Bug 7880 - требуется обновление до новой версии (SECURITY)
: требуется обновление до новой версии (SECURITY)
Status: CLOSED FIXED
: Sisyphus
(All bugs in Sisyphus/smb4k)
: unstable
: all Linux
: P5 normal
Assigned To:
:
:
:
:
:
  Show dependency tree
 
Reported: 2005-09-06 12:33 by
Modified: 2005-09-29 10:48 (History)


Attachments


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2005-09-06 12:33:58
31.08.2005:   Severe security issue discovered; Smb4K 0.6.3 and security fixes
released.

A severe security issue has been discovered in Smb4K. By linking a simple text
file FILE to /tmp/smb4k.tmp or /tmp/sudoers, an attacker could get access to the
full contents of the /etc/super.tab or /etc/sudoers file, respectively, because
Smb4K didn't check for the existance of these files before writing any contents.
When using super, the attack also resulted in /etc/super.tab being a symlink to
FILE.

Affected are all versions of the 0.4, 0.5, and 0.6 series of Smb4K. The problem
has been fixed in Smb4K 0.6.3 which is immediately available from our download
page. For the 0.4 and 0.5 series, patches for Smb4K 0.4.1a and 0.5.2 have been
released which also fix the left-copy-of-super.tab issue. They can also be
downloaded from the download page. All users are asked to upgrade and/or patch
their current versions immediately.
------- Comment #1 From 2005-09-06 12:44:36 -------
Да, в branch-3.0 тоже, plz
------- Comment #2 From 2005-09-06 12:55:37 -------
Спасибо, но я уже в курсе, причём этого прозрения разработчиков ждал ещё со
времени сборки smb4k-0.5.0-alt1:

$ rpm -q --changelog smb4k|grep -A 10 0.5.0-alt1
* Срд Янв 26 2005 Andrei Bulava <abulava@altlinux.ru> 0.5.0-alt1

<cut />

- /etc/sudoers editing by smb4k was considered insecure and harmful, so
  super user actions, which depend on sudo, should be activated in
  /etc/sudo.d/smb4k via visudo so far (see README.ALT); thanks to Nick S.
  Grechukh (gns@) for a patch and suggestions

Таким образом, я снижаю Severity до normal, поскольку сборка smb4k в Sisyphus
не
подвержена этой уязвимости. Только когда в upstream перейдут к редактированию
/etc/sudo.d/smb4k вместо /etc/sudoers, причём с блокировками, полностью
совместимыми с visudo, патч alt-sudoers.patch будет отключен.
------- Comment #3 From 2005-09-07 18:25:49 -------
В i/S и i/3.0-b отправлен

bd1659b2110f96772580561284d82e72  smb4k-0.6.3-alt1.src.rpm

Хотя лезть в /etc/sudoers я ему всё равно не разрешаю через патч
smb4k-0.6.1-alt-sudoers.patch ;-)

Единственное, чего мне по-настоящему не хватает для "прямого" решения задачи
настройки sudo из smb4k - это времени, а план действий уже есть:

1) редактировать /etc/sudo.d/smb4k
2) использовать блокировки, совместимые с visudo (что уже сложнее, т.к.
блокировка в идеале должна сниматься даже при аномальном выходе из smb4k)

В общем, "патчи приветствуются" (c)