OpenForum RSS: Серьёзная уязвимость в инфраструктуре проекта Fedora Linux https://www.opennet.ru/openforum/vsluhforumID3/108790.html В системе Fedora Account System (https://fedoraproject.org/wiki/Account_System) (FAS (https://admin.fedoraproject.org/accounts/)), используемой для авторизации и организации входа разработчиков Fedora в различные web-сервисы проекта, в том числе в репозитории git и Bugzilla, выявлена (http://www.compatdb.org/forums/topic/113302-fedora-account-system-fas-security-issue/) проблема с безопасностью (CVE-2016-1000038), позволяющая без авторизации выполнить HTTP-запрос от имени любого пользователя инфраструктуры. <br><br><br><br><br><br><br>Уязвимость связана с логической ошибкой в коде, из-за которой web-приложение FAS может принять некорректный поддельный клиентский сертификат. При установке HTTP-заголовка X-Client-Verify осуществлялось (https://github.com/fedora-infra/fas/commit/49788ae0488bdcaf14903eaf18213bb6bf20aa94) копирования логина из заголовка X-Client-CN, выставлялся флаг успешной авторизации и пропускалась стадия проверки пароля. Проблема решена в свежем выпуске FAS путём удаления (https://github.com/fedora-infra/fas Серьёзная уязвимость в инфраструктуре проекта Fedora Linux (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/108790.html#27 Thu, 18 Aug 2016 07:41:56 GMT Fedorino горе<br> Серьёзная уязвимость в инфраструктуре проекта Fedora Linux (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/108790.html#26 Wed, 17 Aug 2016 08:37:25 GMT &gt; Что кому продано?<br><br>Тебе не пофигу, на локалхосте-то?<br> Серьёзная уязвимость в инфраструктуре проекта Fedora Linux (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/108790.html#25 Wed, 17 Aug 2016 08:36:00 GMT &gt; Продано, Fedora и CentOS (RedHat) сейчас в режиме стагнации стабильности.<br><br>Режим стагнации стабильности у дебиана, который уже не первый год умирает от network reload.<br> Серьёзная уязвимость в инфраструктуре проекта Fedora Linux (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/108790.html#24 Wed, 17 Aug 2016 08:33:04 GMT Хорошо, что вы признали ущербность вашей федоры.<br> Серьёзная уязвимость в инфраструктуре проекта Fedora Linux (hhg) https://www.opennet.ru/openforum/vsluhforumID3/108790.html#21 Fri, 12 Aug 2016 06:02:18 GMT обещанного три года ждут. вот, дождались.<br> Серьёзная уязвимость в инфраструктуре проекта Fedora Linux (adminlocalhost) https://www.opennet.ru/openforum/vsluhforumID3/108790.html#19 Thu, 11 Aug 2016 05:07:13 GMT Что кому продано? <br> Серьёзная уязвимость в инфраструктуре проекта Fedora Linux (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/108790.html#11 Wed, 10 Aug 2016 13:02:07 GMT Продано, Fedora и CentOS (RedHat) сейчас в режиме стагнации стабильности.<br><br>redhat-upgrade-tool preupgrade-assistant-contents не работают на CentOS<br> Серьёзная уязвимость в инфраструктуре проекта Fedora Linux (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/108790.html#10 Wed, 10 Aug 2016 11:29:38 GMT В Федоре везде!<br>В вашем любимом дистрибутиве нигде!<br> Серьёзная уязвимость в инфраструктуре проекта Fedora Linux (Анинимим) https://www.opennet.ru/openforum/vsluhforumID3/108790.html#8 Wed, 10 Aug 2016 09:06:36 GMT а сколько еще забекдоренных пакетов в федоренных репах теперь...<br>