Eltávolítaná a setuid-es fájlokat a Fedora projekt a Fedora 15-re

AlmaLinux, CentOS, Fedora, Red Hat, Rocky Linux

A FESCo (Fedora Engineering Steering Committee) tegnapelőtti megbeszélésének egyik témája az volt, hogy a fejlesztők megcélozzák-e setuid-es fájlok eltávolítását Fedora 15-re. A felvetés kedvező fogadtatásra lelt a tanács tagjai közt, így elfogadásra került. A projektnek weboldala is van, amely szerint ahol az alkalmazás igényli, ott a File Capabilties-t használnák a setuid-es megoldás helyett.

( agolon | 2010. 10. 29., p – 13:28 )


# ls -la $(which sudo)
-rwsr-xr-x 1 root root 120168 2007-05-04 13:36 /usr/bin/sudo

De látom pont ehhez nem kívánnak nyúlni. :)
--
2e845cb4c3a5b5bd6508455b1739a8a2

( turul16 v | 2010. 10. 29., p – 14:22 )

Vegre, valaki eszre vette, hogy van File Capabilities.
Hany ev kellett hoza ?

Amit nem lehet megirni assemblyben, azt nem lehet megirni.

( Hunger | 2010. 10. 29., p – 14:27 )

Naponta kerülnek nyilvánosságra biztonsági hibák a Linux kernelben, így aztán a setuid binárisokkal kapcsolatos problémák kihasználása maximum nosztalgiázásra vannak.

Mondhatnám úgy is, hogy 1992AD... :)

Lehet nem Secunia statisztikákat kellene nézegetni, hanem a valóságot. :)

Ezen a diagramon annyira röhögtem konkrétan, hogy be is kopiztam egyik linux security csatira. Dan Rosenberg (aki épp a minap kapta meg pont 1 hónap késés után az általa jelentett - grep segítségével pár perc alatt talált - 16+(!) kernel hibára a CVE-t) is erősen kérdőjelezett, hogy ezt hogyan számolták ki. Ráadásul nemhogy "extremely", de még "highly critical" besorolást se kapott egy sebezhetőség se egész évben? Kac-kac... :)

ennek a "16+ kernel hibának" utánanéztem.
Arról van szó, hogy pl. 16 byte-nyi stack területet nem inicializálnak nullával, így ez a memóriarészlet visszakerül a felhasználóhoz.
Szerintem ennek a hibának valós jelentősége közelít a nullához. Milyen törésre alkalmas adatot lehet megszerezni 16byte-ból?

Ne terelj, remote kernel vuln vagy nem? Volt ezen a konkrét SCTP-n kívül is sok más - további SCTP-s és egyéb protokollt érintő - távolról kihasználható bug, csak erről leírás és exploit is került ki a nyilvánosság elé, így egyszerűbb rá hivatkozni (főleg, mert ezt is DoS-nek akarták beállítani, mint sok más kernel sebezhetőséget).

Mellesleg ez a - szerinted - alig használt protokoll egy rakás nagy telco céget érintett szerte a világon. Az hogy te nem használod a desktop linuxodon, vajmi kevéssé releváns az elterjedtségét illetően.

Ne terelj, a 2010 -es statisztika volt a tema.
Meg az allandoan elokerulo elhallgatott HIGH sebezhetosegek tema. (neha naponta akkar 2 is)

SCTP -es exploitod igenyel egy bejelentkezett felhasznalot, igy nem remote, de anyit bizonyit, hogy nem LOW hanem MODERATE.

Amit nem lehet megirni assemblyben, azt nem lehet megirni.

1. Semmiféle bejelentkezett felhasználót nem igényel, faszságokat beszélsz. Egy remote kernel privesc pedig se nem low, se nem "moderate", ha a besorolás ennél a kettőnél több lehetőséget ad.

2. Mint írtam van egy jópár 2010-es remote vuln is, újabb SCTP bugok és mást érintő sebezhetőségek is, de ha azokat hoztam volna példának, akkor jöttél volna azzal a hülyeségeddel, hogy nincs rájuk publikus exploit, úgyhogy nem is léteznek, vagy legalábbis nem kihasználhatók...

3. Az általad oly pontosnak tartott Secunia "34 advisories from 2010" statisztikája annyira hiteles, hogy még a CVE adatbázisban is 80 találat van a linux+kernel+2010 keresésre. Erről mellesleg még LWN cikk is született nem rég, amelyben szintén szerepel, hogy ez a 80 db CVE bejegyzés is csak a "known security vulnerabilities".

Mellesleg az LWN cikknél ilyen Linux security szempontból senkik, mint Kees Cook az Ubuntu Security Team-ből is megerősíti, hogy ezek csak a "known issues" és ennél jóval több sebezhetőség van valójában. De te, turul16, az NI portása ezt nyilván jobban tudod...

1. Hunger, rossz cikket linkeltel, a blog elozo bejegyzese szol a remote exploitrol.

2. Azert nem mind arany ami fenylik, attol meg hogy messzirol nezve kihasznalhatonak latszik kozelrol nezve meg nem biztos hogy az.
Ha valamire azt mondanam, hogy nem kihasznalhato akkor meg te jossz azzal hogy vak vagyok.

3. secunia -mar akkor gyanus volt, amikor egy nem patchelt-nek jelzett egy patcheltet. Kosz a pontosabb szamot.

Ha tobb local DoS -tol komolyabb letezik, akkor miert lusta mindenki azt jelezni ?

Amit nem lehet megirni assemblyben, azt nem lehet megirni.