#7880 – требуется обновление до новой версии (SECURITY)

Bug 7880 - требуется обновление до новой версии (SECURITY)

Summary: требуется обновление до новой версии (SECURITY)

Status:	CLOSED FIXED

Alias:	None

Product:	Sisyphus
Classification:	Development
Component:	smb4k (show other bugs)
Version:	unstable
Hardware:	all Linux

Importance:	P5 normal
Assignee:	Andrei Bulava
QA Contact:	qa-sisyphus

URL:
Keywords:

Depends on:
Blocks:

Reported:	2005-09-06 12:33 MSD by Anton Farygin
Modified:	2005-09-29 10:48 MSD (History)
CC List:	3 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Anton Farygin 2005-09-06 12:33:58 MSD

31.08.2005:   Severe security issue discovered; Smb4K 0.6.3 and security fixes
released.

A severe security issue has been discovered in Smb4K. By linking a simple text
file FILE to /tmp/smb4k.tmp or /tmp/sudoers, an attacker could get access to the
full contents of the /etc/super.tab or /etc/sudoers file, respectively, because
Smb4K didn't check for the existance of these files before writing any contents.
When using super, the attack also resulted in /etc/super.tab being a symlink to
FILE.

Affected are all versions of the 0.4, 0.5, and 0.6 series of Smb4K. The problem
has been fixed in Smb4K 0.6.3 which is immediately available from our download
page. For the 0.4 and 0.5 series, patches for Smb4K 0.4.1a and 0.5.2 have been
released which also fix the left-copy-of-super.tab issue. They can also be
downloaded from the download page. All users are asked to upgrade and/or patch
their current versions immediately.

Comment 1 Anton Farygin 2005-09-06 12:44:36 MSD

Да, в branch-3.0 тоже, plz

Comment 2 Andrei Bulava 2005-09-06 12:55:37 MSD

Спасибо, но я уже в курсе, причём этого прозрения разработчиков ждал ещё со
времени сборки smb4k-0.5.0-alt1:

$ rpm -q --changelog smb4k|grep -A 10 0.5.0-alt1
* Срд Янв 26 2005 Andrei Bulava <abulava@altlinux.ru> 0.5.0-alt1

<cut />

- /etc/sudoers editing by smb4k was considered insecure and harmful, so
  super user actions, which depend on sudo, should be activated in
  /etc/sudo.d/smb4k via visudo so far (see README.ALT); thanks to Nick S.
  Grechukh (gns@) for a patch and suggestions

Таким образом, я снижаю Severity до normal, поскольку сборка smb4k в Sisyphus не
подвержена этой уязвимости. Только когда в upstream перейдут к редактированию
/etc/sudo.d/smb4k вместо /etc/sudoers, причём с блокировками, полностью
совместимыми с visudo, патч alt-sudoers.patch будет отключен.

Comment 3 Andrei Bulava 2005-09-07 18:25:49 MSD

В i/S и i/3.0-b отправлен

bd1659b2110f96772580561284d82e72  smb4k-0.6.3-alt1.src.rpm

Хотя лезть в /etc/sudoers я ему всё равно не разрешаю через патч
smb4k-0.6.1-alt-sudoers.patch ;-)

Единственное, чего мне по-настоящему не хватает для "прямого" решения задачи
настройки sudo из smb4k - это времени, а план действий уже есть:

1) редактировать /etc/sudo.d/smb4k
2) использовать блокировки, совместимые с visudo (что уже сложнее, т.к.
блокировка в идеале должна сниматься даже при аномальном выходе из smb4k)

В общем, "патчи приветствуются" (c)