The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Образы Fedora Linux для облачных систем создавались c пустым паролем для активного аккаунта root

24.05.2013 23:55

Разработчики проекта Fedora сообщили о выявлении уязвимости (CVE-2013-2069) в инструментарии livecd-tools, которая приводила к созданию образов облачных окружений с пустым паролем пользователя root, без установки признака блокировки данного аккаунта. Локальный пользователь окружения, в том числе создаваемый по умолчанию, мог получить права пользователя root, выполнив su без ввода пароля. Удалённый вход под пользователем с пустым паролем по умолчанию заблокирован в OpenSSH. Проблема усугубляется тем, что она затронула официальные AMI-образы Fedora 15, 16, 17 и 18 , подготовленные для облачного сервиса Amazon.

  1. Главная ссылка к новости (http://lists.fedoraproject.org...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/37016-fedora
Ключевые слова: fedora, security, cloud
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (47) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 00:21, 25/05/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +39 +/
    Эх, не тот дистрибутив название сменил, ой не тот.
     
     
  • 2.3, хрюкотающий зелюк (?), 00:54, 25/05/2013 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Шел сюда писать коммент с аналогичной мыслью :)
     
     
  • 3.15, Miha (??), 09:04, 25/05/2013 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Шел сюда писать коммент с аналогичной мыслью :)

    Блин, последнее время читать тут камменты с утра стало полезно для здоровья. Несколько минут хорошего смеха заряжают на весь день :)

     
     
  • 4.16, anonimous (?), 09:10, 25/05/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Пояните шутку убогим вроде меня, пожалуйста.
     
     
  • 5.17, Аноним (-), 09:58, 25/05/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    http://habrahabr.ru/post/180663/
     
     
  • 6.31, Дядя_Федор (?), 18:48, 25/05/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Они уже осознали. :) http://zenit.senecac.on.ca/wiki/index.php/Pidora_Russian
     
     
  • 7.32, AlexAT (ok), 19:47, 25/05/2013 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Они уже осознали. :) http://zenit.senecac.on.ca/wiki/index.php/Pidora_Russian

    Мб для прикола предложить им переименоваться в Fedorasp?

     

  • 1.2, Аноним (-), 00:30, 25/05/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Пидорасы, сэр
     
     
  • 2.4, anonymous (??), 01:05, 25/05/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    точно, должны были втихаря молчать и не исправлять - никто бы на форумах не ругал.
     
     
  • 3.11, anonymous (??), 05:45, 25/05/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В хорошем смысле. http://pidora.ca .
     
     
  • 4.33, Четланин (?), 21:08, 25/05/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Западло на такой сайт заходить, "законтаченым" станешь!!! :)
     
     
  • 5.36, Легион (?), 00:23, 26/05/2013 [^] [^^] [^^^] [ответить]  
  • +/
    вы про vk.ком?
     
  • 5.43, anonymous (??), 16:31, 26/05/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Западло на такой сайт заходить, "законтаченым" станешь!!! :)

    Ты e-mail хоть раз в жизни отправлял/получал?

     
  • 2.29, Аноним (-), 17:36, 25/05/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Фидорасы

     

  • 1.5, Анонище (?), 01:10, 25/05/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Облака, Федора, рут без пароля. Очень высокотехнологично и современно.
     
     
  • 2.6, pavlinux (ok), 01:21, 25/05/2013 [^] [^^] [^^^] [ответить]  
  • +14 +/
    Выросло поколение поттерингов - амбиций, понтов и газификации луж больше, чем мозгов.  
     
     
  • 3.12, anonymous (??), 05:46, 25/05/2013 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Павлин обычно фигню пишет, но в этот раз я с ним согласен.
     
  • 3.13, Пр0х0жий (ok), 06:42, 25/05/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В десятку. Коротко, точно и ясно озвучено.
     
  • 3.14, Аноним (-), 07:02, 25/05/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так что, удобно же. Вбабахал su - и тебе все можно. Все для удобства пользователя, мля :).
     
  • 2.7, Карбофос (ok), 01:33, 25/05/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Стильно, модно, молодёжно
     
     
  • 3.8, Аноним (-), 02:21, 25/05/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Современно, удобно, юзер-ориентированно
     

  • 1.9, UraniumSun (?), 04:38, 25/05/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Сборище дегенератов
     
     
  • 2.35, Аноним (-), 22:57, 25/05/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    самокритично
     
     
  • 3.41, UraniumSun (?), 11:53, 26/05/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Я про разработчиков Fedora
     
     
  • 4.44, Нанобот (?), 17:06, 26/05/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А со стороны больше похоже, что о себе и своих одноклассниках
     
     
  • 5.45, Аноним (-), 18:39, 26/05/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А со стороны больше похоже, что о себе и своих одноклассниках

    Он имел в виду всех лун@ходов.

     

  • 1.10, Buy (ok), 04:38, 25/05/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Эпично!
     
     
  • 2.47, Аноним (-), 20:31, 26/05/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    и эстетично одновременно
     

  • 1.18, Int (?), 10:10, 25/05/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Ахаха Федора что ты делаешь ахаха прекрати
     
  • 1.19, Zenitur (ok), 11:03, 25/05/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    В Sabayon приходится догадываться что пароль root - "root", а в Pardus пароль root "toor" показывают перед стартом иксов. А в большинстве дистрибутивов Linux на LiveCD root добывается просто по "su". Потому что они на LiveCD и пароль root в этом случае не очевиден для пользователя.
     
     
  • 2.30, Аноним (-), 17:45, 25/05/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >А в большинстве дистрибутивов Linux на LiveCD root добывается просто по "su". Потому что они на LiveCD и пароль root в этом случае не очевиден для пользователя.

    su и sudo не путаем?

     
     
  • 3.34, Zenitur (ok), 21:28, 25/05/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Знаю только один LiveCD дистрибутив Linux с "sudo". Остальные с "su".
     
  • 2.37, Аноним (-), 02:42, 26/05/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Вот только live CD - readonly и грузится обычно пользователем за монитором, чтобы систему посмотреть. Сервак по такой технологии делать глупо. А вот образ для облака - он, сцyко, в реальную эксплуатацию может запускаться. И вот там это уже вполне себе будет дырой, позволяющей вообще любому кто хоть что-то подломил хоть самую капельку вполне себе полноценную такую эскалацию прав до настоящего рута. То-есть любая даже самая мизерная дырка позволяющая выполнение кода приведет к полной компрометации системы вплоть до впихивания в нее руткита.
     
     
  • 3.51, Аноним (-), 12:52, 28/05/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > ... И вот там это уже вполне себе будет дырой, позволяющей вообще любому кто хоть что-то подломил хоть самую капельку вполне себе полноценную такую эскалацию прав до настоящего рута...

    ...и в группе wheel

     

  • 1.20, AlexAT (ok), 11:53, 25/05/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Вообще ВСЕХ заставить делать пустой пароль root по умолчанию. Чтобы даже последний идиот знал, что его надо МЕНЯТЬ после развертывания системы.
     
     
  • 2.23, тоже Аноним (ok), 13:24, 25/05/2013 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Корпорация Майкрософт в своей неусыпной инновационной работе уже однажды провела подобный эксперимент. Естественно, отразив в документации необходимость ограничения использования учетной записи администратора...
     
     
  • 3.24, AlexAT (ok), 14:22, 25/05/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Корпорация Майкрософт в своей неусыпной инновационной работе уже однажды провела подобный
    > эксперимент. Естественно, отразив в документации необходимость ограничения использования
    > учетной записи администратора...

    Дык, кто хочет - пусть не ограничивает. ССЗБ.

     
     
  • 4.39, Аноним (-), 02:44, 26/05/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Дык, кто хочет - пусть не ограничивает. ССЗБ.

    Не, не только сам себе, к сожалению. Спам, флуд, ддосы и прочая потом достаются не только злобному баклану но и остальным участникам сети. А вот это уже плохо...

     
  • 2.38, Аноним (-), 02:43, 26/05/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > идиoт знал, что его надо МЕНЯТЬ после развертывания системы.

    В winXP уже было. Оказалось что идиoтов таки многовато - спам с них потом валится очень уж активно.

     

  • 1.21, YetAnotherOnanym (ok), 12:00, 25/05/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    И что за трагедия? Первым, о чём должен задуматься человек, установивший ОС или развернувший образ в облаке - поменять все дефолтные пароли, какие есть (включая snmp community, pg_hba.conf и всё такое). Тут без разницы - пустой пароль, или "root", или ${имядистра}, или что-то ещё общеизвестное.
     
  • 1.22, Anonim (??), 12:11, 25/05/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Разработчики мельчают. Мало кто хочет делать что-то хорошо на тех же условиях что ираньше
     
  • 1.25, Аноним (-), 15:34, 25/05/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    наверно было бы лучше, если бы
    >Образы Fedora Linux для облачных систем создавались cо случайным паролем из 64 символов, неизвестным пользователю для активного аккаунта root
     
     
  • 2.26, AlexAT (ok), 15:37, 25/05/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    И отсутствием других аккаунтов + шифрованной FS.
     
     
  • 3.40, Аноним (-), 02:45, 26/05/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > И отсутствием других аккаунтов + шифрованной FS.

    Так по крайней мере взломщики с них спамить и ддосить не будут, так что я за этот вариант :)

     

  • 1.49, Аноним (-), 00:50, 27/05/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    имхо, по хорошему вообще вредно использовать в облаках что-либо кроме шапки и дэб...
     
  • 1.50, Аноним (-), 12:28, 27/05/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Пидора Линакс! Крута!
     
     
  • 2.52, Аноним (-), 12:56, 28/05/2013 [^] [^^] [^^^] [ответить]  
  • +/
    <img src="слоупок.jpg"></img>
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру