The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Серьёзная уязвимость в инфраструктуре проекта Fedora Linux"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Серьёзная уязвимость в инфраструктуре проекта Fedora Linux"  +/
Сообщение от opennews (??) on 10-Авг-16, 09:55 
В системе Fedora Account System (https://fedoraproject.org/wiki/Account_System) (FAS (https://admin.fedoraproject.org/accounts/)), используемой для авторизации и организации входа разработчиков Fedora в различные web-сервисы проекта, в том числе в репозитории git и Bugzilla, выявлена (http://www.compatdb.org/forums/topic/113302-fedora-account-s.../) проблема с безопасностью (CVE-2016-1000038), позволяющая без авторизации выполнить HTTP-запрос от имени любого пользователя инфраструктуры.


Уязвимость связана с логической ошибкой в коде, из-за которой web-приложение FAS может принять некорректный поддельный клиентский сертификат. При установке HTTP-заголовка X-Client-Verify осуществлялось (https://github.com/fedora-infra/fas/commit/49788ae0488bdcaf1...) копирования логина из заголовка X-Client-CN, выставлялся флаг успешной авторизации и пропускалась стадия проверки пароля. Проблема решена в свежем выпуске FAS путём удаления (https://github.com/fedora-infra/fas/commit/b1b0871a922a49d0a...) кода поддержки авторизации по клиентским сертификатам, который выглядел скорее как заглушка, чем работающий код.

При отправке запроса от имени участника проекта Fedora, имеющего высокий уровень доступа, атакующий мог добавить, отредактировать или удалить параметры учетной записи пользователя или группы. Так как FAS является открытой разработкой (https://github.com/fedora-infra/fas/) и используется не только в Fedora, разработчикам  проектов, применяющих FAS, рекомендуется срочно обновить систему до последнего выпуска (https://github.com/fedora-infra/fas/releases).


Проблема выявлена разработчиками Fedora и уже устранена в рабочем сервисе.  Репозитории пакетов, компоненты дистрибутива Fedora и пользователи не пострадали. В настоящее время проводится дополнительный аудит старых логов для выявления признаков возможных манипуляций параметрами пользователей и групп. На текущий момент никаких признаков, что об уязвимости было известно злоумышленникам, не найдено. В целостности репозиториев разработчики не сомневаются, так как любая активность в интерфейсе dist-git, связанная с содержимым пакетов, приводит к отправке уведомления сопровождающим. При этом через web-сервисы повлиять на отправку подобных уведомлений невозможно.


URL: http://www.compatdb.org/forums/topic/113302-fedora-account-s.../
Новость: http://www.opennet.me/opennews/art.shtml?num=44940

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Серьёзная уязвимость в инфраструктуре проекта Fedora Linux"  +13 +/
Сообщение от Аноним (??) on 10-Авг-16, 09:55 
Это просто какая-то диверсия, очень похоже на бэкдор:

-        if not user_name:
-            if cherrypy.request.headers['X-Client-Verify'] == 'SUCCESS':
-                user_name = cherrypy.request.headers['X-Client-CN']
-                cherrypy.request.fas_provided_username = user_name
-                using_ssl = True
-

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Серьёзная уязвимость в инфраструктуре проекта Fedora Linux"  –2 +/
Сообщение от Анинимим on 10-Авг-16, 12:06 
а сколько еще забекдоренных пакетов в федоренных репах теперь...
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

10. "Серьёзная уязвимость в инфраструктуре проекта Fedora Linux"  +6 +/
Сообщение от Аноним (??) on 10-Авг-16, 14:29 
В Федоре везде!
В вашем любимом дистрибутиве нигде!
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

24. "Серьёзная уязвимость в инфраструктуре проекта Fedora Linux"  +/
Сообщение от Аноним (??) on 17-Авг-16, 11:33 
Хорошо, что вы признали ущербность вашей федоры.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

3. "Серьёзная уязвимость в инфраструктуре проекта Fedora Linux"  +5 +/
Сообщение от Аноним (??) on 10-Авг-16, 09:58 
Три года назад в FAS уже латали дыру, похоже обещание провести аудит кода остались обещаниями.
fedoraproject.org Account System (FAS) security issue.
https://lists.fedoraproject.org/pipermail/announce/2013-May/...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Серьёзная уязвимость в инфраструктуре проекта Fedora Linux"  +/
Сообщение от hhg (ok) on 12-Авг-16, 09:02 
обещанного три года ждут. вот, дождались.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "Серьёзная уязвимость в инфраструктуре проекта Fedora Linux"  –1 +/
Сообщение от Онанимус on 10-Авг-16, 10:01 
Вот, говорят, что никто не воспользовался и ничего не затронуто, а с чего тогда всполошились? Рутинная ревизия кода? Дай то Бог...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Серьёзная уязвимость в инфраструктуре проекта Fedora Linux"  +/
Сообщение от Аноним (??) on 10-Авг-16, 11:58 
> никто не воспользовался и ничего не затронуто

В новости этого не написано. В ней написано "не пострадали".

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Серьёзная уязвимость в инфраструктуре проекта Fedora Linux"  –4 +/
Сообщение от Аноним (??) on 10-Авг-16, 10:53 
Надо было ставить CentOS.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Серьёзная уязвимость в инфраструктуре проекта Fedora Linux"  –6 +/
Сообщение от Аноним (??) on 10-Авг-16, 16:02 
Продано, Fedora и CentOS (RedHat) сейчас в режиме стагнации стабильности.

redhat-upgrade-tool preupgrade-assistant-contents не работают на CentOS

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

19. "Серьёзная уязвимость в инфраструктуре проекта Fedora Linux"  +/
Сообщение от adminlocalhost (ok) on 11-Авг-16, 08:07 
Что кому продано?
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

26. "Серьёзная уязвимость в инфраструктуре проекта Fedora Linux"  +/
Сообщение от Аноним (??) on 17-Авг-16, 11:37 
> Что кому продано?

Тебе не пофигу, на локалхосте-то?

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

25. "Серьёзная уязвимость в инфраструктуре проекта Fedora Linux"  +/
Сообщение от Аноним (??) on 17-Авг-16, 11:36 
> Продано, Fedora и CentOS (RedHat) сейчас в режиме стагнации стабильности.

Режим стагнации стабильности у дебиана, который уже не первый год умирает от network reload.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

27. "Серьёзная уязвимость в инфраструктуре проекта Fedora Linux"  +/
Сообщение от Аноним (??) on 18-Авг-16, 10:41 
Fedorino горе
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру