The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от opennews (??), 31-Янв-20, 08:50 
В утилите sudo, используемой для организации выполнения команд от имени других пользователей, выявлена уязвимость (CVE-2019-18634), позволяющая повысить свои привилегии в системе до пользователя root. Проблема проявляется начиная с выпуска sudo 1.7.1 только при использовании в файле /etc/sudoers опции "pwfeedback", которая отключена по умолчанию, но активирована в некоторых дистрибутивах, таких как Linux Mint и Elementary OS. Проблема  устранена в выпуске sudo 1.8.31, опубликованном несколько часов назад. В дистрибутивах уязвимость пока остаётся неисправленной...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=52284

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –60 +/
Сообщение от Аноним (1), 31-Янв-20, 08:50 
Главное, чтобы в kdesu не было. А sudo? Бог с ним, с этим sudo, никто в здравом уме не будет его использовать. Разве что от лени и жадности, в многопользовательских системах.

Воу воу кажется со своим отношением к судо я автоматически попадаю в категорию гентушников-слакварщиков из 0.001%. Но серьёзно, у меня просто нет задачи давать чрезмерные полномочия пользователям без квалификации. Это в любом случае дыра в более чем одном смысле.

Ответить | Правка | Наверх | Cообщить модератору

4. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +5 +/
Сообщение от asdasd (?), 31-Янв-20, 09:17 
> давать чрезмерные полномочия

А вы в курсе что sudo это не про root? И что можно пользователю дать права админа этой команде только на одну программу? И что что ваш kdesu (как и все su*) работает через теже конфиги и сущности?

Ответить | Правка | Наверх | Cообщить модератору

6. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –9 +/
Сообщение от Онаним (?), 31-Янв-20, 09:32 
У них разный код. Код sudo на си не безопасен, чего не понятного то.
Ответить | Правка | Наверх | Cообщить модератору

58. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +2 +/
Сообщение от Аноним (58), 31-Янв-20, 15:13 
А kdesu на C++ безопасен :) Врочем в ржавчине без unsafe не обойтись всё-равно.
Ответить | Правка | Наверх | Cообщить модератору

138. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Аноним (138), 01-Фев-20, 08:59 
Тонко.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

7. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –8 +/
Сообщение от Аноним (1), 31-Янв-20, 09:36 
А то ж. Но всё равно, возможностей слишком много насовали в коде, от того и все проблемы. Вон убунтята минусят как активно, в олдскульных (slackware/opensuse) и гибких (gentoo) дистрах с этим попроще как-то.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

48. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +1 +/
Сообщение от Анонимун (?), 31-Янв-20, 14:20 
>убунтята

Зато в убунту не надо пароль при монтировании разделов вводить. Я как представлю, что на такую ерунду сложный пароль надо каждый раз вводить, волосы дыбом встают. Как вы там на ваших олдскульных (неубунтовских) дистрах то живете? Manjaro то хоть повернулась лицом к пользователям?

Ответить | Правка | Наверх | Cообщить модератору

50. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +2 +/
Сообщение от Аноним (1), 31-Янв-20, 14:44 
Так вроде ж полиси кит для этого придумали. Или я что-то упустил?
Ответить | Правка | Наверх | Cообщить модератору

56. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –1 +/
Сообщение от Анонимун (?), 31-Янв-20, 14:51 
А как его настроить?
Ответить | Правка | Наверх | Cообщить модератору

57. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Аноним (1), 31-Янв-20, 15:06 
Я не уверен, но поисковик выдал это первой ссылкой https://www.dynacont.net/documentation/linux/udisks2_polkit_.../

Странно что в каких-то дистрибутивах с этим проблемы, в моём кде с монтированием от пользователя вроде всё в порядке было ещё 10 лет назад. Неужели сломали, или это дистроспецифично? Судо совершенно точно не для того существует, оно костыль для выполнения команды бесправного пользователя с правами другого бесправного пользователя.

Ответить | Правка | Наверх | Cообщить модератору

60. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –1 +/
Сообщение от Анонимун (?), 31-Янв-20, 15:19 
> Странно что в каких-то дистрибутивах с этим проблемы

"Моя дочь позвонила мне из школы, потому что она не может использовать для печати школьный принтер".
Линус Тролльвальдс.
2012

Ответить | Правка | Наверх | Cообщить модератору

155. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от апоао (?), 01-Фев-20, 20:03 
Поставить нормальное ДЕ.
Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

159. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Анонимун (?), 01-Фев-20, 23:42 
Максимум может закэшировать пароль на время.
Ответить | Правка | Наверх | Cообщить модератору

165. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Анонимун (?), 02-Фев-20, 09:43 
Я как-то настраивал в арче, но уже не помню как. Речь не о том, можно ли настроить, а о том почему это не из коробки и приходится гуглить. Ну ладно у арча такая философия.
Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

59. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Аноним (58), 31-Янв-20, 15:16 
> не надо пароль при монтировании разделов вводить

Как там в криокамере? Ставим UDisk или вообще любое DE и там это по умолчанию. А ещё есть как минимум UDevil ну или udev настроить не проблема. Никогда в ручную не монтирую разделы, всегда это файловый манагер делал, но и бубунтой не пользуюсь. Видимо я какой-то не такой.

Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

61. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +1 +/
Сообщение от Анонимун (?), 31-Янв-20, 15:22 
> настроить не проблема

Не забудь задать flat-volumes=no в /etc/pulse/daemon.conf, если пользуешься.

Ответить | Правка | Наверх | Cообщить модератору

83. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Аноним (83), 31-Янв-20, 16:42 
А в чём с ними проблема? По умолчанию звук в пульсе хуже, чем в альсе, это факт, но falt-volumes я не заметил чтобы на что-то влияло. И причём тут удав, без которого сейчас, наверное, только Hyperbola обходится и то собирается на OpenBSD сваливать.
Ответить | Правка | Наверх | Cообщить модератору

84. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Анонимун (?), 31-Янв-20, 16:48 
>А в чём с ними проблема?

Я так и знал, что ты не знаешь. Громкость может скакнуть до 100% Я такое на арче словил несколько лет назад, на пульсу грешил. А в каких-то дистрах ее хорошо приготовили. Сейчас даже в арче/манжаро уже конфиг подправили (в федоре нет).

Ответить | Правка | Наверх | Cообщить модератору

85. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Анонимун (?), 31-Янв-20, 16:52 
> По умолчанию звук в пульсе хуже, чем в альсе, это факт

Пруфы будут? Тесты RMAA с внешней референсной звуковухи.
Качество ресемплера только надо увеличить /etc/pulse/daemon.conf
resample-method = speex-float-4
Хотя, и speex-float-1 терпимо звучит (ВЧ вроде чуть более резкие, но это надо сравнивать в слепом тесте).
А какой ресемплер в ALSA? Аппаратный?

Ответить | Правка | К родителю #83 | Наверх | Cообщить модератору

99. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от anonymous (??), 31-Янв-20, 19:02 
> Зато в убунту не надо пароль при монтировании разделов вводить. Я как представлю, что на такую ерунду сложный пароль надо каждый раз вводить, волосы дыбом встают

несложный udev скрипт генерит конфиг для autofs. Autofs монтирует флешку при обращении к содержимому и отмонтирует, когда флешкой больше не пользуются. Не нужны никакие polkit, udisks, dbus. Всё уже есть в ядре.

Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

117. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –2 +/
Сообщение от пох. (?), 31-Янв-20, 22:57 
> Autofs монтирует флешку при обращении к содержимому и отмонтирует, когда

ему взбредет в голову, что флэшкой больше не пользуются.
Попутно засыпает логи тонной псевдоошибок из-за попыток смонтировать то, чего нет.

> Не нужны никакие polkit, udisks, dbus.

тут согласен - не нужны. В windows уже все есть.

А в юниксах отродясь был /sbin/mount. Нет, ему не нужна sudo, он и так setuid root.

Ответить | Правка | Наверх | Cообщить модератору

150. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от anonymous (??), 01-Фев-20, 15:35 
> Попутно засыпает логи тонной псевдоошибок из-за попыток смонтировать то, чего нет.

Именно поэтому конфиг нужно править udev скриптом, добавляя только те флешки, которые сейчас физически воткнуты.

Ответить | Правка | Наверх | Cообщить модератору

153. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –1 +/
Сообщение от пох. (?), 01-Фев-20, 18:24 
что только не делают альтернативно-одаренные, только чтоб mount /media не набрать - они ж от этого пополам порвутся.

Причем, когда у меня завершился umount - я _совершенно_ уверен в том, что данные - на флэшке, а не застряли в буфере, и что никакое автоу...жище не попытается тут же смонтировать ее обратно, вообразив что этим мне окажет услугу.

Но вот выковыривать эти автоуежища из того, что когда-то было моим юниксом - чем дальше, тем тяжелее и противнее.

А windows, у которой нет ни одной из этих проблем - у меня и так уже одна есть.

Ответить | Правка | Наверх | Cообщить модератору

161. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от anonymous (??), 02-Фев-20, 03:40 
> что только не делают альтернативно-одаренные, только чтоб mount /media не набрать - они ж от этого пополам порвутся.

Вот совершенно точно помню, что mount требует привилегий суперпользователя. И никаких настроек для доступа обычных пользователей не предлагает. Что-то изменилось?

autofs уже очень давно в ядре. И если его туда добавили и до сих пор не удалили - значит оно очень нужное и полезно для пользователей.

Ответить | Правка | Наверх | Cообщить модератору

164. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Анонимун (?), 02-Фев-20, 09:34 
Не оно?
sudo chmod g-s /bin/mount
sudo chmod u+s /bin/mount
https://debianforum.ru/index.php?topic=9897.0
/bin/mount имеет права 4755
Ответить | Правка | Наверх | Cообщить модератору

167. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Анонимун (?), 02-Фев-20, 10:15 
>windows, у которой нет ни одной из этих проблем

Ты никогда не сталкивался, что на windows кто-то держит флешку и не отдает?

>выковыривать эти автоуежища

В каких дистрах и de? Проблем не замечал.

Ответить | Правка | К родителю #153 | Наверх | Cообщить модератору

172. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –1 +/
Сообщение от пох. (?), 02-Фев-20, 13:49 
>>windows, у которой нет ни одной из этих проблем
> Ты никогда не сталкивался, что на windows кто-то держит флешку и не отдает?

а, пардон, да, эта проблема - общая.

Правда, на windows чаще удается этого кого-ту найти и пристрелить, чтоб не мучался. И уж точно не повиснет при перезагрузке из-за того что /media не удалось отмонтировать, из-за этого / тоже не удается, ой, сцыстемде повис в бесконечном ожидании чуда.

> В каких дистрах и de? Проблем не замечал.

в каких дистрах еще НЕТ udisks(2) - мы идем к вам!
А уж про автомаунт и вспоминать не хочется.

Все эти костылики-подпорочки под конецепцию unix vfs 72го года давным-давно пора было выбросить или радикально переделать. Во времена Ритчи-то понятно, rk диски без отмонтирования не то что не придет в голову никому вынимать, их и после надо было по сложной процедуре останавливать - иначе одновременно попадали на замену и диска, и голов в дисководе. Поэтому им тогда и не казалось проблемой, что в системе вообще нет места для принудительно всем сказать "эта часть дерева больше не существует, ваши дескрипторы превратились в тыкву".

Ответить | Правка | Наверх | Cообщить модератору

174. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –1 +/
Сообщение от Анонимун (?), 02-Фев-20, 16:08 
Не понимаю твоих разглагольствований. Факт в том, что на винде я проблемы ловил, а на линуксе нет.
Ты обвиняешь софт в том, что он давно написан?
Ответить | Правка | Наверх | Cообщить модератору

179. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от пох. (?), 05-Фев-20, 12:39 
> Не понимаю твоих разглагольствований.

гуглем, википедией, что-ли, пользуйся, повышай образование. А, нет, тебе просто неинтересно.

> Факт в том, что на винде я проблемы ловил, а на линуксе нет.

ну да, главное год линyпса на десктопе не забывать провозглашать с мака - и никогда проблем не словишь.

> Ты обвиняешь софт в том, что он давно написан?

он недавно написан. Причем с нуля. Но по шаблонам полувековой давности, которые старательно косплеит. Конкретно этот - с единым vfs деревом без единого разрыва - был адски неудачным, потому что когда его придумывали - проблема сменного носителя не существовала, а те что были на самом деле сменными, в дерево и не включались.
Правильный подход, как обычно, выбрала microsoft с ее буковками дисков, которые при этом стали независимы друг от друга - всего на десять лет позже, когда сменные носители уже стали нормой.
Но и помимо буковок были другие варианты. По факту ни в одном юниксоподобии не реализованные - потому что тут мелкими улучшизмами не обойдешься, тут систему менять надо.
А система сидит в самых сокровенных недрах ядра, которые переделать рука не поднимется ни у кого - даже если бы нашелся тот, кто на самом деле может.

Поэтому имеем неотмонтируемые диски, неосвобождаемые точки монтирования, превращающие в неотмонтируемый и следующий выше по иерархии, или потенциальный kernel panic при попытке все же отмонтировать неотмонтируемое (freebsd, и обратить внимание еще какой изящный костыль там подставлен под проблему шатдауна - линукс так не может).

Ответить | Правка | Наверх | Cообщить модератору

168. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Анонимун (?), 02-Фев-20, 10:18 
>В windows уже все есть

Во времена XP в твоей чудной windows был рай с авторанами.

Ответить | Правка | К родителю #117 | Наверх | Cообщить модератору

169. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Анонимун (?), 02-Фев-20, 10:27 
Это ж надо догадаться без спроса запускать экзешники с левых носителей. Да с любых, на локальных дисках тоже (и сетевых). Помню занятную историю. В колледже на практике с друганом скопировали игру с компакт диска в корень диска C:. Ну ок. И тут он ко мне приходит и говорит "попробуй зайти на диск C:". А там autorun.inf игровой запускал установщик игры. Ну я тогда чайник был. Говорю, не проблема. Сейчас восстановление системы сделаем. Ну и сделал, исправилось.

Еще в win7 вставил диск с лицушной игрой, защищенной starforce и рассчитанной только под XP. И всё привод исчез и больше не появлялся. Хоть систему переставляй. Гуглеж точно обеспечен. Таких историй то много можно порассказать. Для XP был даже специальный батник, который в куче месте автозапуск отключал.

Ответить | Правка | Наверх | Cообщить модератору

173. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от пох. (?), 02-Фев-20, 13:53 
> порассказать. Для XP был даже специальный батник, который в куче месте
> автозапуск отключал.

место всего одно - ключ в registry. Для старше XP уже была настройка в control panel.

Кстати, у xp и раньше авторан был возможен только с локального носителя, сетевые появились то ли с сервиспаком, то ли вообще в семерке.
Видимо она просто разучилась их отличать.

Сделано было - внезапно, для удобства пользователя. И действительно экономило этому пользователю время на ненужные клики. А что васяны тащили в рот всякую какую с развала в подворотне - это их васянские трудности.

Ответить | Правка | Наверх | Cообщить модератору

170. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от пох. (?), 02-Фев-20, 13:32 
молодец, выучил урок истории, садись, три.

На пять неплохо бы еще быть в курсе, сколько с тех пор прошло лет, и как оно отключалось глобально, а как - для конкретного носителя.

А рай с авторанами потом редхат переизобрела, и вот он-то не отключался нормальным образом никак. К счастью, это было настолько ненужноененужно, что прожило недолго и мгновенно забыто.

Ответить | Правка | К родителю #168 | Наверх | Cообщить модератору

116. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –6 +/
Сообщение от Аноним (116), 31-Янв-20, 22:29 
>А вы в курсе что sudo это не про root?

А вам известно то, что вы выражетесь по-чурекски, а не по-русски?

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

177. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от заминированный тапок (?), 03-Фев-20, 10:00 
*su- superuser, не про рут, доа
*sudo - superuser do, аналогично
*sudo -s - не про рут только дя одной программы, доа
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

14. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +21 +/
Сообщение от Аноним (14), 31-Янв-20, 10:22 
"А sudo? Бог с ним, с этим sudo, никто в здравом уме не будет его использовать"
Ты это, пилюльки по утрам не забывай принимать, а то припадки тебя выдают
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

15. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –3 +/
Сообщение от Аноним (1), 31-Янв-20, 10:31 
Пропихнули то точно так же как networkmanager с рутовыми бэкдорами. Типа, если десктоп, то от рута логиниться типа низзяя и вообще айяйяй, всем использовать судо, это же так удобно и безопасно. Но это чистой воды бред и манипуляции.

С другой стороны для рута теперь стали урезать некоторые интересные возможности вроде лишних прав на некоторые операции (в grsecurity подсмотрели, не иначе), которые ему в нынешних реалиях не нужны и это в принципе не плохо. Главное не докатиться до ситуации, где системный аккаунт имеет прав больше рутового. Так вот, судо — это такая же конвиниенс поделка, как нм, совершенно излишняя и чужеродная для большинства систем.

Ответить | Правка | Наверх | Cообщить модератору

66. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Anonplus (?), 31-Янв-20, 15:50 
>> Типа, если десктоп, то от рута логиниться типа низзяя

Так иди на десяточку, там UAC отключаешь, включаешь встроенную учётку администратора и сидишь под ней.

Ответить | Правка | Наверх | Cообщить модератору

67. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –1 +/
Сообщение от Аноним (1), 31-Янв-20, 15:52 
Ничего страшного не случится. Админ не такая же ограниченная учётка, как пользователь с правами админа? Это не равноценно руту, с UAC или без.
Ответить | Правка | Наверх | Cообщить модератору

21. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +1 +/
Сообщение от A (?), 31-Янв-20, 11:02 
sudo -i

И нет больше судо.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

28. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Аноним (28), 31-Янв-20, 11:30 
su -
Ответить | Правка | Наверх | Cообщить модератору

110. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Сергей (??), 31-Янв-20, 21:13 
тут пароль root'a вводить надо
а при sudo -i надо вводить свой (или не надо никакого.
"Почувствуйте разницу"
Ответить | Правка | Наверх | Cообщить модератору

162. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Аноним (162), 02-Фев-20, 09:04 
> тут пароль root'a вводить надо

И совершенно правильно и логично.

Ответить | Правка | Наверх | Cообщить модератору

62. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –1 +/
Сообщение от PereresusNeVlezaetBuggy (ok), 31-Янв-20, 15:26 
Странно, что же тогда делает строчка KDESU_USE_SUDO_DEFAULT в src/CMakeLists.txt исходников kdesu?..
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

65. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –1 +/
Сообщение от Аноним (1), 31-Янв-20, 15:48 
> Странно, что же тогда делает строчка KDESU_USE_SUDO_DEFAULT в src/CMakeLists.txt исходников
> kdesu?..

Действительно, что она делает? У меня нет и не было никакого sudo, как и никаких проблем, с тем что софт под ней не работает (чтобы было более понятно, при запуске через судо постоянно какие-то косяки выплывают, но их не бывает под su и kdesu).

Ответить | Правка | Наверх | Cообщить модератору

148. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от none (??), 01-Фев-20, 14:25 
болванчик.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +2 +/
Сообщение от Аноним (2), 31-Янв-20, 08:58 
Правильно, пароль не долден отображаться никак
Ответить | Правка | Наверх | Cообщить модератору

5. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +7 +/
Сообщение от Аноним (5), 31-Янв-20, 09:18 
Перепись решёт: Linux Mint, OpenBSD, Elementary OS, FreeBSD, Solus, Ubuntu. Кто следующий?
Ответить | Правка | Наверх | Cообщить модератору

8. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –1 +/
Сообщение от BlackRot (ok), 31-Янв-20, 09:36 
Все производные от убунту
Ответить | Правка | Наверх | Cообщить модератору

11. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –1 +/
Сообщение от aa (?), 31-Янв-20, 09:53 
в опенбсд уже давно собственная doas вместо "дырявой" sudo
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

12. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +6 +/
Сообщение от Аноним (-), 31-Янв-20, 10:01 
речь не про doas/sudo, а про недавние баги в опёнке и других ос
рeшeто на рeшeтe и рeшeтом погоняeт, типа камень в сторону опенки, которая мало чем отличается в плане безопасности от других ос, хотя бьёт себя пяткой в грудь про супир-кукурити
Ответить | Правка | Наверх | Cообщить модератору

20. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Аноним (20), 31-Янв-20, 11:00 
Тогда перечисляй вообще всё. Можно пальцем ткнуть в любой проект и хотя бы одна обнаруженная уязвимость у него будет.
Ответить | Правка | Наверх | Cообщить модератору

68. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +4 +/
Сообщение от Аноним (-), 31-Янв-20, 15:53 
Не об этом речь. Баги есть везде безулоснов. Но ты не понял, почему в этом контексте смешно выглядят именно OpenBSD.

А смешно они выглядят потому, что пытаются выглядеть тем, чем на деле они не являются. Это абсолютная рядовая с точки зрения безопасности система - и когда на неё обращаются внимание независимые ресёрчеры, то находят довольно примитивные баги. Если бы те миллионы рук, которые каждодневно вылизывают ядро Linux, направить на поиск багов в опенке - багтракер залило бы на годы вперёд... но проблема в том, что опенка мало кому интересна, поэтому редкие аудиты тут выполняются 4fun независимыми конторами.

Теперь дошло?

Ответить | Правка | Наверх | Cообщить модератору

87. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –1 +/
Сообщение от Аноним (20), 31-Янв-20, 17:18 
С миллионами ты перегнул. Что-то не помогли sudo эти миллионы. Обнаружили только сейчас. А аудит оплатить даже NetBSD смогла.
Ответить | Правка | Наверх | Cообщить модератору

152. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Павел Отредиезemail (?), 01-Фев-20, 17:30 
В openbsd в ядре применены по умолчанию почти все приёмы grsecurity. А в linux по умолчанию этого нет. Вот они и заявляют про безопасность.
Ответить | Правка | К родителю #68 | Наверх | Cообщить модератору

175. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +1 +/
Сообщение от PereresusNeVlezaetBuggy (ok), 02-Фев-20, 18:42 
Проект OpenBSD не пытается никем _выглядеть_. Разработчики делают то, что считают правильным (например, использовать по возможности безопасные настройки по умолчанию). И предоставляют вам _возможность_ этим пользоваться. А что вам _кажется_ — это лично ваши проблемы.
Ответить | Правка | К родителю #68 | Наверх | Cообщить модератору

29. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +5 +/
Сообщение от llol (?), 31-Янв-20, 11:32 
> в опенбсд уже давно собственная doas вместо "дырявой" sudo

И собственный OpenSMTPD вместо Postfix, LOL!

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

69. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +1 +/
Сообщение от tonp (?), 31-Янв-20, 15:57 
Бугага, плюсую! Опёнок заовнен своим же козырем, учитывая недавний шок-контент с удалённым рутом -

https://www.opennet.me/opennews/art.shtml?num=52267

Ответить | Правка | Наверх | Cообщить модератору

72. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –1 +/
Сообщение от Аноним (-), 31-Янв-20, 16:06 
как там у них? онли ту ремоут хоулз ин э хэк а лонг таймз... и локальные баги не баги... при нестандартном окружении это тоже не баги... при недефолтных конфигах и настройках это тоже не баги... а вот это не и баги вовсе, запишем в еррата... ку-ка-ре-ку... онли ту ремоут хоулз ин э хэк а лонг таймз... ку-ка-ре-ку...
Ответить | Правка | Наверх | Cообщить модератору

176. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +2 +/
Сообщение от PereresusNeVlezaetBuggy (ok), 02-Фев-20, 18:49 
Если я настрою Web-сервер так, чтобы /bin/sh от рута выполнялся по определённому URL, это тоже баг Web-сервера, или всё же мои кривые руки?

Свалили всё в кучу (явно не от избытка способности различать понятия local, remote, bug и security hole), кукарекаете... Дефицит йода? Или вы из дурдома тайком пишете?

Ответить | Правка | Наверх | Cообщить модератору

49. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –1 +/
Сообщение от анонн (ok), 31-Янв-20, 14:25 
> в опенбсд уже давно собственная doas вместо "дырявой" sudo

Не-не-не, так просто вы не отвертитесь - еще не все забыли, что sudo бедные Пингвинята скопипировали как раз из опенка!1


Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

127. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Аноним (127), 01-Фев-20, 00:52 
https://www.archlinux.org/packages/community/x86_64/opendoas/ тоже.
Ответить | Правка | Наверх | Cообщить модератору

32. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от тоже Анонимemail (ok), 31-Янв-20, 12:22 

$ perl -e 'print(("A" x 100 . "\x{00}") x 50)' | sudo -S id
[sudo] пароль для root: Попробуйте ещё раз.
[sudo] пароль для root: Попробуйте ещё раз.
[sudo] пароль для root: sudo: 3 попытки ввода неправильного пароля
$ cat /etc/issue
Ubuntu 18.04.4 LTS \n \l

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

37. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Аноним (37), 31-Янв-20, 12:48 
А почему у тебя запрашивает пароль для root, а не пользователя?
От root сидишь?
Ответить | Правка | Наверх | Cообщить модератору

39. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –3 +/
Сообщение от тоже Анонимemail (ok), 31-Янв-20, 12:55 
> А почему у тебя запрашивает пароль для root, а не пользователя?

У меня и перед $ написаны пользователь и хостнейм. Просто вам их знать незачем.

Ответить | Правка | Наверх | Cообщить модератору

113. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –1 +/
Сообщение от Аноним (37), 31-Янв-20, 22:18 
sudo запрашивает пароль пользователя, а у тебя root. Значит ты под root сидишь.
Ответить | Правка | Наверх | Cообщить модератору

140. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от тоже Аноним (ok), 01-Фев-20, 11:16 
> Значит ты под root сидишь.

"Вы намеки понимаете? Так вот, обратите внимание: намек" (с)
Вывод отредактирован, поскольку я не хочу светить реальное имя пользователя. Только и всего.

Ответить | Правка | Наверх | Cообщить модератору

154. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от пох. (?), 01-Фев-20, 18:28 
> Вывод отредактирован, поскольку я не хочу светить реальное имя пользователя. Только и

он просто не знает про targetpw. Вероятно, ты тоже про него не знаешь, но в твоей системе именно он. (suse, поди?)

А у него было бы:
user's password:Sorry, try again.
user's password:Sorry, try again.
user's password:Sorry, try again.
sudo: 3 incorrect password attempts

Ответить | Правка | Наверх | Cообщить модератору

156. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от тоже Аноним (ok), 01-Фев-20, 21:18 
>> $ cat /etc/issue
>> Ubuntu 18.04.4 LTS \n \l
> Вероятно, ты тоже про него не знаешь, но в твоей системе именно он. (suse, поди?)

Да уж откуда мне...

Ответить | Правка | Наверх | Cообщить модератору

158. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +1 +/
Сообщение от пох. (?), 01-Фев-20, 22:25 
ну значит руками надевляпал, только вот зачем? С тем же точно успехом можно было бы пользоваться su.

Ответить | Правка | Наверх | Cообщить модератору

55. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +1 +/
Сообщение от Аноним (55), 31-Янв-20, 14:49 
> Перепись решёт: Linux Mint, OpenBSD, Elementary OS, FreeBSD, Solus, Ubuntu.

В рассматриваемом контексте Ubuntu принципиально (в настройках по умолчанию) отличается от Mint и Elementary.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

131. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –1 +/
Сообщение от анонимуслинус (?), 01-Фев-20, 03:20 
рабочим столом? там что то еще, но не суть. и все они не далеко утопали от дебиана. на счет опенка как то печально. у них там что повысилось число пользователей? и начали таки ловить дыры? фряха тут в принципе в самый раз.
Ответить | Правка | Наверх | Cообщить модератору

9. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +3 +/
Сообщение от Аноим (?), 31-Янв-20, 09:48 
А интересно - зачем в принципе эти звездочки нужны? Без них - не?..
Ответить | Правка | Наверх | Cообщить модератору

23. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +1 +/
Сообщение от A (?), 31-Янв-20, 11:03 
Если тремор рук и т.п. Для невалидных состояний.
Ответить | Правка | Наверх | Cообщить модератору

26. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –1 +/
Сообщение от Аноним (26), 31-Янв-20, 11:18 
Пить надо меньше.
Ответить | Правка | Наверх | Cообщить модератору

24. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +2 +/
Сообщение от Sluggard (ok), 31-Янв-20, 11:03 
Видимо, некоторые, видя пустоту при вводе пароля, с непривычки могут подумать, что у них ничего не вводится.
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

30. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +3 +/
Сообщение от Аноним (30), 31-Янв-20, 11:38 
Не "видимо", а так и есть. Некоторые даже лезут за системник дёргать шнур от клавиатуры.
Ответить | Правка | Наверх | Cообщить модератору

132. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от анонимуслинус (?), 01-Фев-20, 03:22 
вы че это ж системное пасхальное яйцо линя с фиг знает какого времени. считайте это фишкой линя и продолжайте дергать шнуры дозволяю))
Ответить | Правка | Наверх | Cообщить модератору

31. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +4 +/
Сообщение от пох. (?), 31-Янв-20, 11:42 
без них сложнее и неудобнее набирать пароль, как ни странно.

Потому что отсутствует фидбэк - то ли ты нажал кнопку, то ли недожал. Во вслепую вводимых паролях, если ты присмотришься к своему поведению, опечатываешься гораздо чаще чем в набираемом в открытом виде тексте.

Но затея со звездочками - уежищна целиком и полностью, как, впрочем, и ее реализация, и как все улучшизмы в sudo за последние лет пятнадцать. Д-6лам не понять, что программа подобного рода прежде всего должна быть простой как палка.

P.S. разработчикам на модных-современных фреймворках на заметку: наиболее правильно этот фидбэк был сделан в дремучем 96м году, если не ошибаюсь, в netware os/2 client.
Никакие дурацкие звездочки не рисовались (как минимум, незачем стоящему за плечом знать длину пароля), но курсор сдвигался - причем не на стандартную ширину символа, а на совсем еле-видную величину - этого как раз хватало, чтобы понять, что да, нажатие ушло, но невозможно было оценить, сколько уже набрано символов.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

33. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –3 +/
Сообщение от Аноним (33), 31-Янв-20, 12:23 
> без них сложнее и неудобнее набирать пароль, как ни странно.

Пароль не нужно набирать, его нужно копировать из KeePassXC. Хороший пароль запаришься набирать

Ответить | Правка | Наверх | Cообщить модератору

35. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от пох. (?), 31-Янв-20, 12:30 
ага, мышкой, через два клипборда. А лучше при удаленной работе - через четыре. БезопасТность 18lvl

Пароль к sudo, на мой-то взгляд, вообще набирать не нужно. Чем, помимо прочего, она и замечательна. Особенно в сочетании с бестолковой gnu su.

Ответить | Правка | Наверх | Cообщить модератору

38. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –1 +/
Сообщение от Аноним (33), 31-Янв-20, 12:53 
Если у тебя на хостах клипборды небезопасно использовать, то о каких sudo вообще идёт речь тогда?
Ответить | Правка | Наверх | Cообщить модератору

63. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +6 +/
Сообщение от PereresusNeVlezaetBuggy (ok), 31-Янв-20, 15:34 
> Если у тебя на хостах клипборды небезопасно использовать, то о каких sudo
> вообще идёт речь тогда?

Вот комп, который пользует юзер.

А это — десктоп для ОСи
На компе, который пользует юзер.

А это — браузер,
Имеющий GUI на десктопе ОСи
На компе, который пользует юзер.

А это — страница в Сети,
Открытая в браузере
Имеющем GUI на десктопе ОСи
На компе, который пользует юзер.

А это — JS,
Работающий на странице,
Открытой в браузере,
Имеющем GUI на десктопе ОСи
На компе, который пользует юзер.

А это — буфер обмена,
В который лезет JS,
Работающий на странице,
Открытой в браузере,
Имеющем GUI на десктопе ОСи
На компе, который пользует юзер.

А это — пароль от ВК,
Скопированный в буфер обмена,
В который лезет JS,
Работающий на странице,
Открытой в браузере,
Имеющем GUI на десктопе ОСи
На компе, который пользует юзер.

А это — KeePass,
Откуда был взят пароль,
Скопированный в буфер обмена,
В который лезет JS,
Работающий на странице,
Открытой в браузере,
Имеющем GUI на десктопе ОСи
На компе, который пользует юзер.

А это — юзер-недоумок,
Надеющийся на KeePass,
Откуда был взят пароль,
Скопированный в буфер обмена,
В который лезет JS,
Работающий на странице,
Открытой в браузере,
Имеющем GUI на десктопе ОСи
На компе, который пользует юзер.

Ответить | Правка | Наверх | Cообщить модератору

80. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +1 +/
Сообщение от Аноним84701 (ok), 31-Янв-20, 16:34 
> А это — юзер-недоумок,
> Надеющийся на KeePass,
> Откуда был взят пароль,
> Скопированный в буфер обмена,
> В который лезет JS,

А это стихи,
От тех, кто похоже не видел толком КееPass
Который умеет в "Perform Autotype"[0],
Позволяющий   (от слова совсем) обойтись без копирования пароля в буфер обмена,
В который так упорно лезет JS,
Работающий на странице,
Открытой в браузере,
Имеющем GUI на десктопе ОСи
На компе, который пользует юзер.

[0] https://keepass.info/help/base/autotype.html

Ответить | Правка | Наверх | Cообщить модератору

88. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –2 +/
Сообщение от Аноним (1), 31-Янв-20, 17:27 
Зачем ему сеть? Чтобы все знали, где у меня стоит пароль qwerty? Привет мазилле. -_-
Ответить | Правка | Наверх | Cообщить модератору

90. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –1 +/
Сообщение от юникснуб (?), 31-Янв-20, 17:56 
>[оверквотинг удален]
> От тех, кто похоже не видел толком КееPass
> Который умеет в "Perform Autotype"[0],
> Позволяющий   (от слова совсем) обойтись без копирования пароля в буфер
> обмена,
> В который так упорно лезет JS,
> Работающий на странице,
> Открытой в браузере,
> Имеющем GUI на десктопе ОСи
> На компе, который пользует юзер.
> [0] https://keepass.info/help/base/autotype.html

А это команда xev,
Для тех, кто любит PerformAutotype
Чтоб не копировать пароль
В буфер обмена, куда лезет JS,
Работающий на странице,
Открытой в браузере,
Имеющем GUI на десктопе ОСи
На компе, который пользует юзер.

Ответить | Правка | К родителю #80 | Наверх | Cообщить модератору

93. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +2 +/
Сообщение от Аноним84701 (ok), 31-Янв-20, 18:30 

> А это команда xev,
> Для тех, кто любит PerformAutotype
> Чтоб не копировать пароль

А это вообще команда xspy,
Для тех кто  даже не пытался запустить xev
И KeePass в связке с PerformAutotype,
Иначе бы знал, что не только в xspy, но и в xev,
Ничего не видать из паролей тех,
Кто любит PerformAutotype.

А вооот это -- банальная логика,
Которая подсказывает
Тем, кто любит PerformAutotype,
Что кейлоггер утянет введеные
Ручками пароли совсем не хуже,
Зато менеджер паролей,
Позволит запросто иметь полсотни разных,
Случайных паролей хоть,
В сотню знаков каждый,
Для каждого ресурса свой!

Яркий светодиодный свет!
На циновку тень свою
Бросила крышка ноутбука.

Ответить | Правка | Наверх | Cообщить модератору

82. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Аноним (33), 31-Янв-20, 16:40 
Ну давай расскажи мне, как из файерфокса получить доступ к системному clipboard
Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

89. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –1 +/
Сообщение от юникснуб (?), 31-Янв-20, 17:52 
> Ну давай расскажи мне, как из файерфокса получить доступ к системному clipboard

Документацию от Mozilla читать не пробовали?

https://developer.mozilla.org/en-US/docs/Mozilla/Add-ons/Web...

Ответить | Правка | Наверх | Cообщить модератору

102. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Аноним (102), 31-Янв-20, 19:25 
Пробовал. И paste не работает.
Попробуй сам в простую html страничку вставить примеры кода - copy работает, а paste - нет

Даже для экстеншена нужно разрешение. А для обычного скрипта никак, насколько я понял

> First, you will need to have the "clipboardRead" permission established for your extension. This is the case even if you're using the "paste" command from within a user-generated event handler such as click or keypress.

Ответить | Правка | Наверх | Cообщить модератору

103. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Аноним (103), 31-Янв-20, 19:39 
Правильно, потому что на эту проблему обратили внимание раньше, и в лоб вставка уже N релизов, к счастью, не работает. Но многие, увы, даже не подозревают, или не задумывался над тем, что браузер позволяет прямо или косвенно кому-то извне утащить почти любые данные, доступные пользователю. Кое-кто, вроде тех же разработчиков OpenBSD, что-то пытается делать, да и разработчики Chrome, к счастью, понимают проблему (у Mozilla всё несколько более печально, им инерция архитектуры мешает, из-за чего отчасти и хотят уйти на Rust). Но пока пользователи сами не осознают в массе, что все их пароли находятся в самой ближайшей доступности от любого залётного хакера, ситуация коренным образом не поменяется. Вот я и просвещаю постепенно. Нет смысла в первом классе давать дифференциальное исчисление, к нему надо готовить.
Ответить | Правка | Наверх | Cообщить модератору

108. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от пох. (?), 31-Янв-20, 20:36 
> даже не подозревают, или не задумывался над тем, что браузер позволяет
> прямо или косвенно кому-то извне утащить почти любые данные, доступные пользователю.

ну вообще-то не "доступные пользователю", а "сознательно сделанные пользователем доступными другим программам" - потому что он, вообще-то, ХОТЕЛ их передать. Только не туда ;-)

Разумеется, в идеальном-то мире они передадутся по явному нажатию пользователем кнопки именно в нужном окне, и никому больше не достанутся, а на практике - как обычно :-(

Ответить | Правка | Наверх | Cообщить модератору

121. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от юникснуб (?), 31-Янв-20, 23:45 
Если с помощью штатных API, то их ещё можно условно назвать санкционированными пользователем. Хотя тот же пример с доступом к буферу обмена наглядно демонстрирует, скажем мягко, наивность данного подхода: сначала мы разрешаем что-нибудь делать на компьютере пользователя, а потом только начинаем обдумывать последствия.

Но не меньше веселит и тот факт, что между нехорошим человеком где-то в Сети и пользовательскими данными находятся несколько десятков мегабайт далеко не слишком качественного кода (как самого браузера, так и подключаемых им компонентов, типа всякой мультимедии), и код этот, если его правильно попросить, может легко сделать open(".ssh/id_rsa", O_RDONLY, 0), ну или там что-нибудь интересное достать через /proc или sysctl(). Что периодически, собственно, и происходит.

Ответить | Правка | Наверх | Cообщить модератору

141. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от пох. (?), 01-Фев-20, 13:25 
ну вот то кто придумал id_rsa - придумал его и зашифровать от греха.

sudo поддерживала (без помощи насквозь дырявой концепции и реализации pam, что характерно) otp-пароли - еще в 90е годы.

Но макаки все равно всех победили, принеся нам "веб-приложения", дурацкие звездочки и google authentificator с чисто случайно, ну конечно же, закрытым кодом.

Ответить | Правка | Наверх | Cообщить модератору

151. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +1 +/
Сообщение от Aninomuz (?), 01-Фев-20, 16:47 
завтра снова поломают, не расслабляйся
Ответить | Правка | К родителю #102 | Наверх | Cообщить модератору

137. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –1 +/
Сообщение от JSOff (?), 01-Фев-20, 07:08 
Ежли JS отрублен на остальное пофиг
Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

79. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –1 +/
Сообщение от Аноним (83), 31-Янв-20, 16:33 
Аноним, помни! Не корми троля!
Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

106. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –2 +/
Сообщение от пох. (?), 31-Янв-20, 20:33 
если у тебя на хостах безопасно хранить пароли от чего попало клиртекстом в месте, которое ты не контролируешь вообще никак - ни кто его читает (от браузера до троянца), ни на каком хосте (он виден запущенному в remote x session точно так же - у rdp, кстати, есть защщshiта), ни сколько времени он там может пролежать - то я вообще не пойму, зачем тебе какой-то хреньпасс? Храни их сразу клиртекстом, у тебя ж хост безопастный, меньше ж возни будет.

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

43. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от PnD (??), 31-Янв-20, 13:37 
На обычной консоли (хоть vt100) "человеческий" отклик нетрудно изобразить (например) при помощи "\", "/" и "забоя". Неподготовленный наблюдатель максимум что увидит — чётность числа символов в набранном.
* Но можно и как в Лотусе когда-то. От 1 до 3-х "X" afair. * Лучше бы они ничего не печатали.
Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

51. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от нах. (?), 31-Янв-20, 14:44 
ну в общем, да, если головой подумать, то, пожалуй, и в консоли эта идея более-менее разумно реализуется.
Но разработка sudo уже больше десятка лет в руках каких-то деятельных идиотов, кто бы там головой-то думал, да и где у осьминога, как вы думаете, голова?

P.S. а лотусы просто издевались. Впрочем, по заслугам и награда.

Ответить | Правка | Наверх | Cообщить модератору

91. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –1 +/
Сообщение от юникснуб (?), 31-Янв-20, 17:58 
> Но разработка sudo уже больше десятка лет в руках каких-то деятельных идиотов,
> кто бы там головой-то думал, да и где у осьминога, как
> вы думаете, голова?

Разработка sudo уже больше десятка лет практически не ведётся. Проект де-факто поддерживает Todd Miller, а навороты прилетают, если не ошибаюсь, больше извне. От того же RedHat, например.

Ответить | Правка | Наверх | Cообщить модератору

92. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –1 +/
Сообщение от нах. (?), 31-Янв-20, 18:28 
да вот если бы не велась - все бы было хорошо. Но туда, похоже, комитят любой бред :-(

Насколько мне мой склероз изменяет - именно Миллер в свое время переписал половину этого чудовищного спагетти так, что им стало можно пользоваться. Но, похоже, ему стало все равно.

Ответить | Правка | Наверх | Cообщить модератору

122. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от юникснуб (?), 31-Янв-20, 23:49 
> да вот если бы не велась - все бы было хорошо. Но
> туда, похоже, комитят любой бред :-(
> Насколько мне мой склероз изменяет - именно Миллер в свое время переписал
> половину этого чудовищного спагетти так, что им стало можно пользоваться. Но,
> похоже, ему стало все равно.

Как минимум с его стороны, как разработчика OpenBSD, я не видел сожалений, когда sudo выкидывали.

Ответить | Правка | Наверх | Cообщить модератору

146. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от InuYasha (?), 01-Фев-20, 14:05 
Да можно много чего придумать. Например, просто квадратик, мигающий при каждом нажатии клавиши.
Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

114. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –1 +/
Сообщение от Ordu (ok), 31-Янв-20, 22:20 
> Потому что отсутствует фидбэк - то ли ты нажал кнопку, то ли недожал.

Это только на экранной клавиатуре. На механической есть тактильный фидбек, если, конечно, она не убитая в ноль.

upd. Хотя у меня тут на ноуте клава полетела, и я долго не мог понять в чём дело, потому как пароль не проходил. Когда я начал набирать пароль в поле логина, я понял, что некоторые клавиши набирают сразу две буквы, типа нажимаешь d, а получаешь du или типа того. Были бы звёздочки, они бы помогли бы быстрее диагностировать проблему, мне бы не понадобилось 10 минут на то, чтобы понять, что клавитуре надо отвесить хорошую оплеуху, чтобы пароль прошёл.

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

119. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –1 +/
Сообщение от пох. (?), 31-Янв-20, 23:05 
на мембранных клавиатурах никакого тактильного фидбэка нет, кроме "кнопка уперлась в днище", но с такой силой ты вряд ли набираешь пароли.
Там у кнопок, внезапно, есть ход. Часть его - мертвая. На очень хорошей клавиатуре, как ms'овская - надо постараться, чтобы его поймать. На среднепаршивом офисном логитехе - стараться не надо.

Ответить | Правка | Наверх | Cообщить модератору

139. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –1 +/
Сообщение от Ordu (ok), 01-Фев-20, 10:00 
> На очень хорошей клавиатуре, как ms'овская - надо постараться, чтобы его поймать.

Если это так, то единственный совет, который я могу тебе дать: не покупай хорошие клавиатуры. Выбирай не по "хорошести", а по удобству в использовании.

Ответить | Правка | Наверх | Cообщить модератору

133. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Аноним (133), 01-Фев-20, 03:32 
Вседа думал, что пароль пять звездочек.
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

143. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от пох. (?), 01-Фев-20, 13:27 
>  Вседа думал, что пароль пять звездочек.

восемь же ж?!


Ответить | Правка | Наверх | Cообщить модератору

163. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Аноним (162), 02-Фев-20, 09:11 
А в чём, собственно, проблема звёздочек?

Вообще, хорошим тоном сейчас считается добавить кнопочку с показом пароля при её нажатии. Не всегда же за спиной кто-то стоит. Хотя в консоли такое реализовать может быть проблемой.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

10. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Аноним (10), 31-Янв-20, 09:49 
блин, меня как раз подкупила эта фишка в sudo в mint - когда вводишь пароль он отображается звёздочками. Это как-то привычнее, чем когда ничего не отображается и не понять вводится что-то или нет.

Не думал что даже в такой простой функции может быть уязвимость.

Думаю просто отключу эту функцию и подожду обновления

Ответить | Правка | Наверх | Cообщить модератору

13. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –5 +/
Сообщение от Аноним (1), 31-Янв-20, 10:07 
Пора бы уже привыкнуть. Лично я наоборот, каждый раз, когда вижу звёздочки, сильно нервируюсь. Потому что сразу ощущается, что вводимые данные застрянут минимум в десятке мест плейн текстом. И скорее всего отсылаются в интернет "на проверку надёжности", а уязвимости ещё только предстоит найти, потому что код написан не профессионалами.

С другой стороны отсутствие индикации ввода может вызывать ложное ощущение надёжности. Присутствие индикации помимо очевидного (можно подсмотреть длину — некоторые имеют опцию 3 звёздочки на каждый символ, что в целом бесполезно), означает многократное кеширование в памяти (плейнтекстом естественно) и где-то там ещё будет опция "убрать звёздочки и посмотреть ввод". Не далеко и до отправить в майкрософт/гугл/мозиллу на проверку, что не далеко от истины, потому что они именно туда и отправляются.

Ответить | Правка | Наверх | Cообщить модератору

17. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +1 +/
Сообщение от Аноним (17), 31-Янв-20, 10:38 
>И скорее всего отсылаются в интернет "на проверку надёжности"

Это вы про какой дистр?

Ответить | Правка | Наверх | Cообщить модератору

18. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +4 +/
Сообщение от Аноним (1), 31-Янв-20, 10:48 
GNU/Windows
Ответить | Правка | Наверх | Cообщить модератору

44. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Аноним (44), 31-Янв-20, 13:39 
С другой стороны пароли сами по себе не надежны надо использовать токены из соседней темы.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

47. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +1 +/
Сообщение от Аноним (1), 31-Янв-20, 14:13 
> С другой стороны пароли сами по себе не надежны надо использовать токены
> из соседней темы.

Не знаю, у меня давление шалит, извините.

Мне кажется, токены уже не раз зарекомендовали себя как крайне уязвимое решение, поэтому проприетарным чипам веры никакой быть не может. Тем более армовским копроцессорам, новости о уязвимости которых постоянно на слуху. Есть ли решения для использования валидного gpg ключа и OTP на его основе? Звучит довольно ненадёжно, конечно, но… Для простого логина вполне нормально. Для запасного "сервисного" логина можно оставить запароленый токен с секретным ключом (флэшку) в банковской ячейке.

Ответить | Правка | Наверх | Cообщить модератору

134. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Аноним (133), 01-Фев-20, 03:35 
>с секретным ключом (флэшку) в банковской ячейке.

А то есть банкам доверяешь?

Ответить | Правка | Наверх | Cообщить модератору

171. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от пох. (?), 02-Фев-20, 13:37 
>>с секретным ключом (флэшку) в банковской ячейке.
> А то есть банкам доверяешь?

сказали же - запароленный.
То есть банку вполне можно доверять в том, что он помешает _другим_ васянам ту флэшку стырить. А самому ему она нахрен не нужна, вот деньги в той ячейке хранить - это да, не стоит. Только дорогое это удовольствие, бро.

Кстати, забавно, что за фокусы с испаряющимися из ячеек деньгами до сих пор не то что никто не сидит, а ни одного уголовного дела не заведено.

Ответить | Правка | Наверх | Cообщить модератору

19. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +3 +/
Сообщение от mimocrocodile (?), 31-Янв-20, 10:49 
Крутая опция, включу везде, когда исправят дыру)
Ответить | Правка | Наверх | Cообщить модератору

22. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –7 +/
Сообщение от Аноним (22), 31-Янв-20, 11:03 
Ну вообще виновен тот, кто придумал и создал эту систему, а не те, кто просто пытается привести её в нормальный вид. Озаботились бы сразу отображением звездочек и все бы давно исправили и починили.
Ответить | Правка | Наверх | Cообщить модератору

27. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –4 +/
Сообщение от ryoken (ok), 31-Янв-20, 11:27 
Вот из-за таких кунштюков и не пользуюсь sudo. Давно, ещё с Дебиана. Щас на генте - при необходимости использую su.
Ответить | Правка | Наверх | Cообщить модератору

34. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +3 +/
Сообщение от Аноим (?), 31-Янв-20, 12:28 
> Вот из-за таких кунштюков и не пользуюсь sudo. Давно, ещё с Дебиана.
> Щас на генте - при необходимости использую su.

Это инструменты для разных задач, если что.

Ответить | Правка | Наверх | Cообщить модератору

81. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –2 +/
Сообщение от Аноним (1), 31-Янв-20, 16:39 
Но решают с их помощью почему-то одни и те же задачи. Я помню тоже когда линукс впервые поставил, всё переживал как же правильно, все на каждом углу плакали, мол, как опасно от рута что-то делать и надо всё делать через sudo. А какая разница, собственно? А никакой. Больше пустой работы разве что. И лишний вектор атаки. Рутовый шел (в том числе удалённый) — топчик по удобству всего чего только можно, и совершенно без недостатков. Естественно, что у пользователя его имеющего, будет полный контроль, но судо для ограниченного контроля тоже не очень подходит, только для выполнения команд без пароля (и это как правило единственная решаемая им проблема). Он появился раньше policykit, можно понять, но зачем он сегодня, да ещё и повсюду?
Ответить | Правка | Наверх | Cообщить модератору

95. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Аноим (?), 31-Янв-20, 18:32 
>[оверквотинг удален]
> помню тоже когда линукс впервые поставил, всё переживал как же правильно,
> все на каждом углу плакали, мол, как опасно от рута что-то
> делать и надо всё делать через sudo. А какая разница, собственно?
> А никакой. Больше пустой работы разве что. И лишний вектор атаки.
> Рутовый шел (в том числе удалённый) — топчик по удобству всего
> чего только можно, и совершенно без недостатков. Естественно, что у пользователя
> его имеющего, будет полный контроль, но судо для ограниченного контроля тоже
> не очень подходит, только для выполнения команд без пароля (и это
> как правило единственная решаемая им проблема). Он появился раньше policykit, можно
> понять, но зачем он сегодня, да ещё и повсюду?

Мы немного о разных вещах говорим. Я не про работу в личной системе. А про раздачу полномочий на предприятии. Вот есть у тебя 4 админа (ну предположим, что там дежурная смена в режиме 24х7) и чего - ты им всем доступ через su дашь?

Ответить | Правка | Наверх | Cообщить модератору

96. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –1 +/
Сообщение от Аноним (1), 31-Янв-20, 18:36 
>4 админа

Зачем им рут? Не положено. Есть группа adm, с них хватит.

Ответить | Правка | Наверх | Cообщить модератору

101. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от anonymous (??), 31-Янв-20, 19:19 
> Он появился раньше policykit, можно понять, но зачем он сегодня, да ещё и повсюду?

Потому что записать доступ к команде в sudoers - это одна строчка, а настроить аналогичное поведение policykit - это куча гемора в нескольких файлах.

Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору

86. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Annoynymous (ok), 31-Янв-20, 17:04 
Да. В su такой уязвимости быть не может!
Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

94. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –2 +/
Сообщение от нах. (?), 31-Янв-20, 18:31 
> Да. В su такой уязвимости быть не может!

Встолмана, вроде, выгнали нахрен - давайте пришлем патч со звездочками? Где скопипастить кривой код - у нас есть.

P.S. патч с проверкой группы wheel, полагаю, присылать бесполезно - не пройдет, это свято.

Ответить | Правка | Наверх | Cообщить модератору

36. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Аноним (36), 31-Янв-20, 12:37 
О, не даром я сразу удаляю файл 0pwfeedback из sudoers.d
Бесят эти звездочки в терминале.
Ответить | Правка | Наверх | Cообщить модератору

53. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –1 +/
Сообщение от нах. (?), 31-Янв-20, 14:49 
я обычно удаляю #include - потому что модный-современный способ автоподбрасывать мне конфиги со всяким мусором так, что я их даже не вижу - меня немного напрягает.

Чего и вам советую. Пользоваться sed сегодня немодно не только среди разработчиков, но и среди горе хакеров тоже, да и первый же visudo спалит дятла.

Ответить | Правка | Наверх | Cообщить модератору

123. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от юникснуб (?), 31-Янв-20, 23:51 
> я обычно удаляю #include - потому что модный-современный способ автоподбрасывать мне конфиги
> со всяким мусором так, что я их даже не вижу -
> меня немного напрягает.
> Чего и вам советую. Пользоваться sed сегодня немодно не только среди разработчиков,
> но и среди горе хакеров тоже, да и первый же visudo
> спалит дятла.

Дятлы зачастую и про visudo не знают, через nano напрямую редактируют.

Ответить | Правка | Наверх | Cообщить модератору

126. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Аноним (126), 01-Фев-20, 00:31 
Я слышал про visudo. Но зачем он нужен, если nano работает? Еще один инструмент изучать. Он хоть не гадит конфигами? Один раз я опечатался в nano и sudo перестал работать, но я просто загрузился в Live и поправил.
Ответить | Правка | Наверх | Cообщить модератору

136. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от юникснуб (?), 01-Фев-20, 05:33 
> Я слышал про visudo. Но зачем он нужен, если nano работает? Еще
> один инструмент изучать. Он хоть не гадит конфигами? Один раз я
> опечатался в nano и sudo перестал работать, но я просто загрузился
> в Live и поправил.

Всё хорошо, вы всё абсолютно правильно делаете, и ничего страшного в опечатках, конечно, нет. На любой компьютере всегда можно всё прервать и поправить через live-систему. Вы только не волнуйтесь. И таблеточки пить не забывайте.

Ответить | Правка | Наверх | Cообщить модератору

40. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от анонимно (?), 31-Янв-20, 12:59 
заходит тестировщик в бар...
Ответить | Правка | Наверх | Cообщить модератору

41. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +1 +/
Сообщение от Аноним (44), 31-Янв-20, 13:35 
Заказывает кружку пива. Заказывает 0 кружек пива. Заказывает 999999999 кружек пива. Заказывает -1 кружку пива. Заказывает ФАОЛФВОЫЛ.
Тут заходит реальный пользователь через sudo...
Ответить | Правка | Наверх | Cообщить модератору

42. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Аноним (126), 31-Янв-20, 13:36 
А у меня sudo вообще с опцией NOPASSWD.
Если есть доступ к компу можно из Live зайти.
Ответить | Правка | Наверх | Cообщить модератору

52. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от нах. (?), 31-Янв-20, 14:47 
тут из зала подсказывают, что ты забыл ее включить для пользователей www,nobody и mail.
Совершенно невозможно работать!
Ответить | Правка | Наверх | Cообщить модератору

78. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Аноним (126), 31-Янв-20, 16:25 
Профессиональная деформация у вас.
Ответить | Правка | Наверх | Cообщить модератору

45. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Аноним (45), 31-Янв-20, 13:51 
Ах вот как эти взёздочки отключаются. Оок, спасибо.
Ответить | Правка | Наверх | Cообщить модератору

46. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +1 +/
Сообщение от Аноним (46), 31-Янв-20, 14:02 
Полезная штука на самом деле. Если случайно подглядеть количество звёздочек, то задача по брутфорсу пароля сильно упрощается.
Ответить | Правка | Наверх | Cообщить модератору

54. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +1 +/
Сообщение от Аноним (54), 31-Янв-20, 14:49 
***************************************
Подбирай
Ответить | Правка | Наверх | Cообщить модератору

64. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Аноним (1), 31-Янв-20, 15:37 
Многовато символов, в районе 10 (реалистично) или 4-8 (часто встречается на практике) легко, особенно когда это словарные слова. А 4 символа сразу намекают что там 4 цифры и их легко сломать. Сегодня скриншоты (а иногда и видео экрана) регулярно отсылаются на сервера корпораций и всяких васянов, это называется "телеметрия". И вроде кто-то левый их даже перехватывал.
Впрочем келоггеры тоже не новы в области телеметрии, но поскольку приложения в курсе существования такой телеметрии, они пытаются препятствовать: захватывают монопольный ввод, следят чтобы их память никто не читал, и так далее. С иксами проблема: любое приложение может шпионить за вводом, но в венде например с этим борются.
Ответить | Правка | Наверх | Cообщить модератору

70. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Клыкастый (ok), 31-Янв-20, 15:59 
4 символа пароль на практике? вы где-то не там или не то практикуете.
Ответить | Правка | Наверх | Cообщить модератору

71. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Анонимун (?), 31-Янв-20, 16:05 
У меня один символ.
Ответить | Правка | Наверх | Cообщить модератору

74. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Аноним (126), 31-Янв-20, 16:11 
Убунта это позволяет, а вот Сусе и Федоре минимум два подавай. Третируют пользователя.
Ответить | Правка | Наверх | Cообщить модератору

160. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от анонимуслинус (?), 02-Фев-20, 01:23 
помнится время когда во время установки рутовый пас менее 6 символов фиг поставишь. а сейчас и беспарольный вход есть. куда катится мир.)))
Ответить | Правка | Наверх | Cообщить модератору

73. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Аноним (1), 31-Янв-20, 16:10 
> 4 символа пароль на практике? вы где-то не там или не то
> практикуете.

Это называется "пин". Люди часто берут их, потому они уже помнят как минимум с десяток всевозможных пинов, и они уже "секретные". Ещё бывает дата рождения в различных вариациях.

Ответить | Правка | К родителю #70 | Наверх | Cообщить модератору

97. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +1 +/
Сообщение от нах. (?), 31-Янв-20, 18:37 
>> 4 символа пароль на практике? вы где-то не там или не то
>> практикуете.
> Это называется "пин". Люди часто берут их, потому они уже помнят как
> минимум с десяток всевозможных пинов, и они уже "секретные". Ещё бывает

если бы они помнили с десяток, да еще и набирали их на цифровом паде - хрен бы ты такое подобрал, шутка ли - сорок бессмысленных цифр разглядеть и запомнить с первой попытки.

Но, к сожалению, они их помнят ровно один, меняя на всех картах, на которых это вообще разрешено. Причем не на 1111 только потому, что подлые банкоматы такой пин поставить не дают, непонятно вообще, почему. Ошибка, наверное, какая-то. (и 5555 тоже нельзя!)

P.S. пользователю на заметку - писать пин маркером на карте - совершенно дурацкая идея. Потому что когда карта уже в банкомате - хрен ты его там прочитаешь.


Ответить | Правка | Наверх | Cообщить модератору

75. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Аноним (54), 31-Янв-20, 16:12 
>Многовато символов, в районе 10 (реалистично)

У меня для вашей реалистичности новость:
http://www.postcogito.org/PublicationsInEnglish/improving-di...

Ответить | Правка | К родителю #64 | Наверх | Cообщить модератору

76. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Аноним (1), 31-Янв-20, 16:20 
>>Многовато символов, в районе 10 (реалистично)
> У меня для вашей реалистичности новость:
> http://www.postcogito.org/PublicationsInEnglish/improving-di...

Доо, у меня все пароли 50 знаков без словарных слов и с максимально сложными символами, я несколько штук в десятках вариаций помню и проблем никогда не было. Но далеко не все такие поехавшие, да и страшно подумать, что делать, если они забудутся от редкого использования.

По ссылке что-то на тему этого https://xkcd.ru/936/ написано, целиком не читал, но это всё ерунда, я своим личным примером могу утверждать, что запомнить как именно пишется твой пароль не проблема

Ответить | Правка | Наверх | Cообщить модератору

77. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Аноним (1), 31-Янв-20, 16:23 
Проблема в том что его не принимают, если ты не логинился пару месяцев. Я столкнулся с этим уже раз 100 (пароли правильные и были бережно сверены с резервной копией когда она имелась - не всегда даже зашифрованная, просто некоторые компании ожидают что у пользователей пароль всегда из 4 символов).
Ответить | Правка | Наверх | Cообщить модератору

98. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от нах. (?), 31-Янв-20, 18:46 
> Доо, у меня все пароли 50 знаков без словарных слов и с
> максимально сложными символами, я несколько штук в десятках вариаций помню и

и все десятки вариаций помнишь куда подходят - или успеваешь подобрать до срабатывания account lock? Молодец, мальчик с феноменальной памятью.

> По ссылке что-то на тему этого https://xkcd.ru/936/ написано, целиком не читал, но

то есть совершеннейшая глупость. Через год - даже если ты вспомнишь, какой именно бред послужил основой для пароля, что не факт, если бредить приходится раз в неделю для очередного сервиса - это совершенно не поможет тебе вспомнить, какой же из этого на самом деле получался пароль. "вроде что-то там про лошадь? Или коня?"

А два сложных пароля, используемые каждый день - запомнить не проблема. Проблема если дурацкие копропративные правила заставляют их менять раз в месяц, да еще и помнят неограниченное количество предыдущих. У меня на этот случай есть прекрасное решение, сводящее всю секьюрить к х...ю (смотрящий через плечо мгновенно поймет, если, как и я, умеет слепой набор), но практически непробиваемое идиотскими скриптами проверки.
Не скажу.

Точнее, обнародую в тот день, когда окончательно переключусь на выгул собак. Нигде у себя я такое не применяю, а те кто придумал такие придурошные проверки - должны в конце-концов пострадать.

Ответить | Правка | К родителю #76 | Наверх | Cообщить модератору

100. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Аноним (1), 31-Янв-20, 19:10 
Я предусмотрительно зашифровал подсказки и спрятал их в нескольких местах. Если даже пароль я не вспомню, то логику по которой шифровались подсказки и на что они ссылаются — должен. А важных паролей не так и много. Если принуждают менять, можно поменять половину/переставить местами часть символов и добавить какой-нибудь релевантный референс на суахили (который будет каждый раз новый).
Ответить | Правка | Наверх | Cообщить модератору

109. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от пох. (?), 31-Янв-20, 20:52 
> Я предусмотрительно зашифровал подсказки и спрятал их в нескольких местах. Если даже
> пароль я не вспомню, то логику по которой шифровались подсказки и
> на что они ссылаются — должен.

и будешь годами сидеть подбирать, как же ж ты именно эту бредятину - позашифровал.
Мне вот надысь не помогло - так и не вспомнил. То есть я знаю примерно слова, но хз как я их так ухитрился написать. Метаконтексты, на которых строятся такие штуки, с годами меняются, а этому было лет пять. Пришлось откапывать давно забытый ключ - на мое счастье, а) он вообще был b) у него несекьюрный пароль c) его было куда посунуть, а не сеть отвалилась.

> А важных паролей не так и много.

молод ты ыщщо (ну или используешь одни и те же - ай-ай-яй!)
У меня их на бумажке выписано - с пол-сотни. Это только те, которые я точно не вспомню, когда (если, тьфу-тьфу-тьфу) понадобятся.

> Если принуждают менять, можно поменять половину/переставить местами часть символов

заманаешься вспоминать потом, что на что поменял - сто раз так делали, и потом не могли через день вспомнить. К тому же пароль, который я ввожу триста раз на дню, нифига не будет первым попавшимся - например, последовательность UiOp ты _никогда_ не наберешь с первого раза правильно - где-нибудь нажмешь-отпустишь shift невпопад. А UwEp вообще заманаешься набирать. Поэтому нет, простой и надежный как доска метод, обеспечивающий 100% угадываемый с первого-второго раза пароль, если известен предыдущий, зато быстро и удобно набираемый.
Зато роботы тyповатые и роботоподобные ответственные (нет) сотрудники довольны и счастливы.

> и добавить какой-нибудь релевантный референс на суахили (который будет каждый раз
> новый).

и который ты изменил в пятнадцатый раз, уехал в отпуск на две недели - и счастливо не помнишь совсем.

Ответить | Правка | Наверх | Cообщить модератору

111. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Аноним (1), 31-Янв-20, 21:20 
Просто не запоминаю пароли, которые мне не нужны. Есть несколько категорий паролей, если я помню половину пароля для категории (а я помню), достаточно вспомнить вторую половину, которая обычно каким-то образом ассоциирована с тем, для чего она применена. Есть совершенно уникальные, где они необходимы, но забыть их маловероятно опять же в связи с наличием сильных ассоциаций. Вариант из примера с суахили запомнить будет не сложно, если перестановки подчиняются какому-то правилу, а суффикс привязан к числу этих перестановок. Угадать постороннему? Ну, если он соберёт много предыдущих паролей и сможет обнаружить паттерны, то это возможно. Но если у него есть все пароли (откуда?), то почему нет актуального?
Ответить | Правка | Наверх | Cообщить модератору

144. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от пох. (?), 01-Фев-20, 13:33 
> Просто не запоминаю пароли, которые мне не нужны.

были бы они не нужны - зачем бы их вообще создавать?

> если я помню половину пароля для категории (а я помню), достаточно
> вспомнить вторую половину, которая обычно каким-то образом ассоциирована с тем, для

ну в общем - мальчик с феноменальной памятью, ага. понятно. Приходи лет через пять - расскажешь, что из них ты сумеешь вспомнить потом.

> Ну, если он соберёт много предыдущих паролей и сможет обнаружить паттерны,
> то это возможно. Но если у него есть все пароли (откуда?),
> то почему нет актуального?

ты не пытался подумать,какой смысл вообще в этих периодических сменах паролей с невозможностью использования предыдущих, даже давних?

Очевидно, что он единственный - борцуны за безопастность предполагают, что их регулярно кто-то тырит (ну или подглядывает через плечо), иначе незачем их и менять. У меня прекрасно работает пароль двадцатипятилетней давности, ничуть не испортился.

Предполагается что тырит он их хоть и регулярно, но не каждые пять минут - поэтому измененный пароль кого-то от чего-то защищает, первое время.

Ответить | Правка | Наверх | Cообщить модератору

104. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Anonymus (?), 31-Янв-20, 19:58 
Mint 17.3, sudo 1.8.9p5.
Про "pwfeedback" упоминаний вообще нет... А нищебрoдствo и ретроградство-то, оказывается, и тут свои плюсы имеет.
Ответить | Правка | Наверх | Cообщить модератору

105. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Мамкин Хакер (?), 31-Янв-20, 20:08 
Не "которая отключена по умолчанию" , а "которая отсутствует по умолчанию" в sudoers, Sudo версия 1.8.30. Полезные ресурсы для начинающих, давно и детально показывали, куда что вписывать в sudoers "чтобы были звездочки"  
Ответить | Правка | Наверх | Cообщить модератору

107. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +1 +/
Сообщение от Аноним (107), 31-Янв-20, 20:34 
А в whonix эта опция, внезапно, включена. <conspirology>Похоже на бекдор для анонимусов.</conspirology>
Ответить | Правка | Наверх | Cообщить модератору

112. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Аноним (126), 31-Янв-20, 21:43 
У них уже был бэкдор в KDE.
Ответить | Правка | Наверх | Cообщить модератору

128. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Аноним (107), 01-Фев-20, 02:20 
Какой?
Ответить | Правка | Наверх | Cообщить модератору

129. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Анонимун (?), 01-Фев-20, 02:53 
https://www.opennet.me/opennews/art.shtml?num=51235
Интересно, что Whonix выбрали жирнокде аж в двух виртуалках. Но теперь они перешли на Xfce (наверное, там новые уязвимости).
Ответить | Правка | Наверх | Cообщить модератору

142. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Аноним (142), 01-Фев-20, 13:25 
Никогда не понимал, зачем у них вообще иксы в gateway-виртуалке, только память жрёт. Это же просто роутер, достаточно консоли. Максимум tmux.
Ответить | Правка | Наверх | Cообщить модератору

145. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +1 +/
Сообщение от Анонимун (?), 01-Фев-20, 13:43 
Для тонкой настройки простыми пользователями, не умеющими в консоль, видимо. Мосты, например, прописать. Но для этих целей сгодился бы LXDE, а для Workstation Xfce.
Можно предположить, что квалификация у них не очень и сделали на чем умели. Workstation можно заменить на любую ось, хоть на винду, нужно только правильные сетевые настройки вписать. Еще бы настройки с Gateway утащить. Знаю, что работает в CLI, но на всякий случай. И там много ненужного напихано. Какие-то конфигураторы, запускающиеся по расписанию, синхронизатор времени.
Ответить | Правка | Наверх | Cообщить модератору

147. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Анонимун (?), 01-Фев-20, 14:23 
В идеале, портировать Gateway на XP. Чисто для спортивного интереса.
Там скорее всего тор раздает на все интерфейсы, через iptables блочится udp, ipv6. Как здесь https://codeby.net/threads/kali-puskaem-ves-trafik-cherez-to.../
Ответить | Правка | Наверх | Cообщить модератору

115. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Аноним (115), 31-Янв-20, 22:23 
>Для проверки наличия проблемы можно выполнить код:
>$ perl ...

...и вот здесь следовало привести патч Бармина

Ответить | Правка | Наверх | Cообщить модератору

120. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –2 +/
Сообщение от Аноним (120), 31-Янв-20, 23:22 
Подгорело. Бракоделы, блин. Высокомерные гаражные кодеры типа Линуса, боготворящие свою "сишечку" из 70-х годов и могущие только средними пальцами размахивать. Очередная "атака" через с***ый буфер строки, очередной мамкин кодер не проверил "длину строки". Позорище.

Сколько можно, блин? Задолбали со своими сырыми указателями и "строками" в в виде сырых кусков памяти. Закопайте уже этот треклятый язык. На нём только Segmentation Fault писать.

Ответить | Правка | Наверх | Cообщить модератору

124. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от юникснуб (?), 31-Янв-20, 23:54 
> Подгорело. Бракоделы, блин. Высокомерные гаражные кодеры типа Линуса, боготворящие свою
> "сишечку" из 70-х годов и могущие только средними пальцами размахивать. Очередная
> "атака" через с***ый буфер строки, очередной мамкин кодер не проверил "длину
> строки". Позорище.
> Сколько можно, блин? Задолбали со своими сырыми указателями и "строками" в в
> виде сырых кусков памяти. Закопайте уже этот треклятый язык. На нём
> только Segmentation Fault писать.

Да без проблем, дядя (или тётя?). Главное ведь - верить, что в других языках не бывает неявных, легко нарушаемых контрактов.

Ответить | Правка | Наверх | Cообщить модератору

125. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +1 +/
Сообщение от Интересующийся (??), 01-Фев-20, 00:19 
Sudo was first conceived and implemented by Bob Coggeshall and Cliff Spencer around 1980 at the Department of Computer Science at SUNY/Buffalo. It ran on a VAX-11/750 running 4.1BSD. An updated version, credited to Phil Betchel, Cliff Spencer, Gretchen Phillips, John LoVerso and Don Gworek, was posted to the net.sources Usenet newsgroup in December of 1985.

Какая версия у раста в 1980-ом?)

Ответить | Правка | К родителю #120 | Наверх | Cообщить модератору

149. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Аноним (149), 01-Фев-20, 15:28 
>Какая версия у раста в 1980-ом?

Модула-2

Ответить | Правка | Наверх | Cообщить модератору

135. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  –1 +/
Сообщение от Аноним (133), 01-Фев-20, 03:41 
Знал что Минл по сравнению с Юбунтой(!) не секурная, но чтобы на столько.
Ответить | Правка | Наверх | Cообщить модератору

157. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Онаним (?), 01-Фев-20, 21:47 
Вот так вот, смогли завалить даже вывод знака "*" в критичном приложении.
Куда катится этот мир?
Ответить | Правка | Наверх | Cообщить модератору

166. "Root-уязвимость в sudo, затрагивающая Linux Mint и Elementar..."  +/
Сообщение от Аноним (166), 02-Фев-20, 09:48 
Вчера 1/02/2020, LMDE3 было обновление sudo. Теперь ясно по какой причине.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру