| 1.3, ОМДЗТ (?), 09:44, 23/06/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +8 +/– |
содержащего файлы с некорректными правами доступа, например с флагом setuid или открытые всем на запись. После установки такого пакета, подобные файлы сохраняются в локальной системе с теми же правами...
Серъёзно? Как об этом можно было не подумать? Господи, и они это позиционировали как безопасное решение. Да если там такие нелепые косяки то о чём речь может ттогда идти? autorun туда запихнут теперь?
| | |
| |
| 2.4, angra (ok), 10:01, 23/06/2017 [^] [^^] [^^^] [ответить]
| +/– |
 Ну раз ты такой умный, то придумай _реалистичный_ сценарий эксплуатации этой уязвимости.
| | |
| |
| 3.5, X4asd (ok), 10:14, 23/06/2017 [^] [^^] [^^^] [ответить]
| +6 +/– |
 > Ну раз ты такой умный, то придумай _реалистичный_ сценарий эксплуатации этой уязвимости.
дык в новости уже написали реалистичный сценарий...
давай я тебе его скопипащу сюда в сообщение:
"""
атака может быть совершена другим локальным пользователем, который может обратиться к установленным файлам Flatpak и запустить suid-файл напрямую, минуя инструментарий Flatpak, получив полномочия пользователя, под которым установлены файлы вредоносного Flatpak-пакета (root, в случае если пакет был установлен администратором для всей системы).
"""
или для тебя "реалистычный" это значит я должен назвать реальные имена жертвы, злоумышленника, имена команды за спиной злоумышенника и имена администраторов, а также место действия и название компании где это будет нужно проворачивать?
# P.S.: проблема рассмотренная в этой новости -- конечно же более серъёзная чем "не забыть подумать про SUID и capabilities". а именно: нужно не забывать что твой проект это НЕ ЕДИСТВЕННЫЙ на компьютере пользователя. многие гвнопрограммисты почемуто думают только что якобы ТОЛЬКО единтвенная прорамма может быть запущена на компьютере -- и строют всю безопасность вокруг этого надуманного умозаключения
| | |
| |
| 4.7, angra (ok), 10:23, 23/06/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
В этом "реалистичном" сценарии есть одна проблема - как уговорить другого пользователя и тем более рута поставить твой пакет.
| | |
| |
| 5.9, Аноним (-), 10:34, 23/06/2017 [^] [^^] [^^^] [ответить]
| +/– |
Вот это-то как раз в большой организации, где каждый сам себе агроном, проще простого. Он даже несчастный нигерийский вирус три дня канпелировать будет
| | |
| |
| 6.10, angra (ok), 10:45, 23/06/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
В большой организации, где сотрудники еще и доверяют друг другу, эта возня со flatpack нафиг не нужна. Можно просто дать коллеге "полезный" бинарь или даже скрипт для запуска напрямую.
| | |
|
| 5.13, Аноним (-), 11:29, 23/06/2017 [^] [^^] [^^^] [ответить]
| +/– |
Локальный пользователь - не обязательно человек. Или это человек, даже тот же самый, которого поимели через браузер.
| | |
| 5.20, marks (?), 17:27, 23/06/2017 [^] [^^] [^^^] [ответить]
| +/– | |
>>как уговорить другого пользователя и тем более рута поставить твой пакет.
Очень смешно. Большинство атак идут методом социальной инженерии.
| | |
|
|
| 3.6, Mr. Cake (?), 10:15, 23/06/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
Админ организации разрешает ставить flatpak-пакеты по запросу (они же типа безопасные и вообще). Сотрудник с непривилегированым аккаунтом просит админа поставить flatpak пакет с таким чудесным файлом. Сотрудник получает root-доступ.
А у админа локалхоста да, сценариев особо и нет.
| | |
| |
| 4.8, angra (ok), 10:26, 23/06/2017 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Сотрудник с непривилегированым аккаунтом просит админа поставить flatpak пакет с таким чудесным файлом
Админ милостиво разрешает сотруднику поставить этот пакет лично для себя. В этом ведь и прелесть flatpak. Теперь хитрый сотрудник может получит suid ... на самого себя. Победа!
| | |
| |
| 5.21, Егор (??), 19:07, 23/06/2017 [^] [^^] [^^^] [ответить]
| +/– |
Да нет, ты неправильно говоришь! В "большой организации"™ все подряд пакеты, даже флатпаки ставятся рутом, у нас лучшие практики, ты уж мне поверь! А если не поверишь, то тогда я полный бред написал, не может же быть такого! Пакет не от рута поставить невозможно...
| | |
|
|
| 3.22, Lolwat (?), 20:42, 23/06/2017 [^] [^^] [^^^] [ответить]
| –2 +/– |
Да и вообще все уязвимости сплошной вымысел, какой идиот в наше время будет покупать компьютер, или ещё чего хуже подключать его к сети... бред полый... Прото эти западные хипстеры пугают нас всякой гадостью типа опсных уязвимостях... вот есть лопата, ей всякие setuid не страшны
| | |
|
| 2.15, Аноним (-), 13:13, 23/06/2017 [^] [^^] [^^^] [ответить]
| +/– |
Парни не заморачивались и тупо копируют файлы с оригинальными атрибутами. По сути их нужно пропускать как и в во время сборки архива. И верифицировать что их нет после установки.
| | |
| 2.39, Фуррь (ok), 10:20, 24/10/2017 [^] [^^] [^^^] [ответить]
| +/– |
 >Серъёзно? Как об этом можно было не подумать?
Какие мы все умные, с берега-то лучше видно, что на корабле всё не так, как надо.
| | |
|
| |
| 2.12, Аноним (-), 10:58, 23/06/2017 [^] [^^] [^^^] [ответить]
| –3 +/– |
Репозитории зато - офигенно.
1. Фрагментация
2. Какой-нибудь сторонний репозиторий с темой легко может запушить тебе апдейт ядра, которое в фоне будет майнить ему новую модную криптовалюту.
| | |
| |
| 3.14, OramahMaalhur (ok), 12:24, 23/06/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > Репозитории зато - офигенно.
Простите, а где монолитные пакеты хранятся, не в репозитории случайно?
> Какой-нибудь сторонний репозиторий с темой легко
Подключающие всякие дотдебы и прочие неофициального происхождения репы ССЗБ. Какой-нибудь сторонний флатпак тоже может легко установить криптомайнер.
| | |
| |
| 4.16, Аноним (-), 13:57, 23/06/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
Разница в том, что ставя какой-нибудь флетпак, ты ставишь только его, когда как подключенный реп может обновить любой пакет в твоей системе в любое удобное для него время.
| | |
| |
| 5.18, angra (ok), 15:04, 23/06/2017 [^] [^^] [^^^] [ответить]
| +/– |
Ну давай сюда такую репу для debian, я ее подключу и ты покажешь, как ты при ее помощи обновишь любой пакет в моей системе в любое удобное для тебя время.
Про то, что это вообще не имеет смысла, так как при контроле на репой есть куда более простые и менее заметные способы внедрения трояна, пока говорить не будем.
| | |
|
|
| 3.17, Аноним (-), 14:59, 23/06/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
А вам не кажется, что с Flatpak'ом фрагментация та же? Только тут "производитель" софта сам поёт своё дуду, как хочет и как умеет. А не факт что умеет норм. Мейнтейнеры же обычно следят за тем, что выпускают.
| | |
|
|
|
