11:13, 19/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Только вышла, и уязвимость... Она касается только Fedora, или в теории может появиться в любом другом дистрибутиве...
     
     
  • 2.19, Zenitur (?), 23:36, 19/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Вниманию минусующих. Я не высказывал плохого отношения к Fedora, и я очень благодарен им за то, что они находят уязвимости в том коде, где другие люди уязвимости пропустили. У них отличная команда. А в Ubuntu этих узявимостей после релиза могут до 200 найти. Так что я не высказываюсь о Fedora плохо, я высказывал уважение по поводу того, что они нашли уязвимость, и небольшую досаду, что она была.
     

  • 1.2, LeNiN (ok), 11:53, 19/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Критической опасности проблема не представляет

    Офигеть — вот понаставит пользователь всяких там "подписанных" php, apache, sql, ftp и прочего. Оно ведь после перезагрузки системы запуститься, или сразу?

     
     
  • 2.3, kamagan (?), 12:21, 19/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    php, apache и  mysql сами собой не запустятся.
     

  • 1.4, vadiml (?), 12:43, 19/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    умные люди сразу после установки федоры сделали
    yum remove PackegeKit
     
     
  • 2.18, anonymous (??), 22:15, 19/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, но в 12-й к нему вроде бы прикрутили плагин к яму, который подсказывает, из какого пакета можно взять нужную команду (если такого пакета в системе нет). Накой тут еще и packagekit, и почему нельзя было это прилепить только к yum — хз.
     

  • 1.14, User294 (ok), 19:21, 19/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ну и толку от SELinux если непривилегированный дятел может абузить инсталл софта со всей дури?
     
  • 1.15, Аноним (-), 19:40, 19/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Какая-то Санта-Барбара получается. В прошлый релиз тоже были с ним проблемы. Неужели нельзя допилить что-то до конца. Ждем новых увлекательных серий. Длительный секас обеспечен. Вообще, это уже не смешно. Обидеть никого не хотел - просто наболело уже!
     
  • 1.21, PAiN (?), 01:20, 20/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    НУ и что нашли и слава богу !  yum все ровно удобней.
    P.S.  и ядро мне не понравилось пришлось компилять ванильное
     
  • 1.23, Аноним (-), 02:53, 21/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вы приколисты!
    сходили бы по ссылкам и почитали бы о чем речь вообщем идет?!

    https://www.redhat.com/archives/fedora-devel-list/2009-November/msg01445.html

    смысл может уловите..

     
  • 1.24, LZSaver (?), 05:36, 22/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не юзаю PackageKit, мне yum привычней.
    В любом случае, Fedora в компаниях
    не ставится, так что проблемы-то
    и не было вовсе. Но хорошо, что
    исправили это недоразумение.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру