The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Уязвимость в sudo, позволяющая повысить привилегии при испол..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +/
Сообщение от opennews (ok), 15-Окт-19, 09:10 
В утилите Sudo, используемой для организации выполнения команд от имени других пользователей, выявлена...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=51675

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +15 +/
Сообщение от ryoken (ok), 15-Окт-19, 09:10 
Вот уже несколько раз лет за 5 примерно в sudo уязвимости. В su такого не встречал. Потому и не пользуюсь sudo, выделенный root-юзер везде :D.
Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +1 +/
Сообщение от Zenitur (ok), 15-Окт-19, 09:15 
Сейчас тебе кое-кто накрутит отрицательный рейтинг, и напишет тебе эмоциональное сообщение о том, что при помощи su нельзя делать базовых вещей (которые, разумеется, делать можно). Ждём-с
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +8 +/
Сообщение от Аноним (5), 15-Окт-19, 09:27 
На это денег сегодня не выделяли.
Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +4 +/
Сообщение от имя (ok), 15-Окт-19, 09:33 
Куда интереснее ждать доводы фанатов OpenBSD в пользу doas.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

8. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +/
Сообщение от Аноним (8), 15-Окт-19, 09:37 
Один разработчик опенбсд он же по совпадению разработчик sudo уже наломал дров. И в новости только те дрова которые нашли.
Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +1 +/
Сообщение от OpenBSD (?), 15-Окт-19, 12:55 
doas действительно хорош, там даже не сконфигурируешь как в этой статье
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

65. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  –7 +/
Сообщение от OpenBSD guy (?), 15-Окт-19, 15:37 
уже 5 лет на OpenBSD здесь не бывает проблем. код чистый и минимальный. так что остается ржать над пингвинятами
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

66. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +3 +/
Сообщение от Аноним (66), 15-Окт-19, 15:47 
Ага, нет кода - нет проблем. Сферическая OpenBSD в вакууме, вроде и есть, но не нужна никому...
Ответить | Правка | Наверх | Cообщить модератору

92. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  –6 +/
Сообщение от Stoned Jesus (?), 15-Окт-19, 23:35 
>Сферическая OpenBSD в вакууме, вроде и есть, но не нужна никому

Если выкинуть из линукса все разработки OpenBSD, то останется в нём только системд.

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  –1 +/
Сообщение от Аноним (9), 15-Окт-19, 09:39 
Не пользуюсь судо уже лет 15, фигня это всё, убунтятам промыли мозги эффективные апологеты бэкдоров. Уровнями доступа должны заниматься всякие памы с полисикитами, а не эти костыли. Единственное применение судо, что я могу придумать, это там, где мне надо анально ограничить пользователя, но при этом дать тому права на операции, к которым у него в норме не должно быть доступа (но которые хочется на него повесить).
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

19. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +4 +/
Сообщение от Zenitur (ok), 15-Окт-19, 10:12 
Честно говоря, я так и "не осилил" PolicyKit. Сейчас объясню.

Когда я обновил SUSE 10.1 на openSUSE 11.2, то я обнаружил, что в этом "мастере": https://pic4a.ru/910/CX7.png (кто юзал SUSE, тот помнит). Так вот, в этом "мастере" юзер добавлен только в группы users и video. Раньше он был добавлен в audio, и во много-много других групп. Но как я слушал аудио, если меня нет в группе audio? Оказывается, есть такая прога, ConsoleKit. Она даёт пользователю права по запросу, руководствуясь своими правилами (правила записаны внутри PolicyKit). Таким образом, можно свернуть сессию одного юзера, и начать другого, и не будет конфликтов между тем же звуком (ведь звуковая карта - одна).

И я подумал: да это же круть! Скажем, я делаю мультисит по этому руководству: https://web.archive.org/web/20101122144906/http://www.newmol... И вот я хочу, чтобы, из моих 8 USB на материнской плате, 4 левых принадлежали юзеру 1000, а 4 правых юзеру 1001. Могу ли я такое сделать при помощи ConsoleKit? Теоретически, да. А на практике, я как открыл специальную утилиту настройки: https://pic4a.ru/910/fru.png Так и офигел. Ничего я естественно сделать не смог. А готовых инструкций не было. А в Debian/Ubuntu я и вовсе эту утилиту не нашёл, как и конфиг-файлов PolicyKit. Только в Gentoo, когда для монтирования флешки появлялось окно "введите пароль", то я по руководству поменял конфиг PolicyKit, и оказалось, что там... XML. Ааафигенно

В общем, без тех. поддержки Ред Хата никто свои хотелки сделать не сможет.

Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  –2 +/
Сообщение от Аноним (20), 15-Окт-19, 10:15 
> …то я по руководству поменял конфиг PolicyKit, и оказалось, что там... XML. Ааафигенно

Синьор таки разучился читать и писать текст в файл? Всё-то бы вам, хипстерам, json какой или ini-файлы.

Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  –2 +/
Сообщение от Zenitur (ok), 15-Окт-19, 10:32 
"Офигенно" это сарказм был
Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +3 +/
Сообщение от Аноним (25), 15-Окт-19, 10:45 
Ты отстал от жизни, теперь там интерпретатор javascript.
Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

39. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +/
Сообщение от Аноним (9), 15-Окт-19, 11:23 
jit немного напрягает, я его всегда отключаю
Ответить | Правка | Наверх | Cообщить модератору

78. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +/
Сообщение от Аноним (78), 15-Окт-19, 19:02 
> теперь там интерпретатор javascript.

В PolicyKit — нет. Только в polkit.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

91. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +/
Сообщение от Аноним (91), 15-Окт-19, 23:19 
> без тех. поддержки Ред Хата никто свои хотелки сделать не сможет.

Так в этом же и смысл.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

55. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +1 +/
Сообщение от Аноним (55), 15-Окт-19, 13:23 
...например, дать возможность обычному юзеру вызывать poweroff и reboot из командной строки
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

82. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  –1 +/
Сообщение от Archevod (?), 15-Окт-19, 19:10 
$ systemctl poweroff
$ systemctl reboot
не благодари...
Ответить | Правка | Наверх | Cообщить модератору

95. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +/
Сообщение от Аноним (95), 15-Окт-19, 23:41 
А как запретить?
Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +14 +/
Сообщение от freehckemail (ok), 15-Окт-19, 10:45 
> Вот уже несколько раз лет за 5 примерно в sudo уязвимости. В su такого не встречал. Потому и не пользуюсь sudo, выделенный root-юзер везде :D

Так ведь это просто утилиты разного класса. Да, обе используются для эскалации привилегий, но есть много нюансов: в sudo можно выбрать список команд, которые доступны пользователю -- а в su предоставяются полные права доступа от имени другого пользователя; доступ к этим командам через sudo управляется паролем текущего пользователя, а в su -- паролем целевого; sudo имеет гибкие настройки проброса переменных окружения при эскалации привилегий, su -- нет. Этот список можно вообще долго продолжать.

В общем, sudo -- это вполне естественное развитие su. su прост и само собой не имеет проблем. sudo же может больше, он гораздо гибче. Разумеется, с таким подходом встречаются косяки. И заметьте, косяков-то там не так уж много, и не такие уж они критические.

Я не вижу особого смысла холиворить на тему su vs sudo. Это просто разные тулзы. Если Вам надо не заморачиваться -- можете использовать su, а можете юзера добавить в группу sudo/wheel... Какая собственно разница. А если надо чего посложнее -- sudo как правило более полезен.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

37. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +/
Сообщение от Аноним (9), 15-Окт-19, 11:22 
su кстати не работает без добавления в группу wheel (что за группа sudo такая я не знаю)
Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +2 +/
Сообщение от Stax (ok), 15-Окт-19, 11:39 
.. что, серьезно??

Вы что, только со слаквари перешли на нормальный дистрибутив и еще не догадываетесь о существовании PAM и взаимодействия его настроек со всеми этими утилитами?

Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +/
Сообщение от Аноним (9), 15-Окт-19, 12:00 
Я тоже удивился, не для того я себе логинд ставил (как кстати сделать чтобы сессия не зависала на минуту с включенным dbus?).
Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  –2 +/
Сообщение от Michael Shigorinemail (ok), 15-Окт-19, 12:27 
> su кстати не работает без добавления в группу wheel

Зависит от прав на бинарник -- в альте так из коробки, что обеспечивается установками в пакете и подсистемой control(8): http://altlinux.org/control

PS: Доступ: (4710/-rws--x---)  Uid: (    0/    root)   Gid: (   10/   wheel)

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

48. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  –2 +/
Сообщение от Аноним (9), 15-Окт-19, 12:38 
Интересно. Такие права не пойдут?

>> -rws--x--x 1 root root

Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  –2 +/
Сообщение от Michael Shigorinemail (ok), 15-Окт-19, 12:43 
> Интересно. Такие права не пойдут?
>>> -rws--x--x 1 root root

Перевожу: "права на запуск данного suid-ного бинарника есть у всех".

Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  –2 +/
Сообщение от Аноним (9), 15-Окт-19, 12:58 
Рута то этот su всё равно не даёт, если пользователь не в wheel.
Ответить | Правка | Наверх | Cообщить модератору

79. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +/
Сообщение от Аноним (78), 15-Окт-19, 19:05 
Даёт, если только у тебя не какой-то экзотический su.
Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +/
Сообщение от freehckemail (ok), 15-Окт-19, 13:20 
> su кстати не работает без добавления в группу wheel

Проверьте права доступа на бинарь su в вашем дистре.

> (что за группа sudo такая я не знаю)

Если говорить простым языком: общей практикой использования sudo является выделение некой группы, пользователи которой имеют право выполнять любые команды с повышением привилегий. В некоторых дистрибутивах эта группа называется sudo, в некоторых -- wheel.

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

70. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +/
Сообщение от Аноним (70), 15-Окт-19, 16:46 
>В некоторых дистрибутивах эта группа называется sudo, в некоторых -- wheel.

Я даже знаю дисрибутив FreeBSD.

Ответить | Правка | Наверх | Cообщить модератору

80. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  –1 +/
Сообщение от Аноним (78), 15-Окт-19, 19:06 
Это не «дисрибутив», это ОС.
Ответить | Правка | Наверх | Cообщить модератору

83. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +1 +/
Сообщение от Аноним (83), 15-Окт-19, 19:25 
> ОС

Ок. Казалось бы, причём тут Berkley software distribution

Ответить | Правка | Наверх | Cообщить модератору

67. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +1 +/
Сообщение от ievoochielaPh5Ph (ok), 15-Окт-19, 15:53 
> через sudo управляется паролем текущего пользователя, а в su -- паролем целевого

rootpw            If set, sudo will prompt for the root password instead of the password of the invoking user when running a command or editing a file. This flag is off by default.

runaspw           If set, sudo will prompt for the password of the user defined by the runas_default option (defaults to root) instead of the password of the invoking user when running a command or editing a file.  This flag is off by default.

А вот это мне в man sudoers приснилось только что. Ясно-понятно.

> Это просто разные тулзы.

Вот тут поддерживаю.

> если надо чего посложнее -- sudo как правило более полезен

И тут тоже

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

72. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +2 +/
Сообщение от freehckemail (ok), 15-Окт-19, 16:48 
>  rootpw          
>  runaspw          
> А вот это мне в man sudoers приснилось только что. Ясно-понятно.

Ммм, век живи, век учись. Не был в курсе про эти опции. Впрочем, я слабо представляю use case оных. Тем не менее суть та же: sudo -- крайне гибкий и хорошо настраиваемый под нужды пользователя инструмент.

Ответить | Правка | Наверх | Cообщить модератору

74. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +2 +/
Сообщение от ievoochielaPh5Ph (ok), 15-Окт-19, 17:02 
Вот буквально недавно один знакомый интересовался в ФБ а можно ли так, у него use-case простой: жена иногда сидит под его юзером за его ноутом, не доверять ей пароль он не может принципиально, а обезопасить sudo от ее случайных действий хочется.

А я помню rootpw со времен когда в каком-то из дистров оно по дефолту было включено :) Смог и ему подсказать тогда, и тебе сейчас процитировать :)

Ну и для runaspw я вижу достаточно много юзкейсов, на самом деле, лень описывать.

Да, sudo очень гибок, просто нужно не лениться и читать маны.

Ответить | Правка | Наверх | Cообщить модератору

81. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +4 +/
Сообщение от Аноним (78), 15-Окт-19, 19:08 
> Впрочем, я слабо представляю use case оных.

Включить по умолчанию в своём нескучном дистрибутиве, чтобы юзеры бдительность не теряли и читали внимательнее, чей пароль у них спрашивают. Привет SUSE.

Ответить | Правка | К родителю #72 | Наверх | Cообщить модератору

88. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +/
Сообщение от ievoochielaPh5Ph (ok), 15-Окт-19, 20:08 
Вот! Я помню, что в каком-то дистре было :)
Спасибо тебе, добрый аноним.
Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +3 +/
Сообщение от Ilya Indigo (ok), 15-Окт-19, 11:04 
>(ALL, !root)

Чтобы написать такую конструкцию, нужно быть упоротым на всю голову! ИМХО!
Неоднократно говорилось, да и то ли в доках то ли прямо в мане говорится, не создавать правил, аля всем кроме, это я ещё с универа помню, а закончил уже давно.

разрешать нужно или явно какому-то пользователю, выполнять от какого-то пользователя
user ALL=(mpd)NOPASSWD:/usr/bin/alsamixer
А если их несколько, то всех перечислить через запятую.
user ALL=(git,nginx)NOPASSWD:/bin/bash
А если их очень много, то создать список или alias и подставлять в эти правила его, но не городить таких вот костылей.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

41. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +/
Сообщение от InuYasha (?), 15-Окт-19, 11:36 
да это, по сути своей, и есть костыли. когда в системе добавляется/удаляется юзер - править 500 конфигов. по-хорошему, это должна быть централизованная БД юзеров, где у каждого описаны права. хз, может, это лдап умеет.
Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  –1 +/
Сообщение от Ilya Indigo (ok), 15-Окт-19, 11:48 
> когда в системе добавляется/удаляется юзер - править 500 конфигов...

Мне такое неведомо. Могу понять что на говнохостингах чтобы добавлялся, но чтобы удалялся.
И то, там используют напрямую id-ники, диапазон которых можно сразу вписать в правила.
Если речь идёт о реальных юзерах, которые подключаются через терминал или тонкий клиент к серверу и работают, то городить правило чтобы какие-то команды могли выполнять любой от любого, но кроме... тем более не вариант.

Ответить | Правка | Наверх | Cообщить модератору

61. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +/
Сообщение от Аноним (61), 15-Окт-19, 14:56 
Я вообще не вижу смысла в подобной команде. Зачем что-то запрещать руту? Он и без sudo все может.
Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

63. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +/
Сообщение от Ilya Indigo (ok), 15-Окт-19, 15:00 
> Я вообще не вижу смысла в подобной команде. Зачем что-то запрещать руту?
> Он и без sudo все может.

В том-то и дело, что sudo ничего не запрещает, тем более руту!
Она наоборот, разрешает одному пользователю делать что-то от другого (не обязательно root).
Например запустить настройку эквалайзера mpd текущему пользователю, причём ТОЛЬКО запуск эквалайзера и ничего более, даже без лишних параметров.

В данном контексте (!root) имелось ввиду что он разрешат выполнять от любого пользователя, кроме рута.
Сразу косяк, если пользователь входит в группу wheel, то он в некоторых случаях может сделать то же что и root.

Ответить | Правка | Наверх | Cообщить модератору

69. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +/
Сообщение от Аноним (69), 15-Окт-19, 16:38 
упртый на всю голову написал эту конструкцию (возможность ее создания) в код sudo - и без того представляющий собой невменяемую блоатварь.

оттуда бы надо наоборот, выбросить процентов 90 ненужного, вернув набор возможностей примерно на уровень 2002го года, когда основные дырки были уже залатаны, и заморозить в этом состоянии.

но менеджеры не поймут-с

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

71. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  –1 +/
Сообщение от Ilya Indigo (ok), 15-Окт-19, 16:47 
> упртый на всю голову написал эту конструкцию (возможность ее создания) в код
> sudo - и без того представляющий собой невменяемую блоатварь.
> оттуда бы надо наоборот, выбросить процентов 90 ненужного, вернув набор возможностей примерно
> на уровень 2002го года, когда основные дырки были уже залатаны, и
> заморозить в этом состоянии.
> но менеджеры не поймут-с

Я с Вами полностью согласен!
Я даже, до сегодняшнего дня, не знал что так вообще можно написать.

P.S. Вот чем занят Лёня, когда он реально давно тут нужен.

Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  –1 +/
Сообщение от Аноним (56), 15-Окт-19, 14:22 
Не фанат sudo, но suid бит не всегда работает корректно.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

60. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  –1 +/
Сообщение от Аноним (61), 15-Окт-19, 14:53 
Как без sudo разрешить выполнить определенную команду определенным пользователем без ввода пароля?

Такое часто нужно для скриптов автодеплоя.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

99. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +/
Сообщение от Павел Отредиезemail (?), 16-Окт-19, 18:48 
Разрешить выполнять группе. chmod 750 program, chgrp mygroup program. Если нужно chmod u+s program.
Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +/
Сообщение от Аноним (2), 15-Окт-19, 09:13 
В гентушечке тоже уже 1.8.28
Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  –1 +/
Сообщение от nm0i (ok), 15-Окт-19, 10:42 
В гентушечке есть doas
Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  –3 +/
Сообщение от Владимир Романовemail (?), 15-Окт-19, 10:57 
Нету. Только что проверил :).
Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +/
Сообщение от Аноним (35), 15-Окт-19, 11:14 
https://packages.gentoo.org/packages/app-admin/doas
Там нет персиста (возможно к лучшему)
Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +1 +/
Сообщение от nm0i (ok), 15-Окт-19, 11:23 
Персист в openbsd сделан ч/з timeout(9). В обоих портируемых форках doas он есть, но ч/з костыли. В апстриме doas что в гентушечке его можно включить через --with-timestamp
Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +2 +/
Сообщение от Аноним (25), 15-Окт-19, 11:30 
Все чуть интереснее:


        if (persist)
                fd = open("/dev/tty", O_RDWR);
        if (fd != -1) {
                if (ioctl(fd, TIOCCHKVERAUTH) == 0)
                        goto good;
        }

Вот этот ioctl() проверяет закешированные в ядре креды для конкретного юзера с конкретным tty. То есть весь persist по сути реализован в kernel space.

Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +/
Сообщение от abi (?), 15-Окт-19, 14:31 
Да, из-за этого doas портирован не полностью, этот вызов есть только в OpenBSD.
Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +6 +/
Сообщение от Аноним (4), 15-Окт-19, 09:25 
> упущением из внимания спецзначени

Любые спец. значения  и остроумная магия - это всегда будущие проблемы.

Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +1 +/
Сообщение от Аноним (8), 15-Окт-19, 09:36 
Учитывая что по официальной легенде программу разрабатывает один человек там еще много таких пасхалок.
Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  –3 +/
Сообщение от Аноним (10), 15-Окт-19, 09:40 
не зря Поттеринг `machinectl shell` запилил :)
Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +/
Сообщение от Аноним (20), 15-Окт-19, 09:49 
Сито же.

Кстати говоря, если в Debian-based вы не можете удалить sudo, потому что используете кеды, а кедомейнтейнер решил, что обязательная установка sudo это security issue, то можно выпилить x из файла, чтобы оно не запускалось. Но чтобы после апдейтов этот флаг не вернулся, лучше так:

dpkg-statoverride --update --add root root 644 /usr/bin/sudo

Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  –1 +/
Сообщение от Аноним (20), 15-Окт-19, 09:50 
*решилЮ что это не security issue
Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +5 +/
Сообщение от Anonymoustus (ok), 15-Окт-19, 09:52 
> с UID "-1" или "4294967295", что приведёт к её выполнению с UID 0.

Ох уж эти коварные типы данных.

Ответить | Правка | Наверх | Cообщить модератору

96. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +1 +/
Сообщение от Аноним (95), 15-Окт-19, 23:58 
По моему типы данных тут ни при чём, просто упустили момент что setreuid использует аргумент -1 как "не изменять".
Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  –1 +/
Сообщение от Аноним (18), 15-Окт-19, 10:08 
Во фре еще вчера обновили:

14 Oct 2019 16:46:28
Original commit files touched by this commit  1.8.28
Revision:514465
    garga search for other commits by this committer     

security/sudo: Update to 1.8.28

Sponsored by:    Rubicon Communications, LLC (Netgate)

Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  –4 +/
Сообщение от Аноним (22), 15-Окт-19, 10:36 
По-моему, sudo - это одна сплошная уязвимость.
Объясните дураку - как с помощью sudo дать человеку все права root за одним исключением - не дать ему сменить пароль root.
Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  –1 +/
Сообщение от Роман (??), 15-Окт-19, 10:42 
SELINUX
Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +1 +/
Сообщение от Аноним (22), 15-Окт-19, 10:46 
И?
sudo -> turn off selinux -> ... profit!
Ответить | Правка | Наверх | Cообщить модератору

104. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +/
Сообщение от Hedd_ (?), 18-Окт-19, 22:03 
SELINUX RBAC
Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +3 +/
Сообщение от aa (?), 15-Окт-19, 10:45 
включая возможность рута расковырять хекс едитором файловую систему и поправить хеш в passwd?
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

29. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +/
Сообщение от Аноним (22), 15-Окт-19, 10:47 
естессно...
Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  –3 +/
Сообщение от ыы (?), 15-Окт-19, 10:51 
>все права root

для начала надо понять что у рута нет прав.

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

31. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +1 +/
Сообщение от Аноним (22), 15-Окт-19, 10:54 
... ога. Одни обязанности.

От игры словами суть вопроса не меняется.
Пока что правильный ответ один - "никак". Если ты на это намекаешь.

Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +/
Сообщение от Аноним (9), 15-Окт-19, 11:19 
Я думаю можно мандатным контролем доступа ограничить много чего, или там сделать всяких toorов опять же, но это наверно не селинух или не только он один. Ещё были патчи ядра, исправляющие абсолютные возможности рута, если хочется прям чтобы рут (там же был hardened chroot и остальное). Но это будет уже не тот рут (хотя всё равно шерето). Ща пошла такая практика сажать рута в клетку, типа он тут не господин и повелитель, мне она немного не нравится, да и не работает это. Лучше не давать рута, если он не нужен.

А вообще селинух же вроде без перезагрузки не отключить? Ну можете попробовать запретить перезагрузку. Я не осиливаю селинух нормально настроить.

Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +2 +/
Сообщение от ананимус (?), 15-Окт-19, 12:20 
7 CVE за сорок лет.
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

62. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  –1 +/
Сообщение от Аноним (61), 15-Окт-19, 14:59 
Никак, имея "все кроме", можно придумать миллион способов достичь желаемого.
Подход с черным списком нежизнеспособен.
Единственное вменяемое решение - белый список.
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

85. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +1 +/
Сообщение от Crazy Alex (ok), 15-Окт-19, 19:31 
Борцы за идеальную безопасность забывают, что бывают другие задачи. От защиты от дурака до борьбы с совершенно конкретной проблемой с минимальным влиянием на всё остальное.

Ключик --[no]preserve-root у rm, например.

Ответить | Правка | Наверх | Cообщить модератору

89. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +1 +/
Сообщение от Михрютка (ok), 15-Окт-19, 20:40 
>>>Объясните дураку - как с помощью sudo дать человеку все права root за одним исключением - не дать ему сменить пароль root.

хранить хеш рута за пределами системы. реализация этого на практике предоставляется в качестве домашнего упражнения.

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

98. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +/
Сообщение от Аноним (22), 16-Окт-19, 13:18 
В качестве домашнего упражнения - осмысли процесс отделения котлеты хеша рута от остальных мух в master.passwd
Осмысленное осознай. Затем выпий йаду.
Ответить | Правка | Наверх | Cообщить модератору

97. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +/
Сообщение от Аноним (95), 16-Окт-19, 00:01 
Так вот для кого google рута ограничивает... нашёлся!
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

32. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +1 +/
Сообщение от Аноним (32), 15-Окт-19, 10:54 
> не приводят к смене UID, но так как сам sudo уже выполняется под root, то без смены UID и целевая команда также запускается с правами root.

ыыыы... какая прелесть!

Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  –1 +/
Сообщение от анонн (ok), 15-Окт-19, 12:00 
> На момент написания новости проблема остаётся неисправленной в ... и FreeBSD.

Еще вчера:
https://www.freshports.org/security/sudo/
> 14 Oct 2019 16:46:28
> Original commit files touched by this commit  1.8.28
> Revision:514465

Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +/
Сообщение от Аноним (54), 15-Окт-19, 13:21 
Не думаю, что такие странные правила много где использовались.
Ответить | Правка | Наверх | Cообщить модератору

58. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +/
Сообщение от rihad (ok), 15-Окт-19, 14:47 
Чего-то не понял что такого особенного в !root. А если просто перечислить целевых юзеров кроме рута, то все равно эта уязвимость возможна, или обязытельно должно присутствовать !root?
Ответить | Правка | Наверх | Cообщить модератору

101. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +1 +/
Сообщение от Ordu (ok), 17-Окт-19, 01:03 
Обязательно должно присутствовать ALL. Просто если там нет !root, то это notabag.
Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +/
Сообщение от rihad (ok), 15-Окт-19, 14:51 
Большое упущение sudo что невозможно в пути, которые даются аргументами командам включить wildcard - он будет матчить слеши тоже и можно будет работать с любым файлом. Только для sudoedit эту возможность добавили, но не в общем случае.
Ответить | Правка | Наверх | Cообщить модератору

68. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +/
Сообщение от ievoochielaPh5Ph (ok), 15-Окт-19, 16:00 
Описание самой «уязвимости» мне напоминает анекдот про «а вы на шкаф залезьте». При чем что бы ее использовать нужно предварительно получить право на правку sudoers, то есть сначала получить рута… Получить рута, что бы получить рута… Что-то странное вижу я.
Ответить | Правка | Наверх | Cообщить модератору

73. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +/
Сообщение от Аноним (70), 15-Окт-19, 16:54 
В каких дистрах не используется sudo?
Ответить | Правка | Наверх | Cообщить модератору

75. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +/
Сообщение от ievoochielaPh5Ph (ok), 15-Окт-19, 17:03 
В любом можешь не использовать. Вот просто в любом.
Ответить | Правка | Наверх | Cообщить модератору

90. "Уязвимость в sudo, позволяющая повысить привилегии при испол..."  +/
Сообщение от анонимммнн (?), 15-Окт-19, 22:46 
sudu su наше все!
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру