The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимость в пакетном менеджере GNU Guix"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в пакетном менеджере GNU Guix"  +/
Сообщение от opennews (??), 18-Окт-19, 09:43 
В  пакетном менеджере GNU Guix, выявлена...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=51701

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


2. "Уязвимость в пакетном менеджере GNU Guix"  –2 +/
Сообщение от Аноним (2), 18-Окт-19, 09:47 
Пофиксят. Тем более Guix, тут наверно можно обойтись даже без system reconfigure.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Уязвимость в пакетном менеджере GNU Guix"  +2 +/
Сообщение от Аноним (4), 18-Окт-19, 10:06 
Так оперативно можно ручками выставить правильные права.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

17. "Уязвимость в пакетном менеджере GNU Guix"  +1 +/
Сообщение от Аноним (17), 18-Окт-19, 17:13 
Ну-ка, ну-ка, и какие же права будут правильными, чтобы и дыру прикрыть, и ничего не сломать?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Уязвимость в пакетном менеджере GNU Guix"  +/
Сообщение от Аноним (5), 18-Окт-19, 10:16 
там 777 чтоль было?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Уязвимость в пакетном менеджере GNU Guix"  –1 +/
Сообщение от Аноним (6), 18-Окт-19, 10:24 
888
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

15. "Уязвимость в пакетном менеджере GNU Guix"  +/
Сообщение от Аноним (4), 18-Окт-19, 16:38 
Это в какой системе счисления? ;)
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "Уязвимость в пакетном менеджере GNU Guix"  +3 +/
Сообщение от Andrey Mitrofanov_N0 (??), 18-Окт-19, 10:39 
> там 777 чтоль было?

1777.


" Until now, /var/guix/profiles/per-user was world-writable [...] "
--https://guix.gnu.org/blog/2019/insecure-permissions-on-profi.../

" This issue was initially reported by Michael Orlitzky for Nix (CVE-2019-17365). "
==

"
its parent directory. That parent directory is shared by all users on
the system, and as a result, is world-writable (so that everyone can
create his own subdirectory thereof). This is enforced by the
installation script scripts/install-multi-user.sh...

  _sudo "to make the basic directory structure of Nix (part 2)" \
    mkdir -pv -m 1777 /nix/var/nix/{gcroots,profiles}/per-user
" --https://www.openwall.com/lists/oss-security/2019/10/09/4

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Уязвимость в пакетном менеджере GNU Guix"  –3 +/
Сообщение от danonimous (?), 18-Окт-19, 11:03 
Интересно, сколько пользователей могло пострадать от этого? Похоже, кроме разработчиков им больше никто не пользуется.

Дистрибутив очень интересный - в начале нулевых это был бы прорыв и на него все бы ломанулись. Отличные возможности по сборке программ, да ещё всё это напрямую от GNU. А сейчас его как будто не заметили. Возможно, надо делать форк с блобами, вшитыми в iso образе - как у Убунты, чтобы привлечь хоть какое-то внимание.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Уязвимость в пакетном менеджере GNU Guix"  +1 +/
Сообщение от ilyafedinemail (ok), 18-Окт-19, 11:10 
Зачем, когда оригинальный дистрибутив, на котором он основан - уже с блобами?
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

14. "Уязвимость в пакетном менеджере GNU Guix"  –5 +/
Сообщение от danominous (?), 18-Окт-19, 14:40 
NixOS инфецирован systemd и там велосипедный язык конфигурации. Поэтому понятно, почему он не взлетел. В Гиксе же нормальная система инициализации и Guile.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

16. "Уязвимость в пакетном менеджере GNU Guix"  +/
Сообщение от Аноним (16), 18-Окт-19, 17:05 
NixOS популярнее Guix. Второй обрёк себя на смерть в продакшене, исключив любую проприетарщину.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

22. "Уязвимость в пакетном менеджере GNU Guix"  –1 +/
Сообщение от Аноним (22), 19-Окт-19, 16:58 
Для проприетарщины есть сторонние каналы, например
https://gitlab.com/nonguix/nonguix
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

20. "Уязвимость в пакетном менеджере GNU Guix"  –1 +/
Сообщение от X4asd (ok), 18-Окт-19, 19:24 
systemd это ведь наоборот хорошо
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

26. "Уязвимость в пакетном менеджере GNU Guix"  +/
Сообщение от Аноним (26), 20-Окт-19, 22:24 
Только если вы леннарт
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

24. "Уязвимость в пакетном менеджере GNU Guix"  –1 +/
Сообщение от Ю.Т. (?), 20-Окт-19, 08:23 
ПМ Guix в одном из вариантов конфигнурации использует ПМ Nix.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

12. "Уязвимость в пакетном менеджере GNU Guix"  +4 +/
Сообщение от ievoochielaPh5Ph (ok), 18-Окт-19, 14:20 
Никто в начале нулевых об этом Guix не слышал, тогда была мода на Слаку и Gentoo.
А от уязвимости даже разрабы не пострадают. Это как в свое время с Альтом было. Разговор с Райдером(Антоном Фарыгиным) на ЛинуксФесте про используемые дистры:

— Ну я на Gentoo, а ты, Райдер? На своем Альте?
— Я что на дурака похож? На Дэбиане сижу, для Альта все в чруте делаю

:-D

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

13. "Уязвимость в пакетном менеджере GNU Guix"  +/
Сообщение от danominous (?), 18-Окт-19, 14:34 
Так его в начале нулевых не было, я это и отметил (с сожалением).
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

18. "Уязвимость в пакетном менеджере GNU Guix"  +/
Сообщение от user90 (?), 18-Окт-19, 17:27 
> Интересно, сколько пользователей могло пострадать от этого?

Примерно ноль. Guix используют энтузиасты с достаточно прямыми руками.

> форк с блобами

Цирк с конями! =) Это все-таки GNU, а не "возьмем systemd и побыстрому слепим тысяча первый дистрибутив".

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

21. "Уязвимость в пакетном менеджере GNU Guix"  +/
Сообщение от Анонимно (?), 18-Окт-19, 22:27 
> энтузиасты с достаточно прямыми руками.

Прямизна чужих рук не извиняет своих 777.

p.s Ну додумались же до a+rwx...  :/

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

25. "Уязвимость в пакетном менеджере GNU Guix"  +/
Сообщение от Andrey Mitrofanov_N0 (??), 20-Окт-19, 10:31 
> Прямизна чужих рук не извиняет своих 777.
> p.s Ну додумались же до a+rwx...  :/

Малой, про sticky-биты почитай чего, что ли.

$ stat -c '%A %a %U %G' /tmp/
drwxrwxrwt 1777 root root

1777 не 777.

Можешь _внимательно_ почитать про "уязвимость" -- обратив внимание на то, что речь про создание директории, пока её _не_ существовало.

Смекаешь?

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "Уязвимость в пакетном менеджере GNU Guix"  +/
Сообщение от Аноним (23), 19-Окт-19, 17:21 
> Интересно, сколько пользователей могло пострадать от этого?

Эта уязвимость касается фактически многопользовательских систем, то есть компьютеров с удаленным или локальным доступом для множества пользователей.  Поскольку Guix используется таким образом в некоторых научных и образовательных учреждениях, уязвимость значима.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Уязвимость в пакетном менеджере GNU Guix"  +/
Сообщение от Аноним (10), 18-Окт-19, 11:42 
Астрологи объявили неделю бэкдоров
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Уязвимость в пакетном менеджере GNU Guix"  +5 +/
Сообщение от Аноним (11), 18-Окт-19, 13:37 
Автор вместо того, чтобы на Столмана гнать, лучше бы проектом занялся.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Уязвимость в пакетном менеджере GNU Guix"  +/
Сообщение от danominous (?), 18-Окт-19, 17:34 
Ну да - испортил карму, вот и первая уязвимость тут как тут!
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру