The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в GVFS admin, позволяющая вносить любые правки в систему без root-прав

28.12.2018 21:59

В представленном 3 года назад GVFS-бекенде admin (GNOME Virtual File System) обнаружена уязвимость, позволяющая непривилегированным пользователям, присутствующим в группе wheel, без запроса пароля вносить любые правки в файловую систему с правами root.

Для повышения прав без запроса пароля суперпользователя достаточно принудительно завершить процесс графического агента аутентификации polkit. Указанный процесс работает с правами текущего пользователя, что позволяет завершить его без наличия повышенных привилегий. Так как бэкенд admin корректно не обрабатывает ситуацию недоступности агента polkit, который применяется для определения имеющихся у пользователя дополнительных полномочий (считает достаточным нахождение пользователя в группе wheel), после прекращения работы процесса polkit (polkit-gnome-authentication-agent-1), например, можно запустить "nautilus admin:///root" для доступа к /root или "gedit admin:///etc/sudoers" для редактирования /etc/sudoers, не имея на это полномочий.

Стоит отметить, что в некоторых пользовательских окружениях, например, в GNOME и MATE, процесс polkit автоматически перезапускается, что, однако, не является защитой от уязвимости. Для дистрибутива ROSA Fresh выпущено и отправлено на тестирование обновление, отключающее бекенд GVFS admin до дальнейшего выяснения обстоятельств и появления исправления, закрывающего брешь в безопасности.

  1. Главная ссылка к новости (https://gitlab.gnome.org/GNOME...)
  2. OpenNews: Уязвимость, позволяющая обойти парольную защиту хранителя экрана GNOME
  3. OpenNews: В Tor Browser устранена уязвимость, допускавшая прямое соединение в обход Tor
  4. OpenNews: Уязвимость в GNOME Evince, позволяющая выполнить код при построении миниатюр
  5. OpenNews: Уязвимость в gnome-exe-thumbnailer, позволяющая выполнить код при просмотре каталога с MSI-файлом
  6. OpenNews: Уязвимости в GDK-Pixbuf, затрагивающие Chromium, Firefox, VLC и GNOME thumbnailer
Автор новости: mikhailnov
Тип: Проблемы безопасности
Ключевые слова: gvfs, gnome
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (80) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.3, Мастер над бэкдорами (?), 23:25, 28/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Куда смотрят Мастера над релизами?
     
     
  • 2.30, Аноним (30), 08:07, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Вашу бы энергию, да в коммиты - ревьвьюветь, а то только яструя
     
     
  • 3.83, Аноним (83), 16:03, 30/12/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А зачем пытаться делать лучше что-то что уже broken beyond repair?
    А глумление над пользователями гнома преследует очень важную цель - острацизм социальных групп использующих software broken beyond repair. Любой пользователь гнома должен понимать и осознавать по какой причине к нему относятся как к умственно-отсталому.
     
  • 2.32, Я (??), 08:56, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    куда куда на зарплату смотрят.
     
  • 2.61, EuPhobos (ok), 17:08, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Какой "нездравый" 0дмин будет добавлять всех пользователей в группу wheel на секьюрной машине??
     

  • 1.4, Аноним (4), 23:33, 28/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    gentoo, gnome 3.30, в процессах есть только polkitd(запущен из под сис пользователя polkitd)

    nautilus admin:///root - требует пароля рута

     
     
  • 2.14, кузмич (?), 00:04, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    gentoo xfce4 не пользую эту прогу хмм.
     
     
  • 3.16, commiethebeastie (ok), 00:17, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ха, а я поменял thunar на nautilus в xfce, как влитой стоит.
     
     
  • 4.45, Анониммм (?), 13:10, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не поменял,а добавил.Удали тунар,а потом приходи поведать,что вышло.)
     
     
  • 5.49, commiethebeastie (ok), 15:05, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Не поменял,а добавил.Удали тунар,а потом приходи поведать,что вышло.)

    thunar
    bash: thunar: команда не найдена

    extra/thunar 1.8.2-1 (xfce4) <-- тут нет информации о том, что он установлен
        Modern file manager for Xfce

    Может быть у тебя венда без explorer.exe и не работает, а для xfce4 thunar не является обязательным.

     
     
  • 6.56, Анониммм (?), 16:45, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Сказки нам тут не рассказывай.При удалении тунара он утянет за собой очень много чего по зависимостям,делая систему неработоспособной.Я сижу на флюксе,следовательно компонентов крысы у меня в системе нет,при установке Thunar: 1.6.15 тянет за собой
    libexo: 0.12.2
    xfce4-panel: 4.12.2
    garcon: 0.6.1
    xfce4-tumbler: 0.2.3
    При его удалении из Xfce,установленного мета пакетом, понятенет больше.Ещё раз : сказки нам тут не рассказывай.
     
     
  • 7.60, арчевод (?), 17:02, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    pacman -Q xfce4-tumbler tumbler xfce4-panel libexo exo garcon ошибка пакет x... текст свёрнут, показать
     
     
  • 8.62, Анониссимо (?), 17:12, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Первое правило арчевода расскажи всем,что у тебя арч ... текст свёрнут, показать
     
     
  • 9.63, Аноним (63), 18:05, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А вдруг это msys2 ... текст свёрнут, показать
     
  • 9.65, арчевод (?), 18:16, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Изначально ветка про gentoo, потом человек с arch-ем пишет После чего приходит ... текст свёрнут, показать
     
  • 9.72, анним (?), 21:15, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Годное универсальное правило, независимо от дистрибутива ... текст свёрнут, показать
     
  • 7.73, анним (?), 21:22, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Это совсем разные вещи - зависимости и зависимые.
    В вашем случае надо было установленные зависимые для Thunar.
     
  • 7.75, Анонн (?), 22:07, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Сказки нам тут не рассказывай.

    Эта штука называется обратные зависимости.
    [code]
    % pkg rquery %rn thunar
    xfce4-desktop
    squeeze
    thunar-vcs-plugin
    thunar-media-tags-plugin
    thunar-archive-plugin
    [/code]
    усе.

    > не знаю базовых вещей но
    > Я сижу на флюксе [и имею высказать вам всем очень ценное мнение]

    Яснопонятно.

     
  • 7.77, commiethebeastie (ok), 23:05, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Сказки нам тут не рассказывай.При удалении тунара он утянет за собой очень
    > много чего по зависимостям,делая систему неработоспособной.Я сижу на флюксе,следовательно
    > компонентов крысы у меня в системе нет,при установке Thunar: 1.6.15 тянет
    > за собой
    >  libexo: 0.12.2
    >  xfce4-panel: 4.12.2
    >  garcon: 0.6.1
    >  xfce4-tumbler: 0.2.3
    > При его удалении из Xfce,установленного мета пакетом, понятенет больше.Ещё раз : сказки
    > нам тут не рассказывай.

    То что твой дистрибутив говно, это не значит что xfce4 не работает без thunar'а.

     
  • 7.81, Perlovka (ok), 12:45, 30/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не во всех дистрибутивах настолько криворукие мейнтейнеры.
     

  • 1.6, Аноним (6), 23:39, 28/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    О г-споди, я в i3, никакого polkitd в процессах нет, запускаю nautilus admin:///root, и там [слово на "б"] всё видно на [слово на "х"]. Вот это дырень так дырень, [слово на "с"]...

    С другой стороны, если юзверь не в sudoers, то admin: содержимое недоступно. Но тем не менее.

     
     
  • 2.9, Андрей (??), 23:54, 28/12/2018 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Привет, я автор того issue.

    Пользователь должен быть в группе wheel, чтобы это работало.
    Тем не менее, у меня группа wheel настроена спрашивать пароль при выполнении sudo, так что уязвимость вполне реальная, особенно с учётом того, что почти всегда на персональных компах основной и единственный не системный юзер состоит в этой группе.

    С другой стороны вопрос к качеству кода :) - по сути оно проверяет, состоит ли человек в группе wheel, при этом абсолютно игнорирует уже существующую систему sudoers, в которой настроено, что может делать wheel. А некоторые люди используют группу sudo для тех же целей, и никогда не встречают этой проблемы, потому что проверяется именно wheel))
    Из-за этого проблема будет воспроизводиться не на всех дистрибутивах.

     
     
  • 3.10, mikhailnov (ok), 23:59, 28/12/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В Debian wheel в этом правиле заменена на sudo, a sudoers не имеет отношения к polkitd
     
     
  • 4.24, Андрей (??), 04:35, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не знал, что заменена, тогда конкретно тут вопросов нет.

    Про то что polkit не связан с sudoers я знаю (неожиданно :)). Я скорее имел в виду (дальше идёт ИМХО) это:
    Полкит встроен во многие современные дистрибутивы, при этом пользователь может быть не в курсе его существования. При этом этот человек скорее всего знает про sudoers, может там что-то подкрутил под себя, но при этом он не знает что группа wheel, которую он настроил, и которую он раздает каким-либо пользователями, может иметь абсолютно независимое от его настроек поведение (в принципе так и получилось в этой уязвимости).
    В общем это все скорее вопрос дизайна, так что сказать мне больше нечего.

     
     
  • 5.34, mikhailnov (ok), 09:22, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Там, где у меня это воспроизводится, при запущенном агенте аутентификации запрашивается пароль. Если убить агента, пароль не запрашивается. Когда посмотрел то правило polkit, сходу не понял, почему вообще пароль запрашивался, по правилу вроде не должен. По сути дела абсолютно любой процесс, запущенный с правами юзера, может воспользоваться этим для внесения изменений в систему.
    Похоже, и автор правила перекурил, и где-то еще есть ошибки.
     
  • 3.20, Ordu (ok), 03:15, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Мне кажется тут путаница какая-то Группа wheel даёт право запускать sudo, su и ... текст свёрнут, показать
     
     
  • 4.25, Андрей (??), 04:40, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В соседнем комментарии есть пояснение, что я имел в виду.
    Я не подразумевал, что что-то куда-то должно оглядываться, жаль что случилось недопонимание)
     
  • 3.39, Аннонниммм (?), 10:14, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Где-то более года назад, когда меня еще интересовали новости в GNOME, произошла следующая ситуация. Вызываю я в нем nautilus через polkit-gnome (authentication agent) в Arch Linux и ввожу при этом неправильный пароль. Ничего, естественно, не получилось. Вызываю снова.. Открывается GUI запрос пароля и, передумав его вводить, я нажимаю два раза <Esc>. И тут мне открывается без ввода пароля  nautilus с правами на полный доступ, редактирование и удаление чего угодно. Было весело. Не знаю, как сейчас. Проверьте...
     

  • 1.8, псевдонимус (?), 23:49, 28/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >процесс polkit

    И вот это запущено в тайлс.

     
  • 1.11, Аноним (11), 23:59, 28/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Fedora 29, Gnome, не работает.
     
  • 1.15, Аноним (-), 00:05, 29/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Причем тут gvfs, если уязвимоть касается polkit.
     
     
  • 2.17, Аноним (17), 00:18, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Уязвимость в gvfs, поскольку для него равнозначны ответы «authentication backend is not available» и «authentication succeed».
     
     
  • 3.18, AnonPlus (?), 01:09, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Охранник на проходной ушёл, так что пущаем всех, вместо того, чтобы закрыть проходную до прихода сменщика.
     
     
  • 4.26, svsd_val (ok), 04:44, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Типичная и корректная ситуация в Голивудских фильмах :)
     

  • 1.19, Аноним (19), 02:25, 29/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Как gvfs вообще это делает? Ему же надо повысить привилегии, но как, если polkit и sudo недоступны, а бинари gvfsd не установлены со suid?
     
     
  • 2.53, Аноним (53), 15:44, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, да. Чем права-то поднимать?
     

  • 1.21, Аноним (-), 03:30, 29/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Автор с товарищем сами написали ишью, сами "пофиксили" поведение в своём дистре, и сами написали новость об этом тут. До какой-либо реакции со стороны разработчиков gvfs.
     
  • 1.27, Аноним (27), 06:09, 29/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Пожтому ставьте OS 3.0 там нету gvfs , но можно поставить
     
     
  • 2.46, Анонн (?), 13:21, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Пожтому ставьте OS 3.0 там нету gvfs , но можно поставить

    [code]
    % pkg size gvfs
    0.00B
    [/code]

     

  • 1.29, Аноним (29), 07:26, 29/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    polkit, gvfs, dbus, pulseaudio... Загадили, блин, мой линукс. Где мой KDE2 без этого говна? Даже KDE начиная с версии 3.5 от этого зависит!
     
     
  • 2.44, Zenitur (ok), 12:48, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Давайте представим, что Матрица работает на UNIX. Там есть группа users, пользователи которых имеют некие средние характеристики. Пользователи могут увеличить себе характеристики при помощи тренировок, но есть некий теоретический лимит для значений.

    Ещё есть группа agents, имеющая те хе характеристики, помноженные на 10. Они могут уничтожить любого члена группы users - но не могут, например, видеть всю карту, смотреть сквозь стены, и любоваться программным кодом предметов вокруг.

    И вот возникает форс-мажорная ситуация. Появляется некий Мистер Андерсен, который ставит под угрозу стабильность работы Матрицы. Тогда agents запрашивают при помощи polkit повышение привелегий: возможность видеть, где находится Мистер Андерсен, в любой момент времени.

    А как вы себе представляете это иначе? Давать временно root Смиту?

    Polkit позволяет точечно дать права приложению k3b, Brasero или Nero Linux, не добавляя пользователя в группу cdrom. Приложение запросит права у Polkit, а тот, в свою очередь, сделает одно из трёх: дать права, показать gksu с просьбой ввести пароль root, или отказать. В теории, если конфиги Polkit расписаны достаточно подробно, то  юзера вообще можно теперь не добавлять ни в какие группы, кроме users

     
     
  • 3.52, Аноним (53), 15:43, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ты б ещё "Чапаева" в пример привёл. Кто Матрицу видели уже померли почти все. Этож чёрти каких годов кинцо.
     
     
  • 4.82, Аноним (82), 15:22, 30/12/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Проблемы личинок шерифа не волнуют.
     
  • 2.47, Аноним (63), 13:47, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не забудь проплатить под FreeBSD
     
     
  • 3.54, Анонн (?), 16:14, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Не забудь проплатить под FreeBSD

    [code]
    % pkg size gvfs                                                                  
    0.00B
    # ps auxfw|grep -c "[p]olk"
    0
    % pkg search dolphin
    dolphin-18.12.0                KDE filemanager dolphin
    % pkg search 5-plasma                                                            
    kf5-plasma-framework-5.53.0    KF5 plugin based UI runtime used to write user interfaces
    plasma5-plasma-5.12.7          KDE5 plasma meta port
    [/code]
    Завидуйте молча!


     
  • 2.57, Аноним (57), 16:48, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >polkit, gvfs, dbus, pulseaudio... Загадили, блин, мой линукс. Где мой KDE2 без этого говна?

    А ты уверен, что в DCOP не было дыр?

     
     
  • 3.80, Аноним (29), 11:33, 30/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну конечно были. KDE-шники молодцы, что DCOP запускается (запускался) с сессией KDE, а не через /etc/init.d/dcop. В GNOME так делает, например, PulseAudio, а Dbus - от root
     

  • 1.31, Аноним (31), 08:15, 29/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Все ошибки выловить невозможно, только микроядро способно уберечь
     
     
  • 2.58, Аноним (57), 16:49, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Сдаётся, что микроядро отлично бережёт до тех пор, пока массово не используется.
     
     
  • 3.68, псевдонимус (?), 18:31, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Погугли про L4.
     
  • 3.78, Аноним (31), 23:30, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Для L4 отсутствие ошибок доказано математически
     
     
  • 4.79, Аноним3 (?), 04:16, 30/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Подтверждено соответствие спецификации. Т.е. если делать с L4 только то, что предусмотрено спецификацией, сюрпризов быть не должно. Не более.
     

  • 1.33, Ващенаглухо (ok), 09:21, 29/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Arch lunux, нет ни гнома ни наутилуса
    $ pkill polkitd
    pkill: killing pid 588 failed: Operation not permitted

    Новость только для гномов?

     
     
  • 2.35, mikhailnov (ok), 09:24, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Невнимательно ситали новость. polkitd, работающий не от вашего пользователя, убивать не надо.
     

  • 1.37, Адекват (ok), 09:45, 29/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    какая же тупоpылая уязвимость, вот читаю такие новости и просто за голову хватаюсь.
    Такое ощущение, что это писали дети в возрасте 5-6 лет по примерам из интернета.

    А может дело не в людях, а в линуксе ?
    А может он всегда вот таким вот поделием будет ? ну вечно что-то будет подтупливать, подглючивать, подвисать, подтормаживать, изредка так, изподтишка, в самый блин неподходящий момент.

     
     
  • 2.41, Аноним (82), 11:28, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Freedesktop понятно дело троллейбус из хлеба на недофинансировании. Однако локальные руты во всех таких солидногламурных маковендочках бывают как минимум не реже. Подотри сопельки, адекват лол.
     
     
  • 3.55, Аноним84701 (ok), 16:36, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Freedesktop понятно дело троллейбус из хлеба на недофинансировании.

    С другой стороны была FSG. Free Standards Group:

    http://www.freestandards.org/
    https://web.archive.org/web/20030207141431/http://www.freestandards.org:80/
    > The Free Standards Group develops and makes freely available standards, tools and compliance testing, which allows
    > open source developers to concentrate on adding value to Linux,
    > rather than spending time dealing with verification and porting issues.

    После вливания в Linuxfoundation это алиас www.linuxfoundation.org , c ее многоплатиновыми спонсорами за полмиллиона/год.
    Землин (тот самый исполнительный директор Linux Foundation, "прославившийся" своей презентацией "2017 - год линукса на десктопе!" из под макоси), совершенно случайно, был главой (head) FSG.
    Как говорится - прочувствуйте разницу :)

     
  • 2.42, GK_222 (?), 11:42, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Уязвимость действительно тупая, потому что IRL ей практически невозможно воспользоваться. А вот про подтупливать... В линуксе всегда можно посмотреть что именно подглючивает и сделать выводы\удалить\закоммитить\исправить наконец. В отличие от.
     
  • 2.48, Аноним (31), 13:54, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Это вы еще винду десятую  не видели
     
  • 2.59, Аноним (57), 16:58, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >А может дело не в людях, а в линуксе ?

    Дело в том, что твои люди тебе недостаточно платят за посты на opennet.ru

     

  • 1.43, Аноним (43), 11:50, 29/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    https://bugzilla.gnome.org//show_bug.cgi?id=772875#c5
     
  • 1.50, Аноним123 (?), 15:16, 29/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А то что неправилигированный пользователь в группе wheel никого не смущает
     
  • 1.51, Аноним (53), 15:39, 29/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Для этого нужно быть в wheel-е. Как-то не страшно.
     
  • 1.64, Ддд (?), 18:12, 29/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Gvfs вообще бредовая идея
     
     
  • 2.69, псевдонимус (?), 18:33, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вообще это норма для фридесктоп.
     

  • 1.70, Аноним (70), 19:21, 29/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Я правильно понял, пользовательский процесс сообщает системному какие права есть у пользователя? Т.е. пользовательский polkit прибить и запустить другой, который будет гооворить что пользователь имеет права суперпользователя, то тоже будет работать?
     
     
  • 2.71, mikhailnov (ok), 20:20, 29/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, polkit работает от системного пользователя polkitd, с ним общается /usr/bin/pkexec с правами 4755, то есть с setuid, принадлежит root:root, и за счет SUID всегда запускается от root.
     

  • 1.76, Онаним (?), 22:16, 29/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Defective by design.
     
  • 1.84, Fedd (ok), 22:03, 30/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ха только не давно была дыра в polkit когда можно было рутом стать через systemd. Развелось этих судо, никогда не знаешь где ждать сюрприз...
     
  • 1.85, Аноним (85), 14:06, 01/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    В качестве временного решения предлагаю:

    # tee /etc/pacman.d/hooks/gvfs.hook 1>/dev/null << 'EOF'
    [Trigger]
    Operation = Install
    Operation = Upgrade
    Type = File
    Target = usr/share/polkit-1/rules.d/org.gtk.vfs.file-operations.rules

    [Action]
    Description = Restrict gvfs-admin...
    When = PostTransaction
    Exec = /bin/sed -i 's~polkit\.Result\.YES~polkit.Result.AUTH_ADMIN~g' /usr/share/polkit-1/rules.d/org.gtk.vfs.file-operations.rules
    EOF
    # pacman -U /var/cache/pacman/pkg/gvfs-*
    # pkill gvfsd-admin

     
  • 1.86, Аноним (86), 09:51, 02/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    На правах моего скромного мнения Я не специалист по безопафосности и погромиро... текст свёрнут, показать
     
  • 1.87, Аноним (87), 20:31, 02/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > непривилегированным пользователям, присутствующим в группе wheel

    чиго, простите? если пользователь в wheel то, он - привелигированый и сможет получить рута и другими способами.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру