LINUX.ORG.RU

Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo


0

0

При установке MLDonkey в Gentoo создается пользователь p2p, у которого отстутствует пароль, но имеется возможность входа в систему. Таким образом, существует возможность свободного входа по SSH, для всех систем на дистрибутиве Gentoo с установленным MLDonkey.

Описание в bugzilla: http://bugs.gentoo.org/show_bug.cgi?i...

>>> Официальное сообщение о уязвимости

Ответ на: комментарий от Grindz

>то-то мне эта програмулина сразу не понравилась, как будто чуял что-то.

Падстулам! :)))

Раыницу между ebuild'ом и MLDonkey улавливаем?

ansi ★★★★
()

Автора ебилда найти и отъебилдить. Чтобы в следующий раз думал головой перед тем как писать

Stalwart ★★★
()

жесть! и кто тут на убунту бочки катил?)))

troorl ★★
()

арч рулит! (правда в последнее время куда-то не туда)

overmind88 ★★★★★
()

ну вот опять! я говорил и буду говорить: СЛАКАРУЛЕДПАТРЕГБОХ!!!

генту - не нужен.

anonymous
()

И правда... Лечим:

usermod -s /sbin/nologin p2p

AsphyX ★★★
()

>This would require an installed login service that permitted empty passwords, such as SSH configured with the "PermitEmptyPasswords yes" option, a local login console, or a telnet server.

Те, кто разрешает вход без пароля в потенциально опасном окружении, просто напрашиваются на то, чтобы их ломали.

anonymous
()

Самая большая проблема, что вход без пароля разрешен. Даже ввиндусе это заблокировано. Пользуйтесь федора.

anonymous
()

LFS себе такого не допускает

anonymous
()
Ответ на: комментарий от anonymous

> 5 баллов! Кто тут на Debian и Ubuntu наезжал?

На Ubuntu я наезжал. С предложением заведомо отклонить все скриншоты с убунтой. Так как в 90% случаев это скрины без содержания вообще. А-ля "мой первый скрин на лор" или "вот снес поганую венду и поставил линух".

balodja ★★★
()

Чего-то я не понимаю, где здесь баг-то?

# grep p2p /etc/passwd
p2p:x:109:100:added by portage for mldonkey:/home/p2p:/bin/bash
# grep p2p /etc/shadow
p2p:!:13513:0:99999:7:::

Объясните теперь мне кто-нибудь, как такой пользователь может залогиниться? Это же не пустой пароль, это не установленный пароль (что эквивалентно тому, что любой введённый пароль не будет принят). Специально включил в sshd PermitEmptyPasswords - не пускает. С консоли тоже нельзя войти. Я честно говоря даже не понимаю, как автор бага в багзилле смог залогиниться под этим пользователем (может, у него какие-то хитрые настройки авторизации?).

Конечно, лучше чтобы у такого пользователя шелл был /bin/false. Но закладкой это не в коей мере не является - это а) похоже, обычный недосмотр а не намеренно сделаная вещь, и б) не работает в стандартной конфигурации.

Модераторы, исправьте заголовок! Это НЕ закладка!

slav ★★
()
Ответ на: комментарий от sS

> Жесть ;) Эт так сейчас гентушнеги шутят ? ;)

у них по жизни так.. конторка быдлоиндусов на скорую руку клепает ебилды, и главное быстрее и больше, иначе человекокомпеляторы помрут от голода. эти несчастные дальше emerge и набора костылей в виде gentoolkit не видели ничего. сидят бедолаги и думают, что так инадо...

anonymous
()

Состояние перенаправления
Адрес был перенаправлен на http://google.com. Пожалуйста, щелкните ссылку для перехода.

Можно включить автоматическое перенаправление в настройках.

Сгенерировано Opera ©

Капча=uniling

anonymous
()
Ответ на: комментарий от AsphyX

> А как надо? ;) Поподробнее, пожалуйста.

надо быть настоящим мужчиной - юзать слаку. там таких проблем нет.

anonymous
()

Урра! Все за халявными шеллами! Гентушатники раздают!

anonymous
()
Ответ на: комментарий от ntoo

Так с GLSA как-то запоздали, получается, на три месяца :)

thresh ★★★
()

судя по нику, автор ебилда - тот же, что и новости.

Rikz ★★★
()
Ответ на: комментарий от anonymous

>Дебианщеги пускай не слишком радуются - у самих вот такое на днях нашли: http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-4739.

На днях? полтора месяца однако... В тестинге уже 2.2.4 версия, да и stable 101% поправили

Dudraug ★★★★★
()
Ответ на: комментарий от Darkman

> Как это отсутствует пароль ? > А это что: > p2p:!:13159:0:99999:7:::

А это аккаунт которому запрещено логиниться.

anonymous
()

Нууу, нормальные люди всё равно гентой не пользуются, так что волноваться не о ком.

yk4ever
()
Ответ на: комментарий от Darkman

> Как это отсутствует пароль ? А это что:

> p2p:!:13159:0:99999:7:::

man shadow:

> Если поле паролей содержит строку, которая не является правильным результатом функции crypt(3), например, ! или *, то пользователь не сможет использовать этот пароль для входа в систему, смотрите pam(7).

slav ★★
()
Ответ на: комментарий от slav

+1

Создал специально пользователя, не задавая пароля -- не пускает -- получается "невходимый" пользователь. Создал с пустым паролем -- su пускает, ssh нет. А если у человека выставлено PermitEmptyPasswords (или что-нибудь аналогичное), то его безопасность все равно ничто не спасет.

lodin ★★★★
()
Ответ на: комментарий от anonymous

> А это аккаунт которому запрещено логиниться.

А я, блин, о чём говорю. Где они эту дыру откопали. Отродясь p2p логиниться запрещено было.

Darkman ★★★
()

1) Давно
2) Неправда
3) Неправда, бо пускает на каком-то извращенном setup'е
4) В RH/федоре, слаке, мандраке/мандриве, бунте и дебе - ничего похожего не было? Ну никогдашечки? НиверЮ! ©

anonymous
()
Ответ на: комментарий от anonymous

Но при этом гента-то сасьот, в отличии от RH/федоры, слаки, мандраки/мандривы, бунты и деба.

Вот такие дела, анонимный брат :(.

anonymous
()
Ответ на: комментарий от mrdeath

>а что в генту вход без пароля разрешен на ssh и прочие сервисы?

да.

anonymous
()

автор новости - убейся. Какая закладка?

Юзер без пароля(БЕЗ пароля, не с пустым паролем) с валидным шеллом, при том, что нигде в системе по дефолту вход без пароля не разрешён - это закладка?

This would require an installed login service that permitted empty passwords, such as SSH configured with the "PermitEmptyPasswords yes" option, a local login console, or a telnet server.

deadman ★★
()
Ответ на: комментарий от anonymous

>>а что в генту вход без пароля разрешен на ssh и прочие сервисы?

>да.

ананимусы, учите матчасть!!! PermitEmptyPasswords When password authentication is allowed, it specifies whether the server allows login to accounts with empty password strings. The default is ``no''. и в генте также. и вход под безпарольным юзером в настройках пама тожет отключен, если вы разрешили это делать - вы олух!

anonymous
()

Нихренасебе дыра.

birdie ★★★★★
()
Ответ на: комментарий от slav

> # grep p2p /etc/passwd
> p2p:x:109:100:added by portage for mldonkey:/home/p2p:/bin/bash
> # grep p2p /etc/shadow
> p2p:!:13513:0:99999:7:::

Так и есть. Автор новости убейся срочно, у тебя альтернативная вселенная. В этой нет такого. Никто никуда не логиницо, причем даже б если б и случилось такое то PermitEmptyPassword по умолчанию no, и надо додумацо чтобы выставить руками yes.

steinburzum
()

новость=ложь

Удалить

Проверявшему надо быть внимательнее.

(может вообще сюда все баги со всех багзил вывалите?)

rnz
()
Ответ на: комментарий от anonymous

>Но при этом гента-то сасьот, в отличии от RH/федоры, слаки, мандраки/мандривы, бунты и деба.

Вы не пробовали выставлять свои фантазии на конкурс фриков? Не то чтобы я разбирался, но у Вас, по-моему, неплохие шансы на первое место. Или даже на весь подиум разом...

>Вот такие дела, анонимный брат :(.

"Не брат ты мне, гнида черножопая" © Данила Б.

anonymous
()
Ответ на: комментарий от lodin

> Создал специально пользователя, не задавая пароля -- не пускает -- получается "невходимый" пользователь. Создал с пустым паролем -- su пускает, ssh нет. А если у человека выставлено PermitEmptyPasswords (или что-нибудь аналогичное), то его безопасность все равно ничто не спасет.

su рута в любого пользователя пустит. Попробуйте из обычного пользователя su сделать.

anonymous
()

Блин, господа, вы еще прикопайтесь к юзервм fuse, bind и sshd! не знаю как в Gentoo, но в Дебиане под ними залогиниться нельзя.

GMS
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.