The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

28.12.2018 21:59  Уязвимость в GVFS admin, позволяющая вносить любые правки в систему без root-прав

В представленном 3 года назад GVFS-бекенде admin (GNOME Virtual File System) обнаружена уязвимость, позволяющая непривилегированным пользователям, присутствующим в группе wheel, без запроса пароля вносить любые правки в файловую систему с правами root.

Для повышения прав без запроса пароля суперпользователя достаточно принудительно завершить процесс графического агента аутентификации polkit. Указанный процесс работает с правами текущего пользователя, что позволяет завершить его без наличия повышенных привилегий. Так как бэкенд admin корректно не обрабатывает ситуацию недоступности агента polkit, который применяется для определения имеющихся у пользователя дополнительных полномочий (считает достаточным нахождение пользователя в группе wheel), после прекращения работы процесса polkit (polkit-gnome-authentication-agent-1), например, можно запустить "nautilus admin:///root" для доступа к /root или "gedit admin:///etc/sudoers" для редактирования /etc/sudoers, не имея на это полномочий.

Стоит отметить, что в некоторых пользовательских окружениях, например, в GNOME и MATE, процесс polkit автоматически перезапускается, что, однако, не является защитой от уязвимости. Для дистрибутива ROSA Fresh выпущено и отправлено на тестирование обновление, отключающее бекенд GVFS admin до дальнейшего выяснения обстоятельств и появления исправления, закрывающего брешь в безопасности.

  1. Главная ссылка к новости (https://gitlab.gnome.org/GNOME...)
  2. OpenNews: Уязвимость, позволяющая обойти парольную защиту хранителя экрана GNOME
  3. OpenNews: В Tor Browser устранена уязвимость, допускавшая прямое соединение в обход Tor
  4. OpenNews: Уязвимость в GNOME Evince, позволяющая выполнить код при построении миниатюр
  5. OpenNews: Уязвимость в gnome-exe-thumbnailer, позволяющая выполнить код при просмотре каталога с MSI-файлом
  6. OpenNews: Уязвимости в GDK-Pixbuf, затрагивающие Chromium, Firefox, VLC и GNOME thumbnailer
Автор новости: mikhailnov
Тип: Проблемы безопасности
Ключевые слова: gvfs, gnome
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.3, Мастер над бэкдорами (?), 23:25, 28/12/2018 [ответить] [показать ветку] [···]    [к модератору]
  • –2 +/
    Куда смотрят Мастера над релизами?
     
     
  • 2.30, Аноним (30), 08:07, 29/12/2018 [^] [ответить]    [к модератору]
  • +4 +/
    Вашу бы энергию, да в коммиты - ревьвьюветь, а то только яструя
     
     
  • 3.83, Аноним (83), 16:03, 30/12/2018 [^] [ответить]     [к модератору]
  • –1 +/
    А зачем пытаться делать лучше что-то что уже broken beyond repair А глумление н... весь текст скрыт [показать]
     
  • 2.32, Я (??), 08:56, 29/12/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    куда куда на зарплату смотрят.
     
  • 2.61, EuPhobos (ok), 17:08, 29/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Какой "нездравый" 0дмин будет добавлять всех пользователей в группу wheel на секьюрной машине??
     
  • 1.4, Аноним (4), 23:33, 28/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    gentoo, gnome 3.30, в процессах есть только polkitd(запущен из под сис пользователя polkitd)

    nautilus admin:///root - требует пароля рута

     
     
  • 2.14, кузмич (?), 00:04, 29/12/2018 [^] [ответить]    [к модератору]  
  • +/
    gentoo xfce4 не пользую эту прогу хмм.
     
     
  • 3.16, commiethebeastie (ok), 00:17, 29/12/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    Ха, а я поменял thunar на nautilus в xfce, как влитой стоит.
     
     
  • 4.45, Анониммм (?), 13:10, 29/12/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Не поменял,а добавил.Удали тунар,а потом приходи поведать,что вышло.)
     
     
  • 5.49, commiethebeastie (ok), 15:05, 29/12/2018 [^] [ответить]     [к модератору]  
  • +/
    thunar bash thunar команда не найдена extra thunar 1 8 2-1 xfce4 -- тут нет... весь текст скрыт [показать]
     
     
  • 6.56, Анониммм (?), 16:45, 29/12/2018 [^] [ответить]     [к модератору]  
  • –3 +/
    Сказки нам тут не рассказывай При удалении тунара он утянет за собой очень много... весь текст скрыт [показать]
     
     
  • 7.60, арчевод (?), 17:02, 29/12/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    pacman -Q xfce4-tumbler tumbler xfce4-panel libexo exo garcon ошибка пакет x... весь текст скрыт [показать]
     
     
  • 8.62, Анониссимо (?), 17:12, 29/12/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    Первое правило арчевода : расскажи всем,что у тебя арч.
     
     
  • 9.63, Аноним (63), 18:05, 29/12/2018 [^] [ответить]    [к модератору]  
  • +/
    А вдруг это msys2?)
     
  • 9.65, арчевод (?), 18:16, 29/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Изначально ветка про gentoo, потом человек с arch-ем пишет. После чего приходит Анониммм и рассказывает, что вот в его дистрибутиве нельзя сделать так, значит все врут. Я хотя бы указал дистрибутив.
     
  • 9.72, анним (?), 21:15, 29/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Годное универсальное правило, независимо от дистрибутива.
     
  • 7.73, анним (?), 21:22, 29/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Это совсем разные вещи - зависимости и зависимые.
    В вашем случае надо было установленные зависимые для Thunar.
     
  • 7.75, Анонн (?), 22:07, 29/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Эта штука называется обратные зависимости code pkg rquery rn thunar xfce4-... весь текст скрыт [показать]
     
  • 7.77, commiethebeastie (ok), 23:05, 29/12/2018 [^] [ответить]     [к модератору]  
  • +/
    То что твой дистрибутив говно, это не значит что xfce4 не работает без thunar а ... весь текст скрыт [показать]
     
  • 7.81, Perlovka (ok), 12:45, 30/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Не во всех дистрибутивах настолько криворукие мейнтейнеры.
     
  • 1.6, Аноним (6), 23:39, 28/12/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +2 +/
    О г-споди, я в i3, никакого polkitd в процессах нет, запускаю nautilus admin ... весь текст скрыт [показать]
     
     
  • 2.9, Андрей (??), 23:54, 28/12/2018 [^] [ответить]    [к модератору]  
  • +8 +/
    Привет, я автор того issue.

    Пользователь должен быть в группе wheel, чтобы это работало.
    Тем не менее, у меня группа wheel настроена спрашивать пароль при выполнении sudo, так что уязвимость вполне реальная, особенно с учётом того, что почти всегда на персональных компах основной и единственный не системный юзер состоит в этой группе.

    С другой стороны вопрос к качеству кода :) - по сути оно проверяет, состоит ли человек в группе wheel, при этом абсолютно игнорирует уже существующую систему sudoers, в которой настроено, что может делать wheel. А некоторые люди используют группу sudo для тех же целей, и никогда не встречают этой проблемы, потому что проверяется именно wheel))
    Из-за этого проблема будет воспроизводиться не на всех дистрибутивах.

     
     
  • 3.10, mikhailnov (ok), 23:59, 28/12/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    В Debian wheel в этом правиле заменена на sudo, a sudoers не имеет отношения к polkitd
     
     
  • 4.24, Андрей (??), 04:35, 29/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Не знал, что заменена, тогда конкретно тут вопросов нет Про то что polkit не св... весь текст скрыт [показать]
     
     
  • 5.34, mikhailnov (ok), 09:22, 29/12/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Там, где у меня это воспроизводится, при запущенном агенте аутентификации запраш... весь текст скрыт [показать]
     
  • 3.20, Ordu (ok), 03:15, 29/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Мне кажется тут путаница какая-то Группа wheel даёт право запускать sudo, su и ... весь текст скрыт [показать]
     
     
  • 4.25, Андрей (??), 04:40, 29/12/2018 [^] [ответить]    [к модератору]  
  • +/
    В соседнем комментарии есть пояснение, что я имел в виду.
    Я не подразумевал, что что-то куда-то должно оглядываться, жаль что случилось недопонимание)
     
  • 3.39, Аннонниммм (?), 10:14, 29/12/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Где-то более года назад, когда меня еще интересовали новости в GNOME, произошла ... весь текст скрыт [показать]
     
  • 1.8, псевдонимус (?), 23:49, 28/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    >процесс polkit

    И вот это запущено в тайлс.

     
  • 1.11, Аноним (11), 23:59, 28/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Fedora 29, Gnome, не работает.
     
  • 1.15, Аноним (-), 00:05, 29/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Причем тут gvfs, если уязвимоть касается polkit.
     
     
  • 2.17, Аноним (17), 00:18, 29/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Уязвимость в gvfs, поскольку для него равнозначны ответы «authentication backend is not available» и «authentication succeed».
     
     
  • 3.18, AnonPlus (?), 01:09, 29/12/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    Охранник на проходной ушёл, так что пущаем всех, вместо того, чтобы закрыть проходную до прихода сменщика.
     
     
  • 4.26, svsd_val (ok), 04:44, 29/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Типичная и корректная ситуация в Голивудских фильмах :)
     
  • 1.19, Аноним (19), 02:25, 29/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Как gvfs вообще это делает? Ему же надо повысить привилегии, но как, если polkit и sudo недоступны, а бинари gvfsd не установлены со suid?
     
     
  • 2.53, Аноним (53), 15:44, 29/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Кстати, да. Чем права-то поднимать?
     
  • 1.21, Аноним (-), 03:30, 29/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    Автор с товарищем сами написали ишью, сами "пофиксили" поведение в своём дистре, и сами написали новость об этом тут. До какой-либо реакции со стороны разработчиков gvfs.
     
  • 1.27, Аноним (27), 06:09, 29/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Пожтому ставьте OS 3.0 там нету gvfs , но можно поставить
     
     
  • 2.46, Анонн (?), 13:21, 29/12/2018 [^] [ответить]    [к модератору]  
  • +/
    > Пожтому ставьте OS 3.0 там нету gvfs , но можно поставить

    [code]
    % pkg size gvfs
    0.00B
    [/code]

     
  • 1.29, Аноним (29), 07:26, 29/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    polkit, gvfs, dbus, pulseaudio... Загадили, блин, мой линукс. Где мой KDE2 без этого говна? Даже KDE начиная с версии 3.5 от этого зависит!
     
     
  • 2.44, Zenitur (ok), 12:48, 29/12/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Давайте представим, что Матрица работает на UNIX Там есть группа users, пользов... весь текст скрыт [показать]
     
     
  • 3.52, Аноним (53), 15:43, 29/12/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    Ты б ещё "Чапаева" в пример привёл. Кто Матрицу видели уже померли почти все. Этож чёрти каких годов кинцо.
     
     
  • 4.82, Аноним (82), 15:22, 30/12/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Проблемы личинок шерифа не волнуют.
     
  • 2.47, Аноним (63), 13:47, 29/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Не забудь проплатить под FreeBSD
     
     
  • 3.54, Анонн (?), 16:14, 29/12/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    code pkg size gvfs ... весь текст скрыт [показать]
     
  • 2.57, Аноним (57), 16:48, 29/12/2018 [^] [ответить]    [к модератору]  
  • +/
    >polkit, gvfs, dbus, pulseaudio... Загадили, блин, мой линукс. Где мой KDE2 без этого говна?

    А ты уверен, что в DCOP не было дыр?

     
     
  • 3.80, Аноним (29), 11:33, 30/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Ну конечно были. KDE-шники молодцы, что DCOP запускается (запускался) с сессией KDE, а не через /etc/init.d/dcop. В GNOME так делает, например, PulseAudio, а Dbus - от root
     
  • 1.31, Аноним (31), 08:15, 29/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Все ошибки выловить невозможно, только микроядро способно уберечь
     
     
  • 2.58, Аноним (57), 16:49, 29/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Сдаётся, что микроядро отлично бережёт до тех пор, пока массово не используется.
     
     
  • 3.68, псевдонимус (?), 18:31, 29/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Погугли про L4.
     
  • 3.78, Аноним (31), 23:30, 29/12/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Для L4 отсутствие ошибок доказано математически
     
     
  • 4.79, Аноним3 (?), 04:16, 30/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Подтверждено соответствие спецификации. Т.е. если делать с L4 только то, что предусмотрено спецификацией, сюрпризов быть не должно. Не более.
     
  • 1.33, Ващенаглухо (ok), 09:21, 29/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Arch lunux, нет ни гнома ни наутилуса
    $ pkill polkitd
    pkill: killing pid 588 failed: Operation not permitted

    Новость только для гномов?

     
     
  • 2.35, mikhailnov (ok), 09:24, 29/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Невнимательно ситали новость. polkitd, работающий не от вашего пользователя, убивать не надо.
     
  • 1.37, Адекват (ok), 09:45, 29/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    какая же тупоpылая уязвимость, вот читаю такие новости и просто за голову хватаюсь.
    Такое ощущение, что это писали дети в возрасте 5-6 лет по примерам из интернета.

    А может дело не в людях, а в линуксе ?
    А может он всегда вот таким вот поделием будет ? ну вечно что-то будет подтупливать, подглючивать, подвисать, подтормаживать, изредка так, изподтишка, в самый блин неподходящий момент.

     
     
  • 2.41, Аноним (82), 11:28, 29/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Freedesktop понятно дело троллейбус из хлеба на недофинансировании. Однако локальные руты во всех таких солидногламурных маковендочках бывают как минимум не реже. Подотри сопельки, адекват лол.
     
     
  • 3.55, Аноним84701 (ok), 16:36, 29/12/2018 [^] [ответить]     [к модератору]  
  • +/
    С другой стороны была FSG Free Standards Group http www freestandards org ... весь текст скрыт [показать]
     
  • 2.42, GK_222 (?), 11:42, 29/12/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    Уязвимость действительно тупая, потому что IRL ей практически невозможно восполь... весь текст скрыт [показать]
     
  • 2.48, Аноним (31), 13:54, 29/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Это вы еще винду десятую  не видели
     
  • 2.59, Аноним (57), 16:58, 29/12/2018 [^] [ответить]    [к модератору]  
  • +/
    >А может дело не в людях, а в линуксе ?

    Дело в том, что твои люди тебе недостаточно платят за посты на opennet.ru

     
  • 1.43, Аноним (43), 11:50, 29/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    https://bugzilla.gnome.org//show_bug.cgi?id=772875#c5
     
  • 1.50, Аноним123 (?), 15:16, 29/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А то что неправилигированный пользователь в группе wheel никого не смущает
     
  • 1.51, Аноним (53), 15:39, 29/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Для этого нужно быть в wheel-е. Как-то не страшно.
     
  • 1.64, Ддд (?), 18:12, 29/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Gvfs вообще бредовая идея
     
     
  • 2.69, псевдонимус (?), 18:33, 29/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Ну вообще это норма для фридесктоп.
     
  • 1.70, Аноним (70), 19:21, 29/12/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    Я правильно понял, пользовательский процесс сообщает системному какие права есть... весь текст скрыт [показать]
     
     
  • 2.71, mikhailnov (ok), 20:20, 29/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Нет, polkit работает от системного пользователя polkitd, с ним общается /usr/bin/pkexec с правами 4755, то есть с setuid, принадлежит root:root, и за счет SUID всегда запускается от root.
     
  • 1.76, Онаним (?), 22:16, 29/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Defective by design.
     
  • 1.84, Fedd (ok), 22:03, 30/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Ха только не давно была дыра в polkit когда можно было рутом стать через systemd. Развелось этих судо, никогда не знаешь где ждать сюрприз...
     
  • 1.85, Аноним (85), 14:06, 01/01/2019 [ответить] [показать ветку] [···]     [к модератору]  
  • +1 +/
    В качестве временного решения предлагаю tee etc pacman d hooks gvfs hook 1 ... весь текст скрыт [показать]
     
  • 1.86, Аноним (86), 09:51, 02/01/2019 [ответить] [показать ветку] [···]     [к модератору]  
  • +1 +/
    На правах моего скромного мнения Я не специалист по безопафосности и погромиро... весь текст скрыт [показать]
     
  • 1.87, Аноним (87), 20:31, 02/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > непривилегированным пользователям, присутствующим в группе wheel

    чиго, простите? если пользователь в wheel то, он - привелигированый и сможет получить рута и другими способами.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2019 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor