The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость Grinch оказалась штатной возможностью дистрибутивов Linux

19.12.2014 17:00

Компания Alert Logic сообщила о выявлении критической уязвимости в Linux, позволяющей локальному пользователю выполнить некоторые команды с правами root. Уязвимости даже было присвоено отдельное имя "Grinch", и она была причислена к категории таких сверхопасных проблем, как Shellshock, Heartbleed и POODLE. Некоторые издания подхватили эту информацию и распространили данные о появлении опасной проблемы, затрагивающей фундаментальные основы организации авторизации пользователей в Linux.

Компания Red Hat поспешила успокоить пользователей, так как, на деле, "Grinch" не относится к категории уязвимостей и даже не является ошибкой, а представляет собой штатную возможность консольного клиента PackageKit (pkcon). Пользователи, добавленные в группу "wheel", рассматриваются как администраторы локальной системы, которым PackageKit предоставляет возможность без ввода пароля установить пакеты из заслуживающих доверие репозиториев, но только при выполнении команд из локальной консоли, когда пользователь, имеющий статус администратора, имеет физический доступ к системе. При входе по ssh подобная возможность обычно блокируется.

  1. Главная ссылка к новости (https://access.redhat.com/arti...)
  2. OpenNews: Критическая уязвимость в bash, которая может привести к удалённому запуску команд (дополнено)
  3. OpenNews: В OpenSSL обнаружена критическая уязвимость, которая может привести к утечке закрытых ключей
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/41307-linux
Ключевые слова: linux, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (53) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 17:03, 19/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +27 +/
    Это не баг, а фича!
     
  • 1.2, Аноним (-), 17:11, 19/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    А кто-то здесь недавно возражал, что журнализды повадились раздувать из мухи слона. Не разберутся, зато уже имя дадут и орут во всю глотку.
     
     
  • 2.20, arisu (ok), 20:52, 19/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > А кто-то здесь недавно возражал, что журнализды повадились раздувать из мухи слона.
    > Не разберутся, зато уже имя дадут и орут во всю глотку.

    ты это. по ссылке-то ходил, оригинал читал?

     
     
  • 3.35, 6651156156 (?), 00:19, 20/12/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    A report has been released detailing an issue that the reporter is naming "Grinch". This report incorrectly classifies expected behavior as a security issue.
     
  • 2.53, EuPhobos (ok), 10:41, 22/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Особенно доставляет заголовок этой темы. "...дистрибутивов"
     

  • 1.3, Аноним (-), 17:18, 19/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +44 +/
    Опасная уязвимость: админы могут админить! :)
     
     
  • 2.4, Fox Mulder (?), 17:40, 19/12/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    за чтоооооооооооо!!??!!!!!???!!11
     

  • 1.5, A.Stahl (ok), 17:52, 19/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    >Пользователи, добавленные в группу "wheel" рассматриваются как администраторы локальной системы

    Ну это действительно неочевидно. Вполне нормально, что это восприняли как дыру.

     
     
  • 2.7, Stax (ok), 18:02, 19/12/2014 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > Ну это действительно неочевидно. Вполне нормально, что это восприняли как дыру.

    Для тех, кому неочевидно, инсталлятор явно спрашивает при создании пользователей "добавить пользователя в администраторы?". И добавляет в wheel только если стоит галочка.

    А при ручном создании потом нужно явно руками добавить в группу, очевидно осознавая, зачем это делается.

     
  • 2.8, irinat (ok), 18:05, 19/12/2014 [^] [^^] [^^^] [ответить]  
  • +11 +/
    > действительно неочевидно

    О чём ты говоришь? wheel в Unix-подобных системах используется чуть ли не 30 лет уже. Это всё равно что сказать, что не очевидно, что некто Администратор в Windows может управлять учётной записью главы фирмы. Вон же он, администратор, на рисепшене сидит. Вполне нормально воспринять это как дыру.

     
     
  • 3.12, A.Stahl (ok), 18:50, 19/12/2014 [^] [^^] [^^^] [ответить]  
  • –22 +/
    Я, например, впервые слышу про это колесо. Я, правда, не админ, но к линуксу отношение имею.
     
     
  • 4.21, arisu (ok), 20:53, 19/12/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Я, например, впервые слышу про это колесо.

    ну и зря.

     
  • 4.24, Аноним (-), 21:31, 19/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    стыдно! я тоже не админ, к гнулинуксам отношения не имею, я ими пользуюсь, но колесо знаю
     
  • 4.36, anonimouse (?), 04:31, 20/12/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >Я, например, впервые слышу про это колесо.

    Поаехали тут ...

    >Я, правда, не админ, но к линуксу отношение имею.

    Линуксоидам пиво носишь? Гут Волдемар, гут!

     
  • 3.13, robux (ok), 19:07, 19/12/2014 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Много раз видел этот wheel в /etc/group, но ни разу не осознавал, что это админы.
    Как то "колесо" и "админ" не вяжется в мозгу.
     
     
  • 4.14, Stax (ok), 19:23, 19/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    От этого http://en.wiktionary.org/wiki/big_wheel пошло:

    big wheel (plural big wheels)

        (idiomatic) A person with a great deal of power or influence, especially a high-ranking person in an organization.

            She's a big wheel at IBM.

    Но да, в русском языке такой идиомы нет.

     
     
  • 5.23, fly (??), 21:15, 19/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    She's a big wheel at IBM.
    А в русском - "большая шишка" или "важная птица".
     
     
  • 6.28, nik (??), 21:38, 19/12/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А еще есть (по ассоциации) "грудь колесом" ;)
     
  • 6.30, EHLO (?), 22:04, 19/12/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > She's a big wheel at IBM.
    > А в русском - "большая шишка" или "важная птица".

    # gpasswd -a васильев шишка

     
     
  • 7.37, anonimouse (?), 04:33, 20/12/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > # gpasswd -a васильев шишка

    Натянуть васильева на шишку?!?! Мамо этож ахтунгнет какойто 8-о

     
     
  • 8.47, Аноним (-), 14:40, 21/12/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Пользователю макоси везде коллеги мерещатся ... текст свёрнут, показать
     
  • 6.55, Аноним (-), 13:52, 22/12/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    She is a big sheeshqua at IBM.


    Алсо, спасибо, никогда не задумывался о wheel.


    P.S.: тоже не админ, но как ни разу не наткнуться на wheel не понимаю.

    Arch users rejoice!

     
     
  • 7.56, Led (ok), 22:22, 22/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Алсо, спасибо, никогда не задумывался о wheel.
    > как ни разу не наткнуться на wheel не понимаю.

    Вот поэтому:

    > Arch users rejoice!

    В школе этого не проходят.

     
  • 5.31, Сергей (??), 22:29, 19/12/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Штурвал
     
     
  • 6.48, Аноним (-), 14:41, 21/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Штурвал

    Руль :)

     
  • 5.41, robux (ok), 11:20, 20/12/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > От этого http://en.wiktionary.org/wiki/big_wheel пошло:
    > big wheel (plural big wheels)
    >     (idiomatic) A person with a great deal of
    > power or influence, especially a high-ranking person in an organization.
    >         She's a big wheel
    > at IBM.
    > Но да, в русском языке такой идиомы нет.

    Хаа, вспомнились слова из "Sweet home Alabama":

    Big wheels keep on turning
    Carry me home to see my kin
    Singing songs about the Southland
    I miss Alabamy once again
    ...

     
  • 4.15, aurved (?), 19:28, 19/12/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Во FreeBSD только пользователи входящие в группу wheel могут удаленно выполнить команду
    su -, ввести рутовой пароль и стать рутом.
    И по умолчанию же залогиниться рутом по ssh нельзя.
     
     
  • 5.50, Jan Dakinevich (ok), 01:09, 22/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Во FreeBSD только пользователи входящие в группу wheel...

    Если быть точным, данное поведение определяется конфигурацией pam_group(8). Для su это файл /etc/pam.d/su

    Если хотите, можете поменять группу (я долгое время указывал group=operator) или, например, поменять ruser на luser. Но лично я не уверен в безопасности данного подхода и последнее время предпочитаю использовать sudo.

     
  • 4.16, Аноним (-), 19:47, 19/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Много раз видел этот wheel в /etc/group, но ни разу не осознавал, что это админы.

    Всю жизнь была административной группой. В некоторых *никсах даже файлы которые могут трогать только админы - создаются как root (owner) и wheel (group).

     
  • 4.22, arisu (ok), 20:53, 19/12/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Как то "колесо" и "админ" не вяжется в мозгу.

    зато «админ» и «корень» очень вяжутся.

     
     
  • 5.25, Аноним (-), 21:33, 19/12/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >> Как то "колесо" и "админ" не вяжется в мозгу.
    > зато «админ» и «корень» очень вяжутся.

    бывают и от тебя правильные слова

     
  • 5.33, Аноним (-), 23:44, 19/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Это не "корень".
    В BSD-системах root имеет имя Charlie Root.
    http://org.netbase.org/charlie-root.html
     
     
  • 6.34, arisu (ok), 00:00, 20/12/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Это не "корень".

    так и «wheel» не «колесо».

     
  • 3.18, ишпошт (?), 20:49, 19/12/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А если дыра на ресепшене "вполне себе даже очень", то можно и нормально воспринять )))
     
  • 2.49, Куяврег (?), 14:56, 21/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    # grep wheel /etc/sudoers
    ## Uncomment to allow members of group wheel to execute any command
    # %wheel ALL=(ALL) ALL
    # %wheel ALL=(ALL) NOPASSWD: ALL

    (gentoo)

    # grep wheel /usr/local/etc/sudoers
    ## Uncomment to allow members of group wheel to execute any command
    # %wheel ALL=(ALL) ALL
    # %wheel ALL=(ALL) NOPASSWD: ALL

    (FreeBSD)

    не, никогда не видели, догадаться невозможно. вот какая загадочная группа wheel. хтобымогпадумать?

     

  • 1.6, Язабан (?), 17:52, 19/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Мне кажется обойти проверку SSH просто.
     
     
  • 2.9, Аноним (-), 18:09, 19/12/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Тебе кажется.
     
  • 2.10, Stax (ok), 18:15, 19/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Мне кажется обойти проверку SSH просто.

    Если вы считаете, что в Polkit настолько крупная дыра, попробуйте обойти, а не теоретизировать насчет "кажется". Разные разрешения для локального и удаленного пользователя работают там совершенно четко. В принципе, он как раз для этой цели и создавался, чтобы можно было по-разному настраивать разрешения в таких ситуациях.

     
     
  • 3.17, Mr. Cake (?), 20:15, 19/12/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Подключился к screen-сессии, которая была до этого запущена локально, и вот ты уже "пользователь с физическим доступом".
     
     
  • 4.39, Аноним (39), 10:25, 20/12/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Подключился к роботу, который по команде нажимает на кнопки реальной клавиатуры, может нажать кнопку reset выдернуть шнур питания и смотреть куда прикажут ( а так же физически вынести сервер )...
     
  • 2.11, Аноним (-), 18:21, 19/12/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вперёд, действуйте! Увидим вас на pwnium 2015.
     

  • 1.19, arisu (ok), 20:51, 19/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    на деле люди вполне правильно написали о том, что policykit — крап. компания красношап, естественно, поспешила заявить, что хоть и крап, но родной, а потому не пахнет.
     
     
  • 2.26, Аноним (-), 21:35, 19/12/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > на деле люди вполне правильно написали о том, что policykit — крап.
    > компания красношап, естественно, поспешила заявить, что хоть и крап, но родной,
    > а потому не пахнет.

    она всего-лишь заявила, что надо сначала документацию внимательнее изучать

     
     
  • 3.27, arisu (ok), 21:35, 19/12/2014 [^] [^^] [^^^] [ответить]  
  • –8 +/
    > она всего-лишь заявила, что надо сначала документацию внимательнее изучать

    от этого крап не превращается в конфетку.

     
     
  • 4.43, Аноним (-), 14:00, 20/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> она всего-лишь заявила, что надо сначала документацию внимательнее изучать
    > от этого крап не превращается в конфетку.

    Зато вы, возможно, перестанете быть неосилятором и разбрасываться заявлениями вида "не читал, но осуждаю".

     
     
  • 5.44, arisu (ok), 15:46, 20/12/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Зато вы, возможно, перестанете быть неосилятором и разбрасываться заявлениями вида "не
    > читал, но осуждаю".

    ты лжец.

     
  • 2.38, anonimouse (?), 04:39, 20/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > на деле люди вполне правильно написали о том, что policykit — крап.

    Скоро ты с тоской будешь вспоминать его как забавную игру в крысу :)
    Ибо Потцеринг наверняка отреагирует и пофиксит этот крап. Как - вы знаете :)


     
     
  • 3.42, Аноним (-), 13:59, 20/12/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Неа. Он сейчас занят починкой докера, это еще полгода минимум.
     

  • 1.32, анон (?), 22:41, 19/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Alert logic у Касперского научилась плохим вещам.
     
  • 1.40, Аноним (-), 10:29, 20/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В одной конторе один главный специалист "типа программист" открыл со своего компьютера через "Сетевое окружение" свой же компьютер и обнаружил полный доступ к диску Цэ. После чего устроил комиссию с разборкой о якобы нарушенной сетевой безопасности и закономерно получил полный позор на свою голову.

    Что в свете рассматриваемой темы доказывает, что идиотизм - явление глобальное.

     
  • 1.45, Antonim (ok), 17:21, 20/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В тексте новости ляп не простительный для Openneta. Как из самого поста видно уязвимость только в настройках Дистров с  PackageKit - но скопом все Linux'ы сложены. Шапка,Федора и подобные им - в группе "особого внимания".
    Вот и вся новость. Тщательней надо бы.
     
  • 1.51, Аноним (-), 09:57, 22/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    FUD, следующая итерация...
     
  • 1.52, EuPhobos (ok), 10:40, 22/12/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Меня больше раздутый заголовок данной новости смущает.

    > 19.12.2014 17:00  Уязвимость Grinch оказалась штатной возможностью дистрибутивов Linux

    А на самом деле, не во всех дистрибутивах. Например в убунте этот баг называется sudo, а в дебиане его нужно отдельно устанавливать, и прописывать в sudoers или vigr, что б этот "БАГ" заработал.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру