Bug 8588 - Выполнение произвольной команды из под root в Middleman
: Выполнение произвольной команды из под root в Middleman
Status: CLOSED WONTFIX
: Sisyphus
(All bugs in Sisyphus/middleman)
: unstable
: all Linux
: P1 critical
Assigned To:
:
:
:
:
:
  Show dependency tree
 
Reported: 2005-12-04 15:13 by
Modified: 2005-12-16 07:00 (History)


Attachments


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2005-12-04 15:13:58
Возможно выполнение произвольной команды из под суперпользователя в
конфигурации
Прокси-сервера Middleman по-умолчанию.

Middleman работает с правами суперпользователя и не в chroot.
Middleman после установки автоматически регистрируется в качестве службы,
запускающейся при старте системы.
Любой локальный пользователь с localhost может вызвать интерфейс
веб-конфигурации, и там прописать в качестве external parser любую программу.
После этого external parser будет вызван с правами суперпользователя при
обработке запроса к прокси.
Steps to Reproduce:
1. поставить Middleman, запустить его
2. прописать в качесве прокси localhost:8080 в браузере и зайти на http://mman
3. в External section веб-конфигурации прописать любую команду
Actual Results:  
команда будет выполнена с правами суперпользователя.

Expected Results:  
Middleman должен работать с правами пользователя mman в chroot. Веб интерфейс
должны иметь право запускать только авторизованные пользователи даже в
конфигурации по-умолчанию.
------- Comment #1 From 2005-12-04 15:38:45 -------
Судьба данного пакета меня не интересует.
------- Comment #2 From 2005-12-04 15:41:57 -------
Более того: в ALM2.4 данный пакет находится в компоненте contribs (в т.ч. из-за 
своей небезопасности), а security fixes к contribs не выпускаются.
------- Comment #3 From 2005-12-10 16:04:10 -------
Тогда было бы замечательно положить его вообще в unsupported.
На мой взгляд если пакет с критической уязвимостью лежит пусть и в contribs то
это не дело.
При установке Мастера, в sources.list прописано:
rpm [alt] ftp://ftp.altlinux.com/pub/distributions/ALTLinux/Master/2.4 ALTLinux
main contrib

Обычный пользователь не будет разбираться, что есть такие траблы с contribs. Он
просто запустит Synaptic и поставит Middleman, так ничего и не заметив.

По моему наличие таких ситуаций -- это явная проблема безопасности
дистрибутива.
Нужно, чтобы в sources.list не был по-умолчанию прописан contribs.
------- Comment #4 From 2005-12-16 06:55:45 -------
Пакета больше нет в Сизифе. WONTFIX.

Кому надо - пишите патчи и воскрешайте.