LINUX.ORG.RU

Уязвимость в LightDM

 , , ,


0

1

Из-за уязвимости в менеджере входа в систему LightDM в релизах Ubuntu начиная с 16.10 временно прекращена возможность использования гостевого сеанса.

Проблема открывает гостю доступ к чужим файлам на компьютере. Она была вызвана прекращением применения ограничений AppArmor (в Ubuntu 16.04 и более ранних выпусках применялся профиль /usr/lib/lightdm/lightdm-guest-session) после перехода к использованию systemd для управления сеансами.

>>> Подробности



Проверено: anonymous_incognito ()
Последнее исправление: sudopacman (всего исправлений: 4)

после перехода к использованию systemd

Опять Лёня виноват, впрочем, ничего нового

anonymous
()

А по какой причине к управлению сессиями systemd нельзя было применить правила AppArmor?

Deleted
()

Это ещё раз доказывает полезность этого вашего леннарта

mittorn ★★★★★
()
Ответ на: комментарий от Deleted

Так специалистов в нём, кроме Лёни, нема.

anonymous
()

Проблема открывает гостю доступ к чужим файлам на компьютере.

А это не фича? Гостевой сеанс же сделан для тех, кто физический доступ имеет и все равно может посмотреть файлы.

Klymedy ★★★★★
()
Ответ на: комментарий от Deleted

А по какой причине к управлению сессиями systemd нельзя было применить правила AppArmor?

Не могу ответить на этот вопрос сам, поскольку не-в-зуб-ногой в AppArmor (как впрочем и в systemd), но по ссылке на ланчпаде какраз это обсуждают.

KennyMinigun ★★★★★
()
Ответ на: комментарий от KennyMinigun

Там аццкий срач поднялся. Разрабов lightdm клеймят во все стороны. А разгадка одна: они 3(три) месяца никак не реагировали на сообщения о баге. Во всяком случае, так пишут.

//На опеннете тоже срач.

narkoman228
() автор топика
Ответ на: комментарий от Klymedy

А это не фича? Гостевой сеанс же сделан для тех, кто физический доступ имеет и все равно может посмотреть файлы.

Без подобных багов можно конпуктер в стенку встроить и закрыть на ключик, а на улочку только дисплей сенсорный выставить, интернетами делица.

BruteForce ★★★
()

Не вижу уязвимости в том, что один пользователь может читать файлы другого пока тот не запретил это явно.

Имея физический доступ к ПеКа, эти файлы можно прочитать и с grub, и с uefi-shell.

vblats
()
Ответ на: комментарий от vblats

Не годится на отмазку, ибо есть разделение сфер ответственности.

У меня вот стоит одна Ubuntu, дефолтный grub там не дает командную строку при запуске.

Так же есть возможность установить пароль на UEFI, ну и замок на корпусах тоже предоставляют производители, а так же пломбы как постфактум.

fornlr ★★★★★
()
Ответ на: комментарий от Klymedy

Ну приходит к тебе в гости кто-то. 'Мне тут файл один подправить надо в докладе'.

Вот вероятность того, что он в файловом менеджере зайдет не труда весьма опасна, пока ты на минуту отвернулся.

А то, что он полезет в корпус или прочее...

fornlr ★★★★★
()
Ответ на: комментарий от narkoman228

они 3(три) месяца никак не реагировали на сообщения о баге

Хехек-с. Рабы касманафта на все багрепорты похоже так реагируют. Есть например баг 1674838. Ведро 4.10.0-x с убунтовыми патчами ВНЕЗАПНО начинает какать в лог сообщениями про kernel BUG, после чего линух плавно, по кускам, виснет. Багрепорт мартовский, поправленное (якобы) ведро обещают после 5 июня. Патамушто «This is our normal SRU cycle. Out-of-cycle updates are for the most part reserved for critical security issues.» А падающее ведро, значить, не critical issue.

anonymous
()
Ответ на: комментарий от vblats

Имея физический доступ к ПеКа, эти файлы можно прочитать и с grub, и с uefi-shell.

прочитай файлы с luks партиции, ага

Alsvartr ★★★★★
()

Это всё потому, что в дебиане не осилили из коробки запретить права на чтение всего подряд. Любой васян может прочитать файлы другого васяна и большинство системных. Админы локалхоста, что с них взять.

mandala ★★★★★
()
Ответ на: комментарий от narkoman228

Для идиотов: виноват не леонид поттерингОвич, а lightdm.

Все виноваты: разрабы дебиана с подходом аля-локалхост, разрабы убунты которые ложили на это, мейнтейнеры убунты которые вообще не тестируют то что мейнтейнерят, разрабы лайтдм — потому што школьники.

mandala ★★★★★
()
Ответ на: комментарий от intelfx

описал всех участников этого треда

Просто линукс на десктопе — это моветон. Глупые ошибки и их игнорирование — удел «школоты» (не по возрасту, а по отношению).

У сустемд другая проблема — пишут её кучка обычных кодеров сугубо под нужды красношляпы. Зачем это корпоративная кривоватая поделка нормальным людям — загадка.

mandala ★★★★★
()
Ответ на: комментарий от mandala

Это всё потому, что в дебиане не осилили из коробки запретить права на чтение всего подряд.

Они не осилили только x-r для всех на домашних каталогах и знают об этом.

большинство системных

Ещё вчера ты стоял на узкой грани между троллингом и идиотизмом, и сегодня сделал огромный шаг вперёд.

anonymous
()

прекращена возможность использования гостевого сеанса.

А прикрутить обратно профили MAC (AppArmor) и закрыть уязвимость в lightdm это для слабаков? Ах да, впрочем что ждать от идейного наследника деибана. Они сейчас ещё расскажут что MAC на десктопе не нужен.

d_a ★★★★★
()
Ответ на: комментарий от anonymous

Зачем не привилегированному пользователю читать содержимое за пределами его хомяка? Атавизм и упрощение!

Вон тут уже предлагают контейнеры городить — вот это наркомания.

mandala ★★★★★
()
Ответ на: комментарий от mandala

Зачем не привилегированному пользователю читать содержимое за пределами его хомяка?

Программки тоже все в /home/username ставить предлагаете ? там выше писали про «огромный шаг вперед» в вашем исполнении. У меня складывается впечатление, что это даже не шаг. Это прямо мировой рекорд в тройном прыжке :)

DrRulez ★★★★
()

Само смешное, в багрепорте относительно сабжа пишут:

Ow. Unfortunately I don't have any information on how to fix this since most of the work on guest sessions and systemd was done by Martin Pitt.

Кто будет чинить - непонятно))

anonymous
()
Ответ на: комментарий от intelfx

описал всех участников этого треда

А я не сразу заметил, что и тут системД замешан =)

Deleted
()
Ответ на: комментарий от anonymous

Он из мненечегоскрывателей.

И ты чертовски прав. Если мне понадобится че скрыть, я как минимум заюзаю umask. Но мне (и еще десяткам миллионов) незачем что-то скрывать ни на домашнем ПеКа, ни на домашнем ПеКа, поскольку юзаю их только я, а у жены и ребенка свои ноуты и компьютеры. И как я уже говорил, подобная ситуация (в доме несколько отдельных ПК с информацией, которую скрывать не нужно) - наиболее популярна в мире.

Так что, особенность конечно есть, но называть ее уязвимостью - слишком громко.

vblats
()
Ответ на: комментарий от anonymous

Да, ты прав. И они просто выпилили гостевой сеанс. Логика.

narkoman228
() автор топика

Проблема открывает гостю доступ к чужим файлам на компьютере.

а зачем он нужен? гость. предлагаю переименовать во врага и не подпускать к компу.

samy_volosaty ★★★★★
()

открывает гостю доступ к чужим файлам на компьютере

Systemd же...такое его предназначение...а хомячки и фанаты с рвущимися пуканами будут утверждать, что systemd это прогресс.

после перехода к использованию systemd для управления

сеансами. Настоящий зловред, этот systemd. И ведет себя в системе аналогично зловреду...и сколько еще таких вот уязвимостей нераскрыто...

Odalist ★★★★★
()
Ответ на: комментарий от Deleted

Ну что ты как маленький, systemd - это идеальнейшая и главнейшая система во всех дистрибутивах, важнее даже ядра (вон бсд не поддерживает, не осилили они написать достойное ядро для системд), так с какой стати им подчиняться чьему-то криворукому поделию под названием apparmor? Это аппармор должен у системд разрешения спрашивать

anonymous
()
Ответ на: комментарий от anonymous

Какой старт X, нормальные пацаны делают weston-launch.

narkoman228
() автор топика
Ответ на: комментарий от anonymous

Плюсую. Что может быть бесполезнее *DM

SL_RU ★★★★
()
Ответ на: комментарий от Odalist

Мда. Такое непроходимое мракобесие ещё поискать нужно. Отправляйся в игнор.

intelfx ★★★★★
()
Ответ на: комментарий от DrRulez

Программки тоже все в /home/username ставить предлагаете ?

Guix так умеет штатными средствами, на выбор — или системная установка, или только юзерская. В шинде, кстати, это тоже штатная возможность, но не юзер выбирает, а сборщик пакета.

mandala ★★★★★
()

Шерето.
Шапито.
Шаприто.
Лапшрито.
Шрелапшито.
Лашрето.
Лапшерето.
Лашпито.
Шлапито.
Увлекательные занятия с логопедом, теперь всего за 99 $ 99 €

awesomebuntu
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.