URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 118768
[ Назад ]
Исходное сообщение
"Уязвимость в пакетном менеджере GNU Guix"
Отправлено opennews , 18-Окт-19 09:43 
В  пакетном менеджере GNU Guix, выявлена...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=51701

Содержание
Сообщения в этом обсуждении
"Уязвимость в пакетном менеджере GNU Guix"
Отправлено Аноним , 18-Окт-19 09:47 
Пофиксят. Тем более Guix, тут наверно можно обойтись даже без system reconfigure.
"Уязвимость в пакетном менеджере GNU Guix"
Отправлено Аноним , 18-Окт-19 10:06 
Так оперативно можно ручками выставить правильные права.
"Уязвимость в пакетном менеджере GNU Guix"
Отправлено Аноним , 18-Окт-19 17:13 
Ну-ка, ну-ка, и какие же права будут правильными, чтобы и дыру прикрыть, и ничего не сломать?
"Уязвимость в пакетном менеджере GNU Guix"
Отправлено Аноним , 18-Окт-19 10:16 
там 777 чтоль было?
"Уязвимость в пакетном менеджере GNU Guix"
Отправлено Аноним , 18-Окт-19 10:24 
888
"Уязвимость в пакетном менеджере GNU Guix"
Отправлено Аноним , 18-Окт-19 16:38 
Это в какой системе счисления? ;)
"Уязвимость в пакетном менеджере GNU Guix"
Отправлено Andrey Mitrofanov_N0 , 18-Окт-19 10:39 
> там 777 чтоль было?

1777.


" Until now, /var/guix/profiles/per-user was world-writable [...] "
--https://guix.gnu.org/blog/2019/insecure-permissions-on-profi.../

" This issue was initially reported by Michael Orlitzky for Nix (CVE-2019-17365). "
==

"
its parent directory. That parent directory is shared by all users on
the system, and as a result, is world-writable (so that everyone can
create his own subdirectory thereof). This is enforced by the
installation script scripts/install-multi-user.sh...

  _sudo "to make the basic directory structure of Nix (part 2)" \
    mkdir -pv -m 1777 /nix/var/nix/{gcroots,profiles}/per-user
" --https://www.openwall.com/lists/oss-security/2019/10/09/4

"Уязвимость в пакетном менеджере GNU Guix"
Отправлено danonimous , 18-Окт-19 11:03 
Интересно, сколько пользователей могло пострадать от этого? Похоже, кроме разработчиков им больше никто не пользуется.

Дистрибутив очень интересный - в начале нулевых это был бы прорыв и на него все бы ломанулись. Отличные возможности по сборке программ, да ещё всё это напрямую от GNU. А сейчас его как будто не заметили. Возможно, надо делать форк с блобами, вшитыми в iso образе - как у Убунты, чтобы привлечь хоть какое-то внимание.

"Уязвимость в пакетном менеджере GNU Guix"
Отправлено ilyafedin , 18-Окт-19 11:10 
Зачем, когда оригинальный дистрибутив, на котором он основан - уже с блобами?
"Уязвимость в пакетном менеджере GNU Guix"
Отправлено danominous , 18-Окт-19 14:40 
NixOS инфецирован systemd и там велосипедный язык конфигурации. Поэтому понятно, почему он не взлетел. В Гиксе же нормальная система инициализации и Guile.
"Уязвимость в пакетном менеджере GNU Guix"
Отправлено Аноним , 18-Окт-19 17:05 
NixOS популярнее Guix. Второй обрёк себя на смерть в продакшене, исключив любую проприетарщину.
"Уязвимость в пакетном менеджере GNU Guix"
Отправлено Аноним , 19-Окт-19 16:58 
Для проприетарщины есть сторонние каналы, например
https://gitlab.com/nonguix/nonguix
"Уязвимость в пакетном менеджере GNU Guix"
Отправлено X4asd , 18-Окт-19 19:24 
systemd это ведь наоборот хорошо
"Уязвимость в пакетном менеджере GNU Guix"
Отправлено Аноним , 20-Окт-19 22:24 
Только если вы леннарт
"Уязвимость в пакетном менеджере GNU Guix"
Отправлено Ю.Т. , 20-Окт-19 08:23 
ПМ Guix в одном из вариантов конфигнурации использует ПМ Nix.
"Уязвимость в пакетном менеджере GNU Guix"
Отправлено ievoochielaPh5Ph , 18-Окт-19 14:20 
Никто в начале нулевых об этом Guix не слышал, тогда была мода на Слаку и Gentoo.
А от уязвимости даже разрабы не пострадают. Это как в свое время с Альтом было. Разговор с Райдером(Антоном Фарыгиным) на ЛинуксФесте про используемые дистры:

— Ну я на Gentoo, а ты, Райдер? На своем Альте?
— Я что на дурака похож? На Дэбиане сижу, для Альта все в чруте делаю

:-D

"Уязвимость в пакетном менеджере GNU Guix"
Отправлено danominous , 18-Окт-19 14:34 
Так его в начале нулевых не было, я это и отметил (с сожалением).
"Уязвимость в пакетном менеджере GNU Guix"
Отправлено user90 , 18-Окт-19 17:27 
> Интересно, сколько пользователей могло пострадать от этого?

Примерно ноль. Guix используют энтузиасты с достаточно прямыми руками.

> форк с блобами

Цирк с конями! =) Это все-таки GNU, а не "возьмем systemd и побыстрому слепим тысяча первый дистрибутив".

"Уязвимость в пакетном менеджере GNU Guix"
Отправлено Анонимно , 18-Окт-19 22:27 
> энтузиасты с достаточно прямыми руками.

Прямизна чужих рук не извиняет своих 777.

p.s Ну додумались же до a+rwx...  :/

"Уязвимость в пакетном менеджере GNU Guix"
Отправлено Andrey Mitrofanov_N0 , 20-Окт-19 10:31 
> Прямизна чужих рук не извиняет своих 777.
> p.s Ну додумались же до a+rwx...  :/

Малой, про sticky-биты почитай чего, что ли.

$ stat -c '%A %a %U %G' /tmp/
drwxrwxrwt 1777 root root

1777 не 777.

Можешь _внимательно_ почитать про "уязвимость" -- обратив внимание на то, что речь про создание директории, пока её _не_ существовало.

Смекаешь?

"Уязвимость в пакетном менеджере GNU Guix"
Отправлено Аноним , 19-Окт-19 17:21 
> Интересно, сколько пользователей могло пострадать от этого?

Эта уязвимость касается фактически многопользовательских систем, то есть компьютеров с удаленным или локальным доступом для множества пользователей.  Поскольку Guix используется таким образом в некоторых научных и образовательных учреждениях, уязвимость значима.

"Уязвимость в пакетном менеджере GNU Guix"
Отправлено Аноним , 18-Окт-19 11:42 
Астрологи объявили неделю бэкдоров
"Уязвимость в пакетном менеджере GNU Guix"
Отправлено Аноним , 18-Окт-19 13:37 
Автор вместо того, чтобы на Столмана гнать, лучше бы проектом занялся.
"Уязвимость в пакетном менеджере GNU Guix"
Отправлено danominous , 18-Окт-19 17:34 
Ну да - испортил карму, вот и первая уязвимость тут как тут!