LINUX.ORG.RU

Уязвимость в LightDM

 , , ,


0

1

Из-за уязвимости в менеджере входа в систему LightDM в релизах Ubuntu начиная с 16.10 временно прекращена возможность использования гостевого сеанса.

Проблема открывает гостю доступ к чужим файлам на компьютере. Она была вызвана прекращением применения ограничений AppArmor (в Ubuntu 16.04 и более ранних выпусках применялся профиль /usr/lib/lightdm/lightdm-guest-session) после перехода к использованию systemd для управления сеансами.

>>> Подробности

Решето

Когда убунта вернётся на GDM?

cantus ()

после перехода к использованию systemd

Опять Лёня виноват, впрочем, ничего нового

anonymous ()

А по какой причине к управлению сессиями systemd нельзя было применить правила AppArmor?

jollheef ★★☆☆☆ ()

Это ещё раз доказывает полезность этого вашего леннарта

mittorn ★★★★★ ()
Ответ на: комментарий от jollheef

Так специалистов в нём, кроме Лёни, нема.

anonymous ()

Проблема открывает гостю доступ к чужим файлам на компьютере.

А это не фича? Гостевой сеанс же сделан для тех, кто физический доступ имеет и все равно может посмотреть файлы.

Klymedy ★★★★★ ()
Ответ на: комментарий от jollheef

А по какой причине к управлению сессиями systemd нельзя было применить правила AppArmor?

Не могу ответить на этот вопрос сам, поскольку не-в-зуб-ногой в AppArmor (как впрочем и в systemd), но по ссылке на ланчпаде какраз это обсуждают.

KennyMinigun ★★★★★ ()

Для идиотов: виноват не леонид поттерингОвич, а lightdm.

narkoman228 ()
Ответ на: комментарий от KennyMinigun

Там аццкий срач поднялся. Разрабов lightdm клеймят во все стороны. А разгадка одна: они 3(три) месяца никак не реагировали на сообщения о баге. Во всяком случае, так пишут.

//На опеннете тоже срач.

narkoman228 ()
Ответ на: комментарий от Klymedy

А это не фича? Гостевой сеанс же сделан для тех, кто физический доступ имеет и все равно может посмотреть файлы.

Без подобных багов можно конпуктер в стенку встроить и закрыть на ключик, а на улочку только дисплей сенсорный выставить, интернетами делица.

BruteForce ★★★ ()

Не вижу уязвимости в том, что один пользователь может читать файлы другого пока тот не запретил это явно.

Имея физический доступ к ПеКа, эти файлы можно прочитать и с grub, и с uefi-shell.

vblats ()
Ответ на: комментарий от vblats

Не годится на отмазку, ибо есть разделение сфер ответственности.

У меня вот стоит одна Ubuntu, дефолтный grub там не дает командную строку при запуске.

Так же есть возможность установить пароль на UEFI, ну и замок на корпусах тоже предоставляют производители, а так же пломбы как постфактум.

fornlr ★★★★★ ()

после перехода к использованию systemd

TRIGGERED

описал всех участников этого треда

intelfx ★★★★★ ()
Последнее исправление: intelfx (всего исправлений: 2)
Ответ на: комментарий от Klymedy

Ну приходит к тебе в гости кто-то. 'Мне тут файл один подправить надо в докладе'.

Вот вероятность того, что он в файловом менеджере зайдет не труда весьма опасна, пока ты на минуту отвернулся.

А то, что он полезет в корпус или прочее...

fornlr ★★★★★ ()
Ответ на: комментарий от intelfx

описал всех участников этого треда

По усам текло, а в рот не попало.

ritsufag ★★★★★ ()
Ответ на: комментарий от narkoman228

они 3(три) месяца никак не реагировали на сообщения о баге

Хехек-с. Рабы касманафта на все багрепорты похоже так реагируют. Есть например баг 1674838. Ведро 4.10.0-x с убунтовыми патчами ВНЕЗАПНО начинает какать в лог сообщениями про kernel BUG, после чего линух плавно, по кускам, виснет. Багрепорт мартовский, поправленное (якобы) ведро обещают после 5 июня. Патамушто «This is our normal SRU cycle. Out-of-cycle updates are for the most part reserved for critical security issues.» А падающее ведро, значить, не critical issue.

anonymous ()
Ответ на: комментарий от vblats

Имея физический доступ к ПеКа, эти файлы можно прочитать и с grub, и с uefi-shell.

прочитай файлы с luks партиции, ага

Alsvartr ★★★★★ ()

Это всё потому, что в дебиане не осилили из коробки запретить права на чтение всего подряд. Любой васян может прочитать файлы другого васяна и большинство системных. Админы локалхоста, что с них взять.

mandala ★★★ ()
Ответ на: комментарий от narkoman228

Для идиотов: виноват не леонид поттерингОвич, а lightdm.

Все виноваты: разрабы дебиана с подходом аля-локалхост, разрабы убунты которые ложили на это, мейнтейнеры убунты которые вообще не тестируют то что мейнтейнерят, разрабы лайтдм — потому што школьники.

mandala ★★★ ()
Ответ на: комментарий от intelfx

описал всех участников этого треда

Просто линукс на десктопе — это моветон. Глупые ошибки и их игнорирование — удел «школоты» (не по возрасту, а по отношению).

У сустемд другая проблема — пишут её кучка обычных кодеров сугубо под нужды красношляпы. Зачем это корпоративная кривоватая поделка нормальным людям — загадка.

mandala ★★★ ()
Ответ на: комментарий от mandala

Это всё потому, что в дебиане не осилили из коробки запретить права на чтение всего подряд.

Они не осилили только x-r для всех на домашних каталогах и знают об этом.

большинство системных

Ещё вчера ты стоял на узкой грани между троллингом и идиотизмом, и сегодня сделал огромный шаг вперёд.

anonymous ()

прекращена возможность использования гостевого сеанса.

А прикрутить обратно профили MAC (AppArmor) и закрыть уязвимость в lightdm это для слабаков? Ах да, впрочем что ждать от идейного наследника деибана. Они сейчас ещё расскажут что MAC на десктопе не нужен.

d_a ★★★★★ ()
Ответ на: комментарий от anonymous

Зачем не привилегированному пользователю читать содержимое за пределами его хомяка? Атавизм и упрощение!

Вон тут уже предлагают контейнеры городить — вот это наркомания.

mandala ★★★ ()
Ответ на: комментарий от mandala

Зачем не привилегированному пользователю читать содержимое за пределами его хомяка?

Программки тоже все в /home/username ставить предлагаете ? там выше писали про «огромный шаг вперед» в вашем исполнении. У меня складывается впечатление, что это даже не шаг. Это прямо мировой рекорд в тройном прыжке :)

DrRulez ()

Само смешное, в багрепорте относительно сабжа пишут:

Ow. Unfortunately I don't have any information on how to fix this since most of the work on guest sessions and systemd was done by Martin Pitt.

Кто будет чинить - непонятно))

anonymous ()
Ответ на: комментарий от intelfx

описал всех участников этого треда

А я не сразу заметил, что и тут системД замешан =)

RedEyedMan4 ★★★★ ()
Ответ на: комментарий от anonymous

Он из мненечегоскрывателей.

И ты чертовски прав. Если мне понадобится че скрыть, я как минимум заюзаю umask. Но мне (и еще десяткам миллионов) незачем что-то скрывать ни на домашнем ПеКа, ни на домашнем ПеКа, поскольку юзаю их только я, а у жены и ребенка свои ноуты и компьютеры. И как я уже говорил, подобная ситуация (в доме несколько отдельных ПК с информацией, которую скрывать не нужно) - наиболее популярна в мире.

Так что, особенность конечно есть, но называть ее уязвимостью - слишком громко.

vblats ()
Ответ на: комментарий от intelfx

К Лёне неуважительно относятся

Сразу появляется intelfx

Systemd Circlejerk as is.

devl547 ★★★★★ ()

Проблема открывает гостю доступ к чужим файлам на компьютере.

а зачем он нужен? гость. предлагаю переименовать во врага и не подпускать к компу.

samy_volosaty ★★★★ ()

открывает гостю доступ к чужим файлам на компьютере

Systemd же...такое его предназначение...а хомячки и фанаты с рвущимися пуканами будут утверждать, что systemd это прогресс.

после перехода к использованию systemd для управления

сеансами. Настоящий зловред, этот systemd. И ведет себя в системе аналогично зловреду...и сколько еще таких вот уязвимостей нераскрыто...

Odalist ★★★★★ ()
Ответ на: комментарий от narkoman228

Без системГе там всё работало, так кто там виноват fanboy?

anonymous ()
Ответ на: комментарий от jollheef

Ну что ты как маленький, systemd - это идеальнейшая и главнейшая система во всех дистрибутивах, важнее даже ядра (вон бсд не поддерживает, не осилили они написать достойное ядро для системд), так с какой стати им подчиняться чьему-то криворукому поделию под названием apparmor? Это аппармор должен у системд разрешения спрашивать

anonymous ()

Продолжаем есть попкорн и использовать startx

anonymous ()
Ответ на: комментарий от Odalist

Мда. Такое непроходимое мракобесие ещё поискать нужно. Отправляйся в игнор.

intelfx ★★★★★ ()
Ответ на: комментарий от DrRulez

Программки тоже все в /home/username ставить предлагаете ?

Guix так умеет штатными средствами, на выбор — или системная установка, или только юзерская. В шинде, кстати, это тоже штатная возможность, но не юзер выбирает, а сборщик пакета.

mandala ★★★ ()

Шерето.
Шапито.
Шаприто.
Лапшрито.
Шрелапшито.
Лашрето.
Лапшерето.
Лашпито.
Шлапито.
Увлекательные занятия с логопедом, теперь всего за 99 $ 99 €

awesomebuntu ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.