7880 2005-09-06 12:33:58 +0400 требуется обновление до новой версии (SECURITY) 2005-09-29 10:48:37 +0400 1 1 4 Development Sisyphus smb4k unstable all Linux CLOSED FIXED P5 normal --- 1 rider abulava eostapets mike zerg qa-sisyphus oldest_to_newest 30144 0 rider 2005-09-06 12:33:58 +0400 31.08.2005: Severe security issue discovered; Smb4K 0.6.3 and security fixes released. A severe security issue has been discovered in Smb4K. By linking a simple text file FILE to /tmp/smb4k.tmp or /tmp/sudoers, an attacker could get access to the full contents of the /etc/super.tab or /etc/sudoers file, respectively, because Smb4K didn't check for the existance of these files before writing any contents. When using super, the attack also resulted in /etc/super.tab being a symlink to FILE. Affected are all versions of the 0.4, 0.5, and 0.6 series of Smb4K. The problem has been fixed in Smb4K 0.6.3 which is immediately available from our download page. For the 0.4 and 0.5 series, patches for Smb4K 0.4.1a and 0.5.2 have been released which also fix the left-copy-of-super.tab issue. They can also be downloaded from the download page. All users are asked to upgrade and/or patch their current versions immediately. 30145 1 rider 2005-09-06 12:44:36 +0400 Да, в branch-3.0 тоже, plz 30146 2 abulava 2005-09-06 12:55:37 +0400 Спасибо, но я уже в курсе, причём этого прозрения разработчиков ждал ещё со времени сборки smb4k-0.5.0-alt1: $ rpm -q --changelog smb4k|grep -A 10 0.5.0-alt1 * Срд Янв 26 2005 Andrei Bulava <abulava@altlinux.ru> 0.5.0-alt1 <cut /> - /etc/sudoers editing by smb4k was considered insecure and harmful, so super user actions, which depend on sudo, should be activated in /etc/sudo.d/smb4k via visudo so far (see README.ALT); thanks to Nick S. Grechukh (gns@) for a patch and suggestions Таким образом, я снижаю Severity до normal, поскольку сборка smb4k в Sisyphus не подвержена этой уязвимости. Только когда в upstream перейдут к редактированию /etc/sudo.d/smb4k вместо /etc/sudoers, причём с блокировками, полностью совместимыми с visudo, патч alt-sudoers.patch будет отключен. 30238 3 abulava 2005-09-07 18:25:49 +0400 В i/S и i/3.0-b отправлен bd1659b2110f96772580561284d82e72 smb4k-0.6.3-alt1.src.rpm Хотя лезть в /etc/sudoers я ему всё равно не разрешаю через патч smb4k-0.6.1-alt-sudoers.patch ;-) Единственное, чего мне по-настоящему не хватает для "прямого" решения задачи настройки sudo из smb4k - это времени, а план действий уже есть: 1) редактировать /etc/sudo.d/smb4k 2) использовать блокировки, совместимые с visudo (что уже сложнее, т.к. блокировка в идеале должна сниматься даже при аномальном выходе из smb4k) В общем, "патчи приветствуются" (c)