The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го..."  +/
Сообщение от opennews (??), 12-Май-17, 09:09 
В Ubuntu временно заблокирована (https://www.ubuntu.com/usn/usn-3285-1/) возможность использования гостевого сеанса в дисплейном менеджере LightDM из-за выявления уязвимости (https://bugs.launchpad.net/ubuntu/+source/lightdm/+bug/1663157) (CVE-2017-8900 (https://security-tracker.debian.org/tracker/CVE-2017-8900)), которая позволяет получить доступ к файлам вне гостевой директории, в том числе к файлам в домашних каталогах обычных пользователей. Проблема проявляется в начиная с Ubuntu 16.10 и вызвана прекращением применения ограничений  AppArmor (в Ubuntu 16.04 и более ранних выпусках применялся профиль /usr/lib/lightdm/lightdm-guest-session) после перехода к использованию systemd для управления сеансами. В качестве возможного пути устранения проблемы рассматривается использование модуля pam_apparmor для применения ограничивающего профиля AppArmor.

URL: https://www.ubuntu.com/usn/usn-3285-1/
Новость: http://www.opennet.me/opennews/art.shtml?num=46537

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимость в LightDM, открывающая доступ к чужим файлам из г..."  +7 +/
Сообщение от Аноним (-), 12-Май-17, 09:09 
Показателен ответ разработчиков Ubuntu на сообщение о баге, которое было отправлено ещё в феврале:

"Ow. Unfortunately I don't have any information on how to fix this since most of the work on guest sessions and systemd was done by Martin Pitt."

В итоге, после трёх месяцев не придумали ничего, чем просто отключить гостевой сеанс.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Уязвимость в LightDM, открывающая доступ к чужим файлам из г..."  +23 +/
Сообщение от Аноним (-), 12-Май-17, 09:11 
Зря ругаешь. Это обычный самоотвод, т.к. вопрос вне компетенций данного инженера. Во всем виноват systemd, это очевидно.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

26. "Уязвимость в LightDM, открывающая доступ к чужим файлам из г..."  +1 +/
Сообщение от Аноним (-), 12-Май-17, 14:28 
То есть в других дистрибутивах с systemd всё нормально, и только в Ubuntu проблемы, но виноват все равно systemd. Логика железная.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

35. "Уязвимость в LightDM, открывающая доступ к чужим файлам из г..."  –2 +/
Сообщение от Адекват (ok), 12-Май-17, 15:27 
> То есть в других дистрибутивах с systemd всё нормально, и только в
> Ubuntu проблемы, но виноват все равно systemd. Логика железная.

Без СистемД данная проблема была ?

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

40. "Уязвимость в LightDM, открывающая доступ к чужим файлам из г..."  –1 +/
Сообщение от Аноним (-), 12-Май-17, 19:50 
а без убунты, а без линукса?
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

43. "Уязвимость в LightDM, открывающая доступ к чужим файлам из г..."  –2 +/
Сообщение от Аноним (-), 13-Май-17, 15:37 
То есть если бы был открыт доступ к ssh с публичным паролем, это была бы проблема ssh? Ведь без него проблемы нет.
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

5. "Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го..."  +14 +/
Сообщение от Вот и выросло поколение (?), 12-Май-17, 09:35 
Нас в садике учили: если не хочешь, чтобы другие другие видели твои файлы, сделай chmod 700 $HOME.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го..."  +12 +/
Сообщение от hoopoeemail (ok), 12-Май-17, 09:47 
там немного другое: на системе есть зареганые юзеры - они могут видеть файлы друг друга, и есть гостевой сеанс - он не должен видеть файлы остальных узверей. вот это "не должен" и сломали при внедрении systemd

вообще странно что гостя тупо не засунули под контейнера, это самый очевидный способ загнать в клетку

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

13. "Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го..."  +1 +/
Сообщение от Аноним (-), 12-Май-17, 10:16 
засовывать его в контейнер ещё тот аттракцион, причём с учётом того что нужно будет пропихнуть в контейнер, не факт что поможет.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

15. "Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го..."  –1 +/
Сообщение от X3asd (ok), 12-Май-17, 10:17 
> они могут видеть файлы друг друга

наверно могут те -- которые сделали их друг для друга доступными через вызов setfacl?

> и есть гостевой сеанс - он не должен видеть файлы остальных узверей

потому что ни кто не делал вызов setfacl для него?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

17. "Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го..."  +/
Сообщение от iPony (?), 12-Май-17, 10:35 
> наверно могут те -- которые сделали их друг для друга доступными через вызов setfacl?

Неа. По дефолту юзеры без проблем могут шастать по чужой домашней папке
https://bugs.launchpad.net/ubuntu/+source/adduser/+bug/48734/

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

18. "Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го..."  –3 +/
Сообщение от UUU (?), 12-Май-17, 11:17 
1. $ find /home/user -type f -exec chmod 600 {} \;
2. $ find /home/user -type d -exec chmod 700 {} \;

Только не перепутайте последовательность.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го..."  +1 +/
Сообщение от Аноним (-), 12-Май-17, 11:34 
1. Достаточно {} или нужно "{}" (с кавычками)?
2. Что будет если перепутать последовательность?
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

22. "Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го..."  –2 +/
Сообщение от UUU (?), 12-Май-17, 11:45 
1. На практике достаточно.
2. Не войдете потом ни в одну папку в домашней директории.
3. Имя пользователя нужное не забудьте подставить вместо "user".
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

48. "Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го..."  –1 +/
Сообщение от Аноним (-), 16-Май-17, 23:20 
> 2. Не войдете потом ни в одну папку в домашней директории.

Подозреваю ты хотел сказать "не перепутайте "-type d ... 700" с "-type d ... 600"

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

21. "Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го..."  +4 +/
Сообщение от Ilya Indigo (ok), 12-Май-17, 11:40 
$ chmod -R a=,u+rwX ~
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

49. "Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го..."  –2 +/
Сообщение от Аноним (-), 16-Май-17, 23:31 
> $ chmod -R a=,u+rwX ~

chmod -R go-rwx ~ # у группы и осталных отобрать read, write, execute
А что ваш набор букв означает?


Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

51. "Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го..."  +3 +/
Сообщение от Ilya Indigo (ok), 16-Май-17, 23:48 
>> $ chmod -R a=,u+rwX ~
> chmod -R go-rwx ~ # у группы и осталных отобрать read, write,
> execute
> А что ваш набор букв означает?

Мой "набор букв" означает сначала рекурсивно забрать все права у всех (000), а потом рекурсивно дать права на чтение, запись и открытие директорий владельцу (600 для файлов и 700 для директорий) Всё в одном "наборе букв".

Ваш же "набор букв" только забирает права у группы и остальных, но не забирает бит исполнения у владельца, а также не гарантирует наличие прав на чтение, запись и открытие директорий у его владельца.

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

52. "Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го..."  +/
Сообщение от Аноним (-), 18-Май-17, 09:44 
Тут ~/bin/* передают тебе привет.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

53. "Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го..."  +/
Сообщение от Ilya Indigo (ok), 18-Май-17, 15:05 
> Тут ~/bin/* передают тебе привет.

В том-то и дело, что зонды, спайвари и прочая нечисть не сможет этого сделать.
А если Вы разработчик и у Вас в ~/bin/ проекты, то
1 Вы сами должны знать об этом и управлять правами!
2 При желании, Вам ничего не должно мешать запустить их через оболочку sh ~/bin/appname
3 QtCreator, возможно и другие IDE, сами при пересборке проекта назначают бит исполнения свеже-собранному эльфу.

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

46. "Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го..."  +/
Сообщение от XoRe (ok), 15-Май-17, 08:32 
> Неа. По дефолту юзеры без проблем могут шастать по чужой домашней папке

В зависимости от дефолтных настроек.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

24. "Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го..."  +6 +/
Сообщение от yan123 (?), 12-Май-17, 14:16 
Тогда все юзеры идут в группу users, а гость в группу guest, права выставляем соответсвенно.
(с) мопед не мой -- подход придуман где-то в ранних 70-х умными людьми и вроде как обкатан и железобетонно работал всё это время.
Меня тоже в убунте иногда удивляет желание разработчиков прикрутить свои "велосипеды" вместо использования простого рабочего решения.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

31. "Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го..."  +/
Сообщение от vitvegl (?), 12-Май-17, 14:45 
он под "appaarmor"
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

42. "Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го..."  +1 +/
Сообщение от Аноним (-), 12-Май-17, 21:37 
> там немного другое: на системе есть зареганые юзеры - они могут видеть
> файлы друг друга

Все давно уже есть, делаете специальную группу для этих вездешастающих юзеров, добавляете их в ту группу и делаете
chmod 750 ~
chown :special_group ~

voila!

Кстати, если просто хочется закрыть доступ к домашнему каталогу для других пользователей (включая системных пользователей как nobody и daemon), в chmod не нужно -R, path traversal не будет работать если нет доступа к хотя бы одному каталогу. chmod 700 $HOME хватит. Адептам find ... -exec chmod советую "chmod 700 /".

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

44. "Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го..."  +/
Сообщение от Аноним (-), 13-Май-17, 19:15 
Они могут видеть потому что являются членами группы, которой разрешено смотреть в чужие хоумы. И это "не должен" не зависит от системдэ.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

16. "Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го..."  –1 +/
Сообщение от Нанобот (ok), 12-Май-17, 10:27 
трудное у тебя было детство, сочувствую
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го..."  +2 +/
Сообщение от Аноним (-), 12-Май-17, 09:42 
сколько ещё нам чудных открытий готовит системде
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го..."  +6 +/
Сообщение от Crazy Alex (ok), 12-Май-17, 10:13 
Это ещё мелочи. Вот когда его ломать начнут...
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

20. "Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го..."  –2 +/
Сообщение от J.L. (?), 12-Май-17, 11:35 
> Это ещё мелочи. Вот когда его ломать начнут...

поскорее бы, а то скушно читать хейтеров systemd, одна слюна и никакой крошки

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

23. "Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го..."  +11 +/
Сообщение от Аноним (-), 12-Май-17, 13:14 
>> Это ещё мелочи. Вот когда его ломать начнут...
> поскорее бы,

А что, самостоятельные сломы типа
https://github.com/systemd/systemd/issues/1143
> By setting the date to sometime in 2038, we can make systemd getting stuck printing systemd[1]: Time has been changed over and over again.

или
https://www.agwa.name/blog/post/how_to_crash_systemd_in_one_... (ну да, кто бы мог подумать, что параметр-то пустой будет, а?)
ну или
https://github.com/systemd/systemd/issues/5644
> tmpfiles: R! /dir/.* destroys root

https://github.com/systemd/systemd/issues/5441
> Assertion 'path' failed .. Freezing execution

уже не считаются, да?

> а то скушно читать хейтеров systemd,

Так возьмите и почитайте код systemd. Правда, можете сами стать хейтером.
> одна слюна и никакой крошки

Одни фантазии поттерофилов и никакой конкретики.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

45. "Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го..."  +3 +/
Сообщение от Аноним (-), 13-Май-17, 19:17 
> Одни фантазии поттерофилов и никакой конкретики.

эту школоту надо заставить пользоваться своим фетишем, а не блеять о его офигенности на форумах, вот тогда и посмеяться можно будет

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

11. "Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го..."  +2 +/
Сообщение от Аноним (-), 12-Май-17, 09:55 
Ах да, в убунту же сделали гостевой аккаунт. Ещё в релизе 8.10... Так и не затестил. Спасибо что напомнили!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го..."  +1 +/
Сообщение от Аноним (-), 12-Май-17, 10:17 
> Ах да, в убунту же сделали гостевой аккаунт. Ещё в релизе 8.10...
> Так и не затестил. Спасибо что напомнили!

Неожиданно вспомнил о нём когда человеку(не случайному) срочно понадобился комп, а дома был ноут с убунтой :)

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

28. "Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го..."  +/
Сообщение от нах (?), 12-Май-17, 14:32 
> Неожиданно вспомнил о нём когда человеку(не случайному) срочно понадобился комп, а дома
> был ноут с убунтой :)

боюсь спросить - там adduser поломан уже насовсем, или "не случайному" - в смысле, полицаи пришли, cp искать, и надо было срочно сделать вид, что никаких других юзеров там нет?

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

33. "Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го..."  +4 +/
Сообщение от Аноним (-), 12-Май-17, 15:23 
>полицаи пришли, cp искать

И нашли в /bin?

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

38. "Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го..."  +1 +/
Сообщение от Аноним (-), 12-Май-17, 18:38 
Поттеринг же, теперь cp в /usr/bin. Вот так мы беспалевно храним ЦоПэ в /bin/cp, и никто даже не думает там искать :-)
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

50. "Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го..."  –1 +/
Сообщение от Аноним (-), 16-Май-17, 23:44 
Да в чем пилять юмор. Я уж и гугол теребил. И в рестриктет шел cp нормально работает.
Что за фишка с гостевым пользователем и cp?
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

47. "Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го..."  –1 +/
Сообщение от Аноним (-), 15-Май-17, 13:50 
> Проблема проявляется начиная с Ubuntu 16.10 и вызвана прекращением применения ограничений AppArmor (в Ubuntu 16.04 и более ранних выпусках применялся профиль /usr/lib/lightdm/lightdm-guest-session) после перехода к использованию systemd для управления сеансами.

А я уже думал на что же переходить с LinuxMint 17 (который на основе 14.04)

> Linux Mint 18 is based on Ubuntu 16.04.

Тогда надо брать.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

55. "Уязвимость в Ubuntu, открывающая доступ к чужим файлам из го..."  +/
Сообщение от Анонимemail (55), 24-Июл-18, 22:00 
Эта долбанная AppArmor вместо того чтобы защищать систему наоборот позволяет получить доступ над всем сервером на ubuntu и debian злодей 3 раза уже взламывал через нее мой сервер представляясь как кэш полиция Гугла блокируя мои директивы, пристраивая свой кэш и воруя мой трафик, сразу и не заметишь, при этом не позволяя мне отключить ее, приходилось полностью переустанавливать систему и сервер, если бы не отдельный аккаунт на VPS биллинг то полностью бы потерял контроль над сервером. Разработчикам стоит задуматься над этим полуфабрикатом а не запускать ее по умолчанию.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру