Bug 8588

Summary: Выполнение произвольной команды из под root в Middleman
Product: Sisyphus Reporter: Eugene Seppel <seppel>
Component: middlemanAssignee: Andrey Rahmatullin <wrar>
Status: CLOSED WONTFIX QA Contact: qa-sisyphus
Severity: critical    
Priority: P1    
Version: unstable   
Hardware: all   
OS: Linux   

Description Eugene Seppel 2005-12-04 15:13:58 MSK 
Возможно выполнение произвольной команды из под суперпользователя в конфигурации
Прокси-сервера Middleman по-умолчанию.

Middleman работает с правами суперпользователя и не в chroot.
Middleman после установки автоматически регистрируется в качестве службы,
запускающейся при старте системы.
Любой локальный пользователь с localhost может вызвать интерфейс
веб-конфигурации, и там прописать в качестве external parser любую программу.
После этого external parser будет вызван с правами суперпользователя при
обработке запроса к прокси.
Steps to Reproduce:
1. поставить Middleman, запустить его
2. прописать в качесве прокси localhost:8080 в браузере и зайти на http://mman
3. в External section веб-конфигурации прописать любую команду
Actual Results:  
команда будет выполнена с правами суперпользователя.

Expected Results:  
Middleman должен работать с правами пользователя mman в chroot. Веб интерфейс
должны иметь право запускать только авторизованные пользователи даже в
конфигурации по-умолчанию.
Comment 1 Andrey Rahmatullin 2005-12-04 15:38:45 MSK 
Судьба данного пакета меня не интересует.
Comment 2 Andrey Rahmatullin 2005-12-04 15:41:57 MSK 
Более того: в ALM2.4 данный пакет находится в компоненте contribs (в т.ч. из-за 
своей небезопасности), а security fixes к contribs не выпускаются.
Comment 3 Eugene Seppel 2005-12-10 16:04:10 MSK 
Тогда было бы замечательно положить его вообще в unsupported.
На мой взгляд если пакет с критической уязвимостью лежит пусть и в contribs то
это не дело.
При установке Мастера, в sources.list прописано:
rpm [alt] ftp://ftp.altlinux.com/pub/distributions/ALTLinux/Master/2.4 ALTLinux
main contrib

Обычный пользователь не будет разбираться, что есть такие траблы с contribs. Он
просто запустит Synaptic и поставит Middleman, так ничего и не заметив.

По моему наличие таких ситуаций -- это явная проблема безопасности дистрибутива.
Нужно, чтобы в sources.list не был по-умолчанию прописан contribs.
Comment 4 Andrey Rahmatullin 2005-12-16 06:55:45 MSK 
Пакета больше нет в Сизифе. WONTFIX.

Кому надо - пишите патчи и воскрешайте.