The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  +/
Сообщение от opennews (??) on 19-Дек-14, 17:03 
Компания Alert Logic сообщила (https://www.alertlogic.com/blog/dont-let-grinch-steal-christmas/) о выявлении критической уязвимости в Linux, позволяющей локальному пользователю выполнить некоторые команды с правами root. Уязвимости даже было присвоено отдельное имя "Grinch", и она была причислена к категории таких  сверхопасных проблем, как  Shellshock, Heartbleed и POODLE. Некоторые издания (http://www.itworld.com/article/2860035/this-linux-grinch-cou...) подхватили эту информацию и распространили данные о появлении опасной проблемы, затрагивающей фундаментальные основы организации авторизации пользователей в Linux.


Компания Red Hat поспешила успокоить пользователей (https://access.redhat.com/articles/1298913), так как, на деле, "Grinch" не является уязвимостью и даже ошибкой, а представляет собой штатную возможность. Пользователи, добавленные в группу "wheel" рассматриваются как администраторы локальной системы, которым  PackageKit предоставляет возможность без ввода пароля установить пакеты из заслуживающих доверие репозиториев, но только при выполнении команд из локальной консоли, когда пользователь, имеющих статус администратора, имеет физический доступ к системе. При входе по ssh подобная возможность блокируется.


URL: https://access.redhat.com/articles/1298913
Новость: http://www.opennet.ru/opennews/art.shtml?num=41307

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  +27 +/
Сообщение от Аноним (??) on 19-Дек-14, 17:03 
Это не баг, а фича!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  +9 +/
Сообщение от Аноним (??) on 19-Дек-14, 17:11 
А кто-то здесь недавно возражал, что журнализды повадились раздувать из мухи слона. Не разберутся, зато уже имя дадут и орут во всю глотку.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Уязвимость Grinch оказалась штатной возможностью..."  +/
Сообщение от arisu (ok) on 19-Дек-14, 20:52 
> А кто-то здесь недавно возражал, что журнализды повадились раздувать из мухи слона.
> Не разберутся, зато уже имя дадут и орут во всю глотку.

ты это. по ссылке-то ходил, оригинал читал?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

35. "Уязвимость Grinch оказалась штатной возможностью..."  +1 +/
Сообщение от 6651156156 on 20-Дек-14, 00:19 
A report has been released detailing an issue that the reporter is naming "Grinch". This report incorrectly classifies expected behavior as a security issue.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

53. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  +/
Сообщение от EuPhobos (ok) on 22-Дек-14, 10:41 
Особенно доставляет заголовок этой темы. "...дистрибутивов"
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  +44 +/
Сообщение от Аноним (??) on 19-Дек-14, 17:18 
Опасная уязвимость: админы могут админить! :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  +2 +/
Сообщение от Fox Mulder email on 19-Дек-14, 17:40 
за чтоооооооооооо!!??!!!!!???!!11
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  –6 +/
Сообщение от A.Stahl (ok) on 19-Дек-14, 17:52 
>Пользователи, добавленные в группу "wheel" рассматриваются как администраторы локальной системы

Ну это действительно неочевидно. Вполне нормально, что это восприняли как дыру.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  +7 +/
Сообщение от Stax (ok) on 19-Дек-14, 18:02 
> Ну это действительно неочевидно. Вполне нормально, что это восприняли как дыру.

Для тех, кому неочевидно, инсталлятор явно спрашивает при создании пользователей "добавить пользователя в администраторы?". И добавляет в wheel только если стоит галочка.

А при ручном создании потом нужно явно руками добавить в группу, очевидно осознавая, зачем это делается.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  +11 +/
Сообщение от irinat (ok) on 19-Дек-14, 18:05 
> действительно неочевидно

О чём ты говоришь? wheel в Unix-подобных системах используется чуть ли не 30 лет уже. Это всё равно что сказать, что не очевидно, что некто Администратор в Windows может управлять учётной записью главы фирмы. Вон же он, администратор, на рисепшене сидит. Вполне нормально воспринять это как дыру.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

12. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  –22 +/
Сообщение от A.Stahl (ok) on 19-Дек-14, 18:50 
Я, например, впервые слышу про это колесо. Я, правда, не админ, но к линуксу отношение имею.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

21. "Уязвимость Grinch оказалась штатной возможностью..."  +2 +/
Сообщение от arisu (ok) on 19-Дек-14, 20:53 
> Я, например, впервые слышу про это колесо.

ну и зря.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

24. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  +/
Сообщение от Аноним (??) on 19-Дек-14, 21:31 
стыдно! я тоже не админ, к гнулинуксам отношения не имею, я ими пользуюсь, но колесо знаю
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

36. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  +4 +/
Сообщение от anonimouse on 20-Дек-14, 04:31 
>Я, например, впервые слышу про это колесо.

Поаехали тут ...

>Я, правда, не админ, но к линуксу отношение имею.

Линуксоидам пиво носишь? Гут Волдемар, гут!

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

13. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  –4 +/
Сообщение от robux (ok) on 19-Дек-14, 19:07 
Много раз видел этот wheel в /etc/group, но ни разу не осознавал, что это админы.
Как то "колесо" и "админ" не вяжется в мозгу.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

14. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  +/
Сообщение от Stax (ok) on 19-Дек-14, 19:23 
От этого http://en.wiktionary.org/wiki/big_wheel пошло:

big wheel (plural big wheels)

    (idiomatic) A person with a great deal of power or influence, especially a high-ranking person in an organization.

        She's a big wheel at IBM.

Но да, в русском языке такой идиомы нет.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

23. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  +/
Сообщение от fly (??) on 19-Дек-14, 21:15 
She's a big wheel at IBM.
А в русском - "большая шишка" или "важная птица".
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

28. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  –1 +/
Сообщение от nik (??) on 19-Дек-14, 21:38 
А еще есть (по ассоциации) "грудь колесом" ;)
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

30. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  +1 +/
Сообщение от EHLO on 19-Дек-14, 22:04 
> She's a big wheel at IBM.
> А в русском - "большая шишка" или "важная птица".

# gpasswd -a васильев шишка

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

37. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  –3 +/
Сообщение от anonimouse on 20-Дек-14, 04:33 
> # gpasswd -a васильев шишка

Натянуть васильева на шишку?!?! Мамо этож ахтунгнет какойто 8-о

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

47. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  +2 +/
Сообщение от Аноним (??) on 21-Дек-14, 14:40 
Пользователю макоси везде коллеги мерещатся?
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

55. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  –1 +/
Сообщение от Аноним (??) on 22-Дек-14, 13:52 
She is a big sheeshqua at IBM.


Алсо, спасибо, никогда не задумывался о wheel.


P.S.: тоже не админ, но как ни разу не наткнуться на wheel не понимаю.

Arch users rejoice!

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

56. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  +/
Сообщение от Led (ok) on 22-Дек-14, 22:22 
> Алсо, спасибо, никогда не задумывался о wheel.
> как ни разу не наткнуться на wheel не понимаю.

Вот поэтому:

> Arch users rejoice!

В школе этого не проходят.

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

31. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  +4 +/
Сообщение от Сергей (??) on 19-Дек-14, 22:29 
Штурвал
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

48. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  +/
Сообщение от Аноним (??) on 21-Дек-14, 14:41 
> Штурвал

Руль :)

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

41. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  –2 +/
Сообщение от robux (ok) on 20-Дек-14, 11:20 
> От этого http://en.wiktionary.org/wiki/big_wheel пошло:
> big wheel (plural big wheels)
>     (idiomatic) A person with a great deal of
> power or influence, especially a high-ranking person in an organization.
>         She's a big wheel
> at IBM.
> Но да, в русском языке такой идиомы нет.

Хаа, вспомнились слова из "Sweet home Alabama":

Big wheels keep on turning
Carry me home to see my kin
Singing songs about the Southland
I miss Alabamy once again
...

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

15. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  +1 +/
Сообщение от aurved on 19-Дек-14, 19:28 
Во FreeBSD только пользователи входящие в группу wheel могут удаленно выполнить команду
su -, ввести рутовой пароль и стать рутом.
И по умолчанию же залогиниться рутом по ssh нельзя.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

50. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  +/
Сообщение от Jan Dakinevich (ok) on 22-Дек-14, 01:09 
> Во FreeBSD только пользователи входящие в группу wheel...

Если быть точным, данное поведение определяется конфигурацией pam_group(8). Для su это файл /etc/pam.d/su

Если хотите, можете поменять группу (я долгое время указывал group=operator) или, например, поменять ruser на luser. Но лично я не уверен в безопасности данного подхода и последнее время предпочитаю использовать sudo.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

16. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  +/
Сообщение от Аноним (??) on 19-Дек-14, 19:47 
> Много раз видел этот wheel в /etc/group, но ни разу не осознавал, что это админы.

Всю жизнь была административной группой. В некоторых *никсах даже файлы которые могут трогать только админы - создаются как root (owner) и wheel (group).

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

22. "Уязвимость Grinch оказалась штатной возможностью..."  +4 +/
Сообщение от arisu (ok) on 19-Дек-14, 20:53 
> Как то "колесо" и "админ" не вяжется в мозгу.

зато «админ» и «корень» очень вяжутся.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

25. "Уязвимость Grinch оказалась штатной возможностью..."  +3 +/
Сообщение от Аноним (??) on 19-Дек-14, 21:33 
>> Как то "колесо" и "админ" не вяжется в мозгу.
> зато «админ» и «корень» очень вяжутся.

бывают и от тебя правильные слова

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

33. "Уязвимость Grinch оказалась штатной возможностью..."  +/
Сообщение от Аноним (??) on 19-Дек-14, 23:44 
Это не "корень".
В BSD-системах root имеет имя Charlie Root.
http://org.netbase.org/charlie-root.html
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

34. "Уязвимость Grinch оказалась штатной возможностью..."  +2 +/
Сообщение от arisu (ok) on 20-Дек-14, 00:00 
> Это не "корень".

так и «wheel» не «колесо».

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

18. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  +1 +/
Сообщение от ишпошт on 19-Дек-14, 20:49 
А если дыра на ресепшене "вполне себе даже очень", то можно и нормально воспринять )))
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

49. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  +/
Сообщение от Куяврег on 21-Дек-14, 14:56 
# grep wheel /etc/sudoers
## Uncomment to allow members of group wheel to execute any command
# %wheel ALL=(ALL) ALL
# %wheel ALL=(ALL) NOPASSWD: ALL

(gentoo)

# grep wheel /usr/local/etc/sudoers
## Uncomment to allow members of group wheel to execute any command
# %wheel ALL=(ALL) ALL
# %wheel ALL=(ALL) NOPASSWD: ALL

(FreeBSD)

не, никогда не видели, догадаться невозможно. вот какая загадочная группа wheel. хтобымогпадумать?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  –4 +/
Сообщение от Язабан on 19-Дек-14, 17:52 
Мне кажется обойти проверку SSH просто.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  +4 +/
Сообщение от Аноним (??) on 19-Дек-14, 18:09 
Тебе кажется.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  +/
Сообщение от Stax (ok) on 19-Дек-14, 18:15 
> Мне кажется обойти проверку SSH просто.

Если вы считаете, что в Polkit настолько крупная дыра, попробуйте обойти, а не теоретизировать насчет "кажется". Разные разрешения для локального и удаленного пользователя работают там совершенно четко. В принципе, он как раз для этой цели и создавался, чтобы можно было по-разному настраивать разрешения в таких ситуациях.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

17. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  –1 +/
Сообщение от Mr. Cake on 19-Дек-14, 20:15 
Подключился к screen-сессии, которая была до этого запущена локально, и вот ты уже "пользователь с физическим доступом".
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

39. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  +4 +/
Сообщение от Аноним (??) on 20-Дек-14, 10:25 
Подключился к роботу, который по команде нажимает на кнопки реальной клавиатуры, может нажать кнопку reset выдернуть шнур питания и смотреть куда прикажут ( а так же физически вынести сервер )...
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

11. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  +1 +/
Сообщение от Аноним (??) on 19-Дек-14, 18:21 
Вперёд, действуйте! Увидим вас на pwnium 2015.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

19. "Уязвимость Grinch оказалась штатной возможностью..."  –8 +/
Сообщение от arisu (ok) on 19-Дек-14, 20:51 
на деле люди вполне правильно написали о том, что policykit — крап. компания красношап, естественно, поспешила заявить, что хоть и крап, но родной, а потому не пахнет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Уязвимость Grinch оказалась штатной возможностью..."  +4 +/
Сообщение от Аноним (??) on 19-Дек-14, 21:35 
> на деле люди вполне правильно написали о том, что policykit — крап.
> компания красношап, естественно, поспешила заявить, что хоть и крап, но родной,
> а потому не пахнет.

она всего-лишь заявила, что надо сначала документацию внимательнее изучать

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

27. "Уязвимость Grinch оказалась штатной возможностью..."  –8 +/
Сообщение от arisu (ok) on 19-Дек-14, 21:35 
> она всего-лишь заявила, что надо сначала документацию внимательнее изучать

от этого крап не превращается в конфетку.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

43. "Уязвимость Grinch оказалась штатной возможностью..."  +/
Сообщение от Аноним (??) on 20-Дек-14, 14:00 
>> она всего-лишь заявила, что надо сначала документацию внимательнее изучать
> от этого крап не превращается в конфетку.

Зато вы, возможно, перестанете быть неосилятором и разбрасываться заявлениями вида "не читал, но осуждаю".

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

44. "Уязвимость Grinch оказалась штатной возможностью..."  –2 +/
Сообщение от arisu (ok) on 20-Дек-14, 15:46 
> Зато вы, возможно, перестанете быть неосилятором и разбрасываться заявлениями вида "не
> читал, но осуждаю".

ты лжец.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

38. "Уязвимость Grinch оказалась штатной возможностью..."  +/
Сообщение от anonimouse on 20-Дек-14, 04:39 
> на деле люди вполне правильно написали о том, что policykit — крап.

Скоро ты с тоской будешь вспоминать его как забавную игру в крысу :)
Ибо Потцеринг наверняка отреагирует и пофиксит этот крап. Как - вы знаете :)


Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

42. "Уязвимость Grinch оказалась штатной возможностью..."  +/
Сообщение от Аноним (??) on 20-Дек-14, 13:59 
Неа. Он сейчас занят починкой докера, это еще полгода минимум.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

32. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  +/
Сообщение от анон on 19-Дек-14, 22:41 
Alert logic у Касперского научилась плохим вещам.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

40. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  +/
Сообщение от Аноним (??) on 20-Дек-14, 10:29 
В одной конторе один главный специалист "типа программист" открыл со своего компьютера через "Сетевое окружение" свой же компьютер и обнаружил полный доступ к диску Цэ. После чего устроил комиссию с разборкой о якобы нарушенной сетевой безопасности и закономерно получил полный позор на свою голову.

Что в свете рассматриваемой темы доказывает, что идиотизм - явление глобальное.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

45. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  +/
Сообщение от Antonim (ok) on 20-Дек-14, 17:21 
В тексте новости ляп не простительный для Openneta. Как из самого поста видно уязвимость только в настройках Дистров с  PackageKit - но скопом все Linux'ы сложены. Шапка,Федора и подобные им - в группе "особого внимания".
Вот и вся новость. Тщательней надо бы.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

51. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  +/
Сообщение от Аноним (??) on 22-Дек-14, 09:57 
FUD, следующая итерация...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

52. "Уязвимость Grinch оказалась штатной возможностью дистрибутив..."  +/
Сообщение от EuPhobos (ok) on 22-Дек-14, 10:40 
Меня больше раздутый заголовок данной новости смущает.

> 19.12.2014 17:00  Уязвимость Grinch оказалась штатной возможностью дистрибутивов Linux

А на самом деле, не во всех дистрибутивах. Например в убунте этот баг называется sudo, а в дебиане его нужно отдельно устанавливать, и прописывать в sudoers или vigr, что б этот "БАГ" заработал.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру