Bug 7880

Summary: требуется обновление до новой версии (SECURITY)
Product: Sisyphus Reporter: Anton Farygin <rider>
Component: smb4kAssignee: Andrei Bulava <abulava>
Status: CLOSED FIXED QA Contact: qa-sisyphus
Severity: normal    
Priority: P5 CC: eostapets, mike
Version: unstable   
Hardware: all   
OS: Linux   

Description Anton Farygin 2005-09-06 12:33:58 MSD
31.08.2005:   Severe security issue discovered; Smb4K 0.6.3 and security fixes
released.

A severe security issue has been discovered in Smb4K. By linking a simple text
file FILE to /tmp/smb4k.tmp or /tmp/sudoers, an attacker could get access to the
full contents of the /etc/super.tab or /etc/sudoers file, respectively, because
Smb4K didn't check for the existance of these files before writing any contents.
When using super, the attack also resulted in /etc/super.tab being a symlink to
FILE.

Affected are all versions of the 0.4, 0.5, and 0.6 series of Smb4K. The problem
has been fixed in Smb4K 0.6.3 which is immediately available from our download
page. For the 0.4 and 0.5 series, patches for Smb4K 0.4.1a and 0.5.2 have been
released which also fix the left-copy-of-super.tab issue. They can also be
downloaded from the download page. All users are asked to upgrade and/or patch
their current versions immediately.
Comment 1 Anton Farygin 2005-09-06 12:44:36 MSD
Да, в branch-3.0 тоже, plz
Comment 2 Andrei Bulava 2005-09-06 12:55:37 MSD
Спасибо, но я уже в курсе, причём этого прозрения разработчиков ждал ещё со
времени сборки smb4k-0.5.0-alt1:

$ rpm -q --changelog smb4k|grep -A 10 0.5.0-alt1
* Срд Янв 26 2005 Andrei Bulava <abulava@altlinux.ru> 0.5.0-alt1

<cut />

- /etc/sudoers editing by smb4k was considered insecure and harmful, so
  super user actions, which depend on sudo, should be activated in
  /etc/sudo.d/smb4k via visudo so far (see README.ALT); thanks to Nick S.
  Grechukh (gns@) for a patch and suggestions

Таким образом, я снижаю Severity до normal, поскольку сборка smb4k в Sisyphus не
подвержена этой уязвимости. Только когда в upstream перейдут к редактированию
/etc/sudo.d/smb4k вместо /etc/sudoers, причём с блокировками, полностью
совместимыми с visudo, патч alt-sudoers.patch будет отключен.
Comment 3 Andrei Bulava 2005-09-07 18:25:49 MSD
В i/S и i/3.0-b отправлен

bd1659b2110f96772580561284d82e72  smb4k-0.6.3-alt1.src.rpm

Хотя лезть в /etc/sudoers я ему всё равно не разрешаю через патч
smb4k-0.6.1-alt-sudoers.patch ;-)

Единственное, чего мне по-настоящему не хватает для "прямого" решения задачи
настройки sudo из smb4k - это времени, а план действий уже есть:

1) редактировать /etc/sudo.d/smb4k
2) использовать блокировки, совместимые с visudo (что уже сложнее, т.к.
блокировка в идеале должна сниматься даже при аномальном выходе из smb4k)

В общем, "патчи приветствуются" (c)