The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск X.Org Server 1.20.3 с устранением локальной root-уязвимости

25.10.2018 20:42

Опубликован релиз X.Org Server 1.20.3, в котором устранена опасная уязвимость (CVE-2018-14665), позволяющая повысить свои привилегии или перезаписать любой файл в системе. Проблема проявляется только при запуске X-сервера в режиме запуска с повышенными привилегиями (когда исполняемый файл x-сервера поставляется с установленным битом setuid root и любой непривилегированный пользователь может запустить x-сервер).

Суть уязвимости в том, что при запуске X-сервера пользователь может поменять путь к модулям при помощи опции "-modulepath" и добиться загрузки своего модуля, который будет запущен на этапе до сброса привилегий с правами root. Второй вариант атаки связан с использованием опции "-logfile", при помощи которой локальный злоумышленник может направить вывод лога в любой файл в системе. Например, можно указать в качестве аргумента "-logfile" файл /etc/shadow и переписать его содержимое, заменив строку с хэшем пароля суперпользователя. Для подстановки нужной строки в файл /etc/shadow можно использовать опцию "-fp", значение которой выводится в лог (например, "cd /etc; Xorg -fp 'root::16431:0:99999:7:::' -logfile shadow :1", после чего можно войти под пользователем root, выполнив команду "su" без пароля).

Уязвимости вызваны ошибкой, внесённой при подготовке ветки xorg-server 1.19.0 и приводящей к игнорированию проверок некоторых потенциально опасных опций. В качестве обходного пути решения проблемы рекомендуется убрать флаг suid с файла /usr/bin/Xorg и использовать дисплейный менеджер для запуска графического сеанса. Проблема проявляется в RHEL 7.5, Debian и Fedora, но из-за ограничений PAM для эксплуатации атакующий должен иметь доступ к локальной консоли (через SSH эксплуатировать уязвимость не получится). В Ubuntu и SUSE 12+/openSUSE 42+ проблема не проявляется, так как там не используется бит setuid (в SUSE 11 проблема присутствует). В OpenBSD уязвимость может быть эксплуатирована при входе по SSH. FreeBSD проблеме не подвержена, так как поставляется с X.Org Server 1.18.

  1. Главная ссылка к новости (https://www.mail-archive.com/x...)
  2. OpenNews: Вышел X.Org Server 1.20
  3. OpenNews: Обновление X.Org Server 1.19.5 с исправлением уязвимостей
  4. OpenNews: Выпуск X.Org Server 1.19.4 с исправлением уязвимостей
  5. OpenNews: Серия уязвимостей в клиентских библиотеках X.Org
  6. OpenNews: В X.Org Server выявлено 12 уязвимостей
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: x-server, x.org
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (88) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.2, Аноним (2), 20:59, 25/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    Пилят, пилят Иксы по частям, а глубже никто не хочет лезть. Как же там наш Веланд?
     
     
  • 2.21, Аноним (21), 22:48, 25/10/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Пилят, пилят Иксы по частям, а глубже никто не хочет лезть. Как же там наш Веланд?

    В Вейланде как раз как вы хотите: смело лезут в самое нутро и меняют всё, что давно не менялось. Ну чтобы код не устаревал, как в Иксах.

     
     
  • 3.78, Аноним (-), 23:28, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Все проще: в вэйланде в коде еще более-менее можно разобраться. А в иксах большинству народа уже не помогает даже поллитра уже. Там такой код что большинство двуногих завидев его с...вает в панике.
     
     
  • 4.89, Тот_Самый_Анонимус (?), 07:13, 27/10/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >Там такой код что большинство двуногих завидев его с...вает в панике.

    Зато одноногие сохраняют завидное хладнокровие. Ё-хо-хо и бутылка рома!

     
  • 4.103, Аноним (103), 07:57, 02/11/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >Все проще: в иксах, код за многие годы уже и не нужно трогать

    Пофиксил тебя

     

  • 1.4, Аноним (4), 21:02, 25/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –14 +/
    Когда уже Wayland допилят, с иксами столько проблем...
     
     
  • 2.12, Аноним (12), 21:40, 25/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Уже давно допилили.
     
     
  • 3.18, голос_Геенны (ok), 22:37, 25/10/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Тогда почему у меня иксы по-умолчанию в Убунте 18.04? И я даже вынужден был после пары зависов GDM расчехлить WaylandEnable=false в custom.conf? Ах даа, это же неправильный дистрибутив!
     
     
  • 4.20, Аноним (21), 22:45, 25/10/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Тогда почему у меня иксы по-умолчанию

    Потому что ты расчехлил WaylandEnable=false.

    > после пары зависов GDM

    Это и есть допиленное состояние Вейланда. Наслаждайтесь.

     
  • 4.52, Аноним (52), 10:34, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Иксы по-умолчанию в Убунте 18.04 не потому что Wayland не допилен.
     
  • 2.14, Annoynymous (ok), 21:45, 25/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Года полтора назад, я сижу с 25-й федоры.
     
  • 2.25, Michael Shigorin (ok), 00:43, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > Когда уже Wayland допилят, с иксами столько проблем...

    Те же люди из @redhat.com, разумеется, ни разу не вносят порблемы в laywand, ага.

     
     
  • 3.53, Dapredator (?), 10:37, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Список коммитов от россиянских создателей форка Mandrake где можно посмотреть? ;)
     
     
  • 4.54, Dapredator (?), 10:39, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ой, простите, я забыл, альтовцы так стесняются и всячески отрицают родство с мандрейком ;) Они так хотят казаться настоящим дистрибутивом. Но мы-то знаем ;)
     
     
  • 5.67, Deprecator (?), 13:35, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А разве не Роса форк Мандрейка?
     
     
  • 6.87, Dapredator (?), 03:14, 27/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты лет на десять ошибся :) Росе досталась толи третья, толи пятая производная Мандрейка...

    А тут речь про гордый Альт, который как тот ёж, который не полетит, пока не пнёшь. Толку от них 0 (ни строчки кода, ни пользовательской базы, только перепаковка того, что делают другие), зато очень много ценного мнения течёт из всех щелей ;)

     
     
  • 7.92, голос_Геенны (ok), 16:56, 27/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А ещё говорят, Альт там, здесь.. Много такого слышал, но ни разу сам не видел.
     
  • 6.94, Zenitur (ok), 11:14, 28/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Официальное ответвление от Mandriva - Mageia. А Росинка - форк Mandrake, один из многих, но никак не официальное продолжение
     
  • 5.95, Zenitur (ok), 11:16, 28/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Они так хотят казаться настоящим дистрибутивом

    Он был настоящим дистрибутивом задолго до появления быстрого интернета, Убунты, Путина у власти, и партии Единая Россия. В начале 00-х во всём мире были популярны национальные дистрибутивы. Во Франции - Mandrake, в Германии - SUSE, в Бразилии - Kurumin, в России - Alt и ASP. В своих странах, каждый национальный дистрибутив был едва ли не популярнее Red Hat-а, и был с ним совместим (RPM-ки прекрасно "ставились" в них)

     
     
  • 6.99, КГБ СССР (?), 13:39, 28/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Альт появился уже после прихода Х-ла к власти и основания ПЖиВ (en.wikipedia.org/wiki/ALT_Linux).

    Наверняка Шигорин сотрёт этот коммент. :)

     
  • 4.90, Тот_Самый_Анонимус (?), 07:18, 27/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А можно ваши нормальные мысли без выcеров посмотреть? А то постите форки на нормальные мысли.
     
  • 3.76, Аноним (-), 23:25, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Там значительно меньше функциональности в которую они могут внести проблемы И т... текст свёрнут, показать
     
  • 2.60, Аноним (60), 11:26, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Его главная проблема - suid, впрочем, как и других suidных программ. Но сейчас же код, который, обращается к регистрам аппаратуры вынесен в ядро, поэтому в suid необходимости нет. SUSE, говорят, тому пример.
     

  • 1.6, КГБ СССР (?), 21:09, 25/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Уязвимости вызваны ошибкой, внесённой при подготовке ветки xorg-server 1.19.0 и приводящей к игнорированию проверок некоторых потенциально опасных опций.

    Убрали проверки, что ли? А зачем?

     
     
  • 2.8, Аноним (8), 21:28, 25/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Diff посмотреть религия не позволяет?
     
     
  • 3.9, КГБ СССР (?), 21:32, 25/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Diff посмотреть религия не позволяет?

    Посмотри за меня, анон, ты такой умный. А потом расскажешь.

     
  • 2.10, пох (?), 21:32, 25/10/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    один рукожоп полез улучшать код, которого не понимал (и который в его улучшизме вовсе не нуждался). Другой рукожоп одобрил не читая - "зато как быстро таск закрыл".

    Reviewed-by: Adam Jackson <ajax@redhat.com>
    Signed-off-by: Emil Velikov <emil.l.velikov@gmail.com>

    это заодно и о "пользе" модной практики code review - бессмысленной траты времени и нервов.

    но прежде всего о допуске профнепригодных людей к серьезным проектам вообще.
    По хорошему - обоим права коммита отобрать и пинком под жопу из проекта, не считаясь с прошлыми заслугами (если даже и были, во что поверить трудно). На практике это делать некому.

     
     
  • 3.11, КГБ СССР (?), 21:38, 25/10/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ну так таки же да.

    Очередное подтверждение глубокой концептуальной ошибочности веры в миллионы зорких глаз, когда глаза эти в пустых головах.

     
     
  • 4.19, голос_Геенны (ok), 22:41, 25/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В оригинале "тысячи глаз", кажется, не должны допустить говнокодия. Реальность и я всегда над этим смеялись.
     
     
  • 5.22, КГБ СССР (?), 23:02, 25/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > В оригинале "тысячи глаз", кажется, не должны допустить говнокодия. Реальность и я
    > всегда над этим смеялись.

    В сторону от темы.

    Для меня самым крупным «десктопным» разочарованием года (на сей момент) стала Солярка 11.4: оракули убрали из неё GNOME 2 (который был в 11.3) и вкорячили GNOME 3. ОС стала не просто «тихоходной», а жутким тормозом, который жрёт память и процессор безо всякой меры. Понятно, что на сервере это всё не надо, да и ресурсы там иного порядка, чем на моём ПЦ. Но вот сам факт резко напряг: а если они не только ДЕ так вкорячивают в ОС, не глядя?

     
     
  • 6.28, Андрей (??), 02:45, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > оракули убрали из неё GNOME 2 (который был в 11.3) и вкорячили GNOME 3

    Надо бы MATE.

     
     
  • 7.42, КГБ СССР (?), 09:02, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> оракули убрали из неё GNOME 2 (который был в 11.3) и вкорячили GNOME 3
    > Надо бы MATE.

    Там вообще никакое DE не нужно, вот в чём фокус.

     
  • 6.40, Ващенаглухо (ok), 08:36, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем там вообще ДЕ?
     
     
  • 7.41, КГБ СССР (?), 09:01, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Зачем там вообще ДЕ?

    Необъяснимо. Особенно при учёте того, что если уж сильно хочется графики, то автоматическая генерация меню для оконных менеджеров не является проблемой, а специальные фирменные графические утилиты сантехников написаны на жабе. Когда в Солярке было CDE, то это хоть было разумно и понятно.

     
  • 6.49, нах (?), 09:36, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > оракули убрали из неё GNOME 2

    собери сам. Что, не собирается (точнее, с ним не собирается ничего из современных версий)? Ну, вот...

    или ты ждешь что оракл помимо просто опакечивания будет сам поддерживать брошенные "сообществом" обглоданные кости?

    интересно, openlook еще хоть как-то можно собрать?

     
     
  • 7.100, КГБ СССР (?), 13:49, 28/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Мне-то не надо никакое GNOME, вполне бы хватило IceWM, WindowMaker или, внезапно, CDE, да даже и twm терпим, если прижмёт. Но оракулям виднее: мы говорим «Ленин»^W solaris-desktop подразумеваем «партия»^W GNOME. Причём с «Required Solaris Patches». Неужто было сложнее пару тех своих патчей приклеить к IceWM?
     
  • 4.32, svsd_val (ok), 06:33, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >Очередное подтверждение глубокой концептуальной ошибочности веры в миллионы зорких глаз, когда глаза эти в пустых головах.

    А кто по Вашему это увидел ? А кто исправил ? Лично Вы ? Или всё же кто то из тысяч зорких глаз и дотошных мозгов ?

     
  • 4.35, пох (?), 07:24, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    глаза-то как раз заметили - кому-то не получающему зря зарплату от редхата, видимо, этот коммит все же попался.

    но тут случай уж больно образцовый - тривиальное изменение, в тривиальном коде, причем уши торчат в первых двух строчках.

    а вот то что не сработала стандартная процедура, между тем, жрущая время и нервы - говорит и о состоянии xorg, и о всей чудо-индустрии вообще.

     
     
  • 5.43, КГБ СССР (?), 09:07, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да. Случай трешовый в самом образцовом виде. А в новостях всякие sjw пишут, что ошибка, ага.
     
  • 3.13, КГБ СССР (?), 21:41, 25/10/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Уязвимости вызваны ошибкой, внесённой при подготовке ветки xorg-server 1.19.0 и приводящей к игнорированию проверок некоторых потенциально опасных опций.

    Вот это сообщение вводит в заблуждение: нету там никакой ошибки, а только рукожопие, возможно и злонамеренное.

     
  • 3.16, КГБ СССР (?), 21:49, 25/10/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Странички одного из героев дня (Adam Jackson <ajax@redhat.com>) красноречивы.

    https://freedesktop.org/wiki/AdamJackson/

    https://people.freedesktop.org/~ajax/

    https://ajax.fedorapeople.org/

     
     
  • 4.79, Аноним (-), 23:32, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Странички одного из героев дня (Adam Jackson <ajax@redhat.com>) красноречивы.

    Ну так и шел бы кодить иксы вместо героев. А то на словах все донхуаны.

     
  • 3.27, axredneck (?), 02:11, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > обоим права коммита отобрать

    Сам у себя Emil Velikov право коммита отбирать будет что-ли?
    п.с. Кто такой Adam Jackson - пока не знаю

     
     
  • 4.36, пох (?), 07:30, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    стесняюсь спросить - а что, других разработчиков в этом проекте уже не осталось, и менеджмента у них тоже нет - дали пароль от репы и крутись как хочешь?

    (в принципе-то, конечно, судя по состоянию проекта, примерно так если и не есть, то очень скоро будет)

     
     
  • 5.80, Аноним (-), 23:34, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > стесняюсь спросить - а что, других разработчиков в этом проекте уже не осталось

    Приколись, желающих майнтайнить архаичный код с кучей проблем и костылей - действительно немного!

     
     
  • 6.83, КГБ СССР (?), 23:59, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> стесняюсь спросить - а что, других разработчиков в этом проекте уже не осталось
    > Приколись, желающих майнтайнить архаичный код с кучей проблем и костылей - действительно
    > немного!

    Довожу до твоего сведения, деточка, что проблема не в сопровождении «архаичного кода», а в рукожопии подобных тебе обезьянок, сующих свои корявые куда не просили.

     
  • 4.55, Акакжев (?), 10:42, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Кто такой Adam Jackson

    My name is ajax, and I work on X.

    Current projects:

        Miscellaneous Fedora stuff.
        Miscellaneous work stuff.
        World domination.

     
  • 3.33, svsd_val (ok), 06:44, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >По хорошему - обоим права коммита отобрать и пинком под жопу из проекта

    И так, судя по всему Вы дальше своего носа не видите ?? или может быть Вы лично принимаете участие в разработке и развитии X ?

    Вы как только всех выпните из проекта .... Вы покажите какой Вы крутой программист и будете вести разработку ?

    Ошибки совершают все, Или ВЫ ни разу не совершали ошибки ? (что совершенно не реально), другое дело что нужно на них учиться и если уровень разума позволяет то учиться на чужих ...

    P.S.
    Как же эти разума лишённые "нечто" достали, лишь бы сразу показать ЧВС, шашкой помахать .... да повизжать что всё так плохо, а сами ровным счётом ниже уровня плинтуса....

     
     
  • 4.38, пох (?), 07:34, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    дорогой "нелишенный разума", если этот Емеля перестанет "вести разработку", проекту xorg только похорошеет.

    Потому что то что он "наразрабатывал" мы только что имели возможность в деталях рассмотреть.

    И нет, это не ошибка, это системная функция. Он a) полез в код, который в его деятельности не нуждался вовсе b) кода не понял c) сломал то, что до него работало.

    Можете продолжать верить, что в любом другом куске проекта такой человек может что-то случайно сделать хорошего.

     
     
  • 5.70, svsd_val (ok), 17:08, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Если Он это делает систематически - да, в этом случае Я буду согласен с Вашим мн... текст свёрнут, показать
     
     
  • 6.96, пох (?), 12:27, 28/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Опыт - дело наживное и дорогое, с ним никто не рождается ....

    да, но в нормальных проектах неопытным джунам делать нечего - для них есть петпрожекты и гуглосаммер, если человеку доверено принимать патчи в то, что используют миллионы - он должен был пройти, наверное, хоть какой-то отбор и уже что-то уметь?

    >>>Он a) полез в код, который в его деятельности не нуждался вовсе b) кода не понял c) сломал то,
    >>>что до него работало.
    > Пожалуйста расскажите мне откуда такая информация ? Мне лично очень любопытно =)

    открываете по ссылке к новости коммит и наслаждаетесь.

     
  • 3.77, Аноним (-), 23:27, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > По хорошему - обоим права коммита отобрать и пинком под жопу из проекта

    И кто иксы вообще кодить будет тогда? Желающих соваться в этот здец осталось полтора человека.

    Ноль программистов ругал сердитый шеф.
    Потом уволил одного, и стало их FF.

     
     
  • 4.85, КГБ СССР (?), 00:01, 27/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да ты хоть прочти, анон, о чём проблема. В исходничек посмотри. Там всё очень красиво, просто сияет.
     
  • 4.97, пох (?), 12:33, 28/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > И кто иксы вообще кодить будет тогда? Желающих соваться в этот здец
    > осталось полтора человека.

    у вас ядерный реактор работает, как-то, последние лет тридцать, аварийные лампочки не горят, отработанные сборки заменяете по регламенту. И тут вдруг прибегает мальчик со сварочным аппаратом -- "а давайте я вам тут что-нибудь поулучаю - других-то желающих нет"! И шеф такой, по головке его гладит (по всем трем) - давай, малыш, все равно уже всем.

    ну значит не надо туда соваться - "все ушли в вафлянд", "линукс ваш новый стандарт". А этот проект умрет, так ж как XFree86.

     

  • 1.15, Annoynymous (ok), 21:46, 25/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Например, можно указать в качестве аргумента "-logfile" файл /etc/shadow и переписать его содержимое,

    Но позвольте, SELinux же не должен дать Xorg возможности перезаписать файл в домене etc!

     
     
  • 2.23, Аноним (23), 00:22, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    пользователь может поменять путь к модулям при помощи опции "-modulepath"
     
     
  • 3.24, ананим.orig (?), 00:29, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Это иксовые модули, а не ядерные.
     
  • 3.26, Annoynymous (ok), 00:54, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > пользователь может поменять путь к модулям при помощи опции "-modulepath"

    И как это ему поможет?

     
  • 2.64, Stax (ok), 11:41, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Там, где selinux есть - не даст, но эскалация все равно будет. А Xserver'у разрешено создавать файлы там, где нет меток и еще некоторые другие вещи, т.к. он потенциально работает с кучей железа и делает до хрена всего, это все приходится разрешать. Он такой монстр, что продуктивно защитить его selinux'ом сложно. Поэтому модель безопасности там в какой-то момент решили строить на запуске без привилегий, с использованием capabilities + драйверов в ядре.

    SELinux не панацея, если прога очень сложная, то ее никакой изоляцией внятно не защитить с сохранением функциональности. Браузер, к примеру, вообще нереально.

     
     
  • 3.65, Annoynymous (ok), 11:50, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Там, где selinux есть - не даст, но эскалация все равно будет.
    > А Xserver'у разрешено создавать файлы там, где нет меток и еще
    > некоторые другие вещи, т.к. он потенциально работает с кучей железа и
    > делает до хрена всего, это все приходится разрешать. Он такой монстр,
    > что продуктивно защитить его selinux'ом сложно. Поэтому модель безопасности там в
    > какой-то момент решили строить на запуске без привилегий, с использованием capabilities
    > + драйверов в ядре.
    > SELinux не панацея, если прога очень сложная, то ее никакой изоляцией внятно
    > не защитить с сохранением функциональности. Браузер, к примеру, вообще нереально.

    Согласен, что не панацея, но данный конкретный пример не должен сработать.

     
  • 2.102, Анонимный Алкоголик (??), 08:40, 31/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> Например, можно указать в качестве аргумента "-logfile" файл /etc/shadow и переписать его содержимое,
    > Но позвольте, SELinux же не должен дать Xorg возможности перезаписать файл в
    > домене etc!

    Не понятно почему там должно быть setuid root.
    (хотя конечно бывает. почему-то...).
    в общем "исправление" имеет озабочивающие признаки ненужности.

     

  • 1.29, anonymous (??), 03:27, 26/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Когда я писал свою suid прогу, я специально проверял, что все файлы, необходимые ей для работы, не доступны простым пользователям для записи. Первым делом в голову пришло, а я ведь системным программированием редко балуюсь. А тут профессионалы.
     
     
  • 2.30, angra (ok), 03:46, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Такие же профессионалы как и ты. Чем в данном случае поможет, что /etc/shadow недоступен для записи? Что будет, если нехороший пользователь сначала запишет в файл, а потом уберет у себя право записи? Что будет, если в файл писать нельзя, а удалить и создать заново можно?
     
     
  • 3.45, КГБ СССР (?), 09:11, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Что будет, если в файл писать нельзя, а удалить и создать заново можно?

    В ОС здорового человека от этого помогает ACL. :)

     
     
  • 4.68, Аноним (68), 16:02, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    gpedit.msc
     
     
  • 5.69, КГБ СССР (?), 16:21, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > gpedit.msc

    Почти. ACL — это намного-намного больше: en.wikipedia.org/wiki/Access_control_list

     
  • 3.48, Гентушник (ok), 09:35, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Думаю речь шла про загрузку левых модулей через -modulepath
    Если бы иксы требовали что владельцем модуля должен быть root и что у группы и остальных нет права на запись, то этой уязвимости можно было бы избежать.
    (Хотя тут возможно состояние гонки между моментом проверкой прав и подключением либы)
     

  • 1.31, Онаним (?), 05:00, 26/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Локальные root-уязвимости - это хорошо. Кто-нибудь выпустит залоченное устройство, надо будет его как-то рутать.
     
  • 1.37, Аноним (37), 07:30, 26/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Только не говорите что вяленный без этого же костыля для повышения привелегий работает
    В жизни не поверю
     
     
  • 2.39, пох (?), 07:35, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    он разьве вообще работает из командной строки?

     
  • 2.46, 0x0 (?), 09:26, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Заглянул только что в свойства /usr/bin/Xorg в Fedora 29 и никакого выставленного бита suid там не обнаружил :)
     
     
  • 3.47, 0x0 (?), 09:31, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А если честно, то когда читал, меня аж передёрнуло, что такое могло быть ))
     
     
  • 4.71, Аноним (71), 17:40, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Такое было. И очень долго. "На то были причины!"
     

  • 1.56, Dapredator (?), 10:45, 26/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А от suid-ных ping и traceroute не передёргивает?
     
     
  • 2.58, 0x0 (?), 11:05, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Да, я, вообще то, утрировал, но тут, кажись, что-то напутано с suid/guid исполняемых файлов и процессами, запускаемыми пользователями системы)
     
     
  • 3.73, 0x0 (?), 18:26, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если быть точнее, то напутано С ПРИНАДЛЕЖНОСТЬЮ процессов, запускаемых пользователями системы.
     
  • 2.61, Аноним (60), 11:33, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ping успешно переводится на Linux Capabilities.
     
  • 2.63, Аноним (63), 11:38, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    нет, у меня там нет setuid бита.
     
     
  • 3.88, Dapredator (?), 03:17, 27/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну это у тебя нет. А в убунте естб, и ничего, живут как-то люди.
     

  • 1.59, Аноним (59), 11:18, 26/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    А дыру с доступом кого угодно к буферу обмена в X уже пофиксели?
     
  • 1.62, Аноним (63), 11:36, 26/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    В арче:
    ls -la /usr/bin/Xorg
    -rwxr-xr-x 1 root root 271 окт 16 18:15 /usr/bin/Xorg
    вроде не подвержен.
     
     
  • 2.74, 0x0 (?), 18:53, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если посмотреть эту новость в других источниках, то получается, что suid тут совсем не причём. Опасность заключается в некоторых изюминках самого процесса, беря во внимание его принадлежность. Который, к слову, по всей вероятности и в Arch запускается совсем не из /usr/bin
     

  • 1.72, Аноним (72), 18:02, 26/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Как же все-таки _грамотно_ перезагрузить XServer без полного ребута?
     
     
  • 2.75, iZEN (ok), 22:41, 26/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ctrl+Alt+BkSp
     
     
  • 3.84, КГБ СССР (?), 00:00, 27/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ctrl+Alt+BkSp

    Если заблаговременно не отключили в настройках.

     
  • 2.93, svsd_val (ok), 07:47, 28/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    переключиться на виртуальную консоль ctrl+alt+f1..6, залогиниться и выполнить sudo service/invoke-rc.d lightmd/ gdm/ kdm (или какой там у Вас дм) restart

    к примеру на для lightdm: sudo invoke-rc.d lightdm restart преведёт к перезапуску X сервера.
    либо как говорится выполнить перенастройку X / клавиатуры и включить хук для его перезапуска по ctrl+alt+backspace
    Для дистрибутивов основанных на Debian: sudo dpkg --reconfigure keyboard-configuration

     
  • 2.98, пох (?), 12:35, 28/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Как же все-таки _грамотно_ перезагрузить XServer без полного ребута?

    а смысл? Со времен впихивания в ядро ненужно-kms перезагружать xserver стало незачем.

     

  • 1.101, Анонимчик (?), 19:45, 28/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ls -la /usr/bin/Xorg
    -rws--x--x
    Я круче всех .)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру