The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в пакетном менеджере GNU Guix

18.10.2019 09:16

В пакетном менеджере GNU Guix выявлена уязвимость (CVE-2019-18192), позволяющая добиться выполнения кода в контексте другого пользователя. Проблема проявляется в многопользовательских конфигурациях Guix и вызвана неверным выставлением прав доступа на системный каталог с профилями пользователей.

По умолчанию профили пользователей ~/.guix-profile определяются как символические ссылки на каталог /var/guix/profiles/per-user/$USER. Проблема в том, что права доступа на каталог /var/guix/profiles/per-user/ допускают создание новых подкаталогов любым пользователем. Атакующий может создать каталог для другого пользователя, который ещё не входил в систему, и организовать запуск своего кода (/var/guix/profiles/per-user/$USER присутствует в переменной PATH, и атакующий может разместить в этом каталоге исполняемые файлы, которые будут выполнены в процессе работы жертвы вместо системных исполняемых файлов).

  1. Главная ссылка к новости (https://guix.gnu.org/blog/2019...)
  2. OpenNews: Доступен пакетный менеджер GNU Guix 1.0 и дистрибутив GuixSD на его основе
  3. OpenNews: Связывание повторяемых сборок GNU Guix с архивом исходных текстов Software Heritage
  4. OpenNews: Уязвимость в пакетном менеджере APK, позволяющая удалённо выполнить код в Alpine Linux
  5. OpenNews: Уязвимость в пакетном менеджере APT, позволяющая подменить загружаемый пакет
  6. OpenNews: Уязвимость в пакетном менеджере pacman, позволяющая выполнить код в ходе MITM-атаки
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/51701-guix
Ключевые слова: guix
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (24) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (2), 09:47, 18/10/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Пофиксят. Тем более Guix, тут наверно можно обойтись даже без system reconfigure.
     
     
  • 2.4, Аноним (4), 10:06, 18/10/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Так оперативно можно ручками выставить правильные права.
     
     
  • 3.17, Аноним (17), 17:13, 18/10/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну-ка, ну-ка, и какие же права будут правильными, чтобы и дыру прикрыть, и ничего не сломать?
     

  • 1.5, Аноним (5), 10:16, 18/10/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    там 777 чтоль было?
     
     
  • 2.6, Аноним (6), 10:24, 18/10/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    888
     
     
  • 3.15, Аноним (4), 16:38, 18/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это в какой системе счисления? ;)
     
  • 2.7, Andrey Mitrofanov_N0 (??), 10:39, 18/10/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > там 777 чтоль было?

    1777.


    " Until now, /var/guix/profiles/per-user was world-writable [...] "
    --https://guix.gnu.org/blog/2019/insecure-permissions-on-profile-directory-cve-2

    " This issue was initially reported by Michael Orlitzky for Nix (CVE-2019-17365). "
    ==

    "
    its parent directory. That parent directory is shared by all users on
    the system, and as a result, is world-writable (so that everyone can
    create his own subdirectory thereof). This is enforced by the
    installation script scripts/install-multi-user.sh...

      _sudo "to make the basic directory structure of Nix (part 2)" \
        mkdir -pv -m 1777 /nix/var/nix/{gcroots,profiles}/per-user
    " --https://www.openwall.com/lists/oss-security/2019/10/09/4

     

  • 1.8, danonimous (?), 11:03, 18/10/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Интересно, сколько пользователей могло пострадать от этого? Похоже, кроме разработчиков им больше никто не пользуется.

    Дистрибутив очень интересный - в начале нулевых это был бы прорыв и на него все бы ломанулись. Отличные возможности по сборке программ, да ещё всё это напрямую от GNU. А сейчас его как будто не заметили. Возможно, надо делать форк с блобами, вшитыми в iso образе - как у Убунты, чтобы привлечь хоть какое-то внимание.

     
     
  • 2.9, ilyafedin (ok), 11:10, 18/10/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зачем, когда оригинальный дистрибутив, на котором он основан - уже с блобами?
     
     
  • 3.14, danominous (?), 14:40, 18/10/2019 [^] [^^] [^^^] [ответить]  
  • –5 +/
    NixOS инфецирован systemd и там велосипедный язык конфигурации. Поэтому понятно, почему он не взлетел. В Гиксе же нормальная система инициализации и Guile.
     
     
  • 4.16, Аноним (16), 17:05, 18/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    NixOS популярнее Guix. Второй обрёк себя на смерть в продакшене, исключив любую проприетарщину.
     
     
  • 5.22, Аноним (22), 16:58, 19/10/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Для проприетарщины есть сторонние каналы, например
    https://gitlab.com/nonguix/nonguix
     
  • 4.20, X4asd (ok), 19:24, 18/10/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    systemd это ведь наоборот хорошо
     
     
  • 5.26, Аноним (26), 22:24, 20/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Только если вы леннарт
     
  • 4.24, Ю.Т. (?), 08:23, 20/10/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ПМ Guix в одном из вариантов конфигнурации использует ПМ Nix.
     
  • 2.12, ievoochielaPh5Ph (ok), 14:20, 18/10/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Никто в начале нулевых об этом Guix не слышал, тогда была мода на Слаку и Gentoo.
    А от уязвимости даже разрабы не пострадают. Это как в свое время с Альтом было. Разговор с Райдером(Антоном Фарыгиным) на ЛинуксФесте про используемые дистры:

    — Ну я на Gentoo, а ты, Райдер? На своем Альте?
    — Я что на дурака похож? На Дэбиане сижу, для Альта все в чруте делаю

    :-D

     
     
  • 3.13, danominous (?), 14:34, 18/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Так его в начале нулевых не было, я это и отметил (с сожалением).
     
  • 2.18, user90 (?), 17:27, 18/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Интересно, сколько пользователей могло пострадать от этого?

    Примерно ноль. Guix используют энтузиасты с достаточно прямыми руками.

    > форк с блобами

    Цирк с конями! =) Это все-таки GNU, а не "возьмем systemd и побыстрому слепим тысяча первый дистрибутив".

     
     
  • 3.21, Анонимно (?), 22:27, 18/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > энтузиасты с достаточно прямыми руками.

    Прямизна чужих рук не извиняет своих 777.

    p.s Ну додумались же до a+rwx...  :/

     
     
  • 4.25, Andrey Mitrofanov_N0 (??), 10:31, 20/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Прямизна чужих рук не извиняет своих 777.
    > p.s Ну додумались же до a+rwx...  :/

    Малой, про sticky-биты почитай чего, что ли.

    $ stat -c '%A %a %U %G' /tmp/
    drwxrwxrwt 1777 root root

    1777 не 777.

    Можешь _внимательно_ почитать про "уязвимость" -- обратив внимание на то, что речь про создание директории, пока её _не_ существовало.

    Смекаешь?

     
  • 2.23, Аноним (23), 17:21, 19/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Интересно, сколько пользователей могло пострадать от этого?

    Эта уязвимость касается фактически многопользовательских систем, то есть компьютеров с удаленным или локальным доступом для множества пользователей.  Поскольку Guix используется таким образом в некоторых научных и образовательных учреждениях, уязвимость значима.

     

  • 1.10, Аноним (10), 11:42, 18/10/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Астрологи объявили неделю бэкдоров
     
  • 1.11, Аноним (11), 13:37, 18/10/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Автор вместо того, чтобы на Столмана гнать, лучше бы проектом занялся.
     
     
  • 2.19, danominous (?), 17:34, 18/10/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да - испортил карму, вот и первая уязвимость тут как тут!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру