LINUX.ORG.RU

Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo


0

0

При установке MLDonkey в Gentoo создается пользователь p2p, у которого отстутствует пароль, но имеется возможность входа в систему. Таким образом, существует возможность свободного входа по SSH, для всех систем на дистрибутиве Gentoo с установленным MLDonkey.

Описание в bugzilla: http://bugs.gentoo.org/show_bug.cgi?i...

>>> Официальное сообщение о уязвимости

Re: Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

какстрашножить...

isden ★★★★★ ()

Re: Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

>то-то мне эта програмулина сразу не понравилась, как будто чуял что-то.

Падстулам! :)))

Раыницу между ebuild'ом и MLDonkey улавливаем?

ansi ★★★★ ()

Re: Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

Автора ебилда найти и отъебилдить. Чтобы в следующий раз думал головой перед тем как писать

Stalwart ★★★ ()

Re: Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

жесть! и кто тут на убунту бочки катил?)))

troorl ★★ ()

Re: Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

арч рулит! (правда в последнее время куда-то не туда)

overmind88 ★★★★★ ()

Re: Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

ну вот опять! я говорил и буду говорить: СЛАКАРУЛЕДПАТРЕГБОХ!!!

генту - не нужен.

anonymous ()

Re: Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

И правда... Лечим:

usermod -s /sbin/nologin p2p

AsphyX ★★★ ()

Re: Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

>This would require an installed login service that permitted empty passwords, such as SSH configured with the "PermitEmptyPasswords yes" option, a local login console, or a telnet server.

Те, кто разрешает вход без пароля в потенциально опасном окружении, просто напрашиваются на то, чтобы их ломали.

anonymous ()

Re: Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

Самая большая проблема, что вход без пароля разрешен. Даже ввиндусе это заблокировано. Пользуйтесь федора.

anonymous ()

Re: Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

ух ты, круто)))

pronvit ()

Re: Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

LFS себе такого не допускает

anonymous ()

Re: Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

5 баллов! Кто тут на Debian и Ubuntu наезжал?

anonymous ()

Re: Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

Жесть ;) Эт так сейчас гентушнеги шутят ? ;)

Аффтара уже поймали ?

sS ★★★★★ ()

Re: Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

> 5 баллов! Кто тут на Debian и Ubuntu наезжал?

На Ubuntu я наезжал. С предложением заведомо отклонить все скриншоты с убунтой. Так как в 90% случаев это скрины без содержания вообще. А-ля "мой первый скрин на лор" или "вот снес поганую венду и поставил линух".

balodja ★★★ ()

Re: Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

Чего-то я не понимаю, где здесь баг-то?

# grep p2p /etc/passwd
p2p:x:109:100:added by portage for mldonkey:/home/p2p:/bin/bash
# grep p2p /etc/shadow
p2p:!:13513:0:99999:7:::

Объясните теперь мне кто-нибудь, как такой пользователь может залогиниться? Это же не пустой пароль, это не установленный пароль (что эквивалентно тому, что любой введённый пароль не будет принят). Специально включил в sshd PermitEmptyPasswords - не пускает. С консоли тоже нельзя войти. Я честно говоря даже не понимаю, как автор бага в багзилле смог залогиниться под этим пользователем (может, у него какие-то хитрые настройки авторизации?).

Конечно, лучше чтобы у такого пользователя шелл был /bin/false. Но закладкой это не в коей мере не является - это а) похоже, обычный недосмотр а не намеренно сделаная вещь, и б) не работает в стандартной конфигурации.

Модераторы, исправьте заголовок! Это НЕ закладка!

slav ★★ ()

Re: Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

> Жесть ;) Эт так сейчас гентушнеги шутят ? ;)

у них по жизни так.. конторка быдлоиндусов на скорую руку клепает ебилды, и главное быстрее и больше, иначе человекокомпеляторы помрут от голода. эти несчастные дальше emerge и набора костылей в виде gentoolkit не видели ничего. сидят бедолаги и думают, что так инадо...

anonymous ()

Re: Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

Состояние перенаправления
Адрес был перенаправлен на http://google.com. Пожалуйста, щелкните ссылку для перехода.

Можно включить автоматическое перенаправление в настройках.

Сгенерировано Opera ©

Капча=uniling

anonymous ()

Re: Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

это ничего, что 2007-08-27 багу пофиксили?
в portage-то таких версий давно нет.

ntoo ()

Re: Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

Урра! Все за халявными шеллами! Гентушатники раздают!

anonymous ()

Re: Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

Как это отсутствует пароль ?

А это что:

p2p:!:13159:0:99999:7:::

Darkman ★★★ ()

Re: Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

Что, дождались ебилдов?!

anonymous ()

Re: Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

судя по нику, автор ебилда - тот же, что и новости.

Rikz ★★★ ()

Re: Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

>Дебианщеги пускай не слишком радуются - у самих вот такое на днях нашли: http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-4739.

На днях? полтора месяца однако... В тестинге уже 2.2.4 версия, да и stable 101% поправили

Dudraug ★★★★★ ()

Re: Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

Нууу, нормальные люди всё равно гентой не пользуются, так что волноваться не о ком.

yk4ever ()

Re: Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

> Как это отсутствует пароль ? А это что:

> p2p:!:13159:0:99999:7:::

man shadow:

> Если поле паролей содержит строку, которая не является правильным результатом функции crypt(3), например, ! или *, то пользователь не сможет использовать этот пароль для входа в систему, смотрите pam(7).

slav ★★ ()

Re: Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

+1

Создал специально пользователя, не задавая пароля -- не пускает -- получается "невходимый" пользователь. Создал с пустым паролем -- su пускает, ssh нет. А если у человека выставлено PermitEmptyPasswords (или что-нибудь аналогичное), то его безопасность все равно ничто не спасет.

lodin ★★★★ ()

Re: Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

> А это аккаунт которому запрещено логиниться.

А я, блин, о чём говорю. Где они эту дыру откопали. Отродясь p2p логиниться запрещено было.

Darkman ★★★ ()

Re: Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

1) Давно
2) Неправда
3) Неправда, бо пускает на каком-то извращенном setup'е
4) В RH/федоре, слаке, мандраке/мандриве, бунте и дебе - ничего похожего не было? Ну никогдашечки? НиверЮ! ©

anonymous ()

Re: Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

Но при этом гента-то сасьот, в отличии от RH/федоры, слаки, мандраки/мандривы, бунты и деба.

Вот такие дела, анонимный брат :(.

anonymous ()

Re: Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

а что в генту вход без пароля разрешен на ssh и прочие сервисы?

mrdeath ★★★★★ ()

Re: Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

автор новости - убейся. Какая закладка?

Юзер без пароля(БЕЗ пароля, не с пустым паролем) с валидным шеллом, при том, что нигде в системе по дефолту вход без пароля не разрешён - это закладка?

This would require an installed login service that permitted empty passwords, such as SSH configured with the "PermitEmptyPasswords yes" option, a local login console, or a telnet server.

deadman ★★ ()

Re: Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

>>а что в генту вход без пароля разрешен на ssh и прочие сервисы?

>да.

ананимусы, учите матчасть!!! PermitEmptyPasswords When password authentication is allowed, it specifies whether the server allows login to accounts with empty password strings. The default is ``no''. и в генте также. и вход под безпарольным юзером в настройках пама тожет отключен, если вы разрешили это делать - вы олух!

anonymous ()

Re: Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

Нихренасебе дыра.

birdie ★★★★★ ()

Re: Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

> # grep p2p /etc/passwd
> p2p:x:109:100:added by portage for mldonkey:/home/p2p:/bin/bash
> # grep p2p /etc/shadow
> p2p:!:13513:0:99999:7:::

Так и есть. Автор новости убейся срочно, у тебя альтернативная вселенная. В этой нет такого. Никто никуда не логиницо, причем даже б если б и случилось такое то PermitEmptyPassword по умолчанию no, и надо додумацо чтобы выставить руками yes.

steinburzum ()

Re: Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

новость=ложь

Удалить

Проверявшему надо быть внимательнее.

(может вообще сюда все баги со всех багзил вывалите?)

rnz ()

Re: Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

>Но при этом гента-то сасьот, в отличии от RH/федоры, слаки, мандраки/мандривы, бунты и деба.

Вы не пробовали выставлять свои фантазии на конкурс фриков? Не то чтобы я разбирался, но у Вас, по-моему, неплохие шансы на первое место. Или даже на весь подиум разом...

>Вот такие дела, анонимный брат :(.

"Не брат ты мне, гнида черножопая" © Данила Б.

anonymous ()

Re: Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

> Создал специально пользователя, не задавая пароля -- не пускает -- получается "невходимый" пользователь. Создал с пустым паролем -- su пускает, ssh нет. А если у человека выставлено PermitEmptyPasswords (или что-нибудь аналогичное), то его безопасность все равно ничто не спасет.

su рута в любого пользователя пустит. Попробуйте из обычного пользователя su сделать.

anonymous ()

Re: Закладка в ebuild'е MLDonkey в дистрибутиве Gentoo

Блин, господа, вы еще прикопайтесь к юзервм fuse, bind и sshd! не знаю как в Gentoo, но в Дебиане под ними залогиниться нельзя.

GMS ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.