Возможно выполнение произвольной команды из под суперпользователя в конфигурации Прокси-сервера Middleman по-умолчанию. Middleman работает с правами суперпользователя и не в chroot. Middleman после установки автоматически регистрируется в качестве службы, запускающейся при старте системы. Любой локальный пользователь с localhost может вызвать интерфейс веб-конфигурации, и там прописать в качестве external parser любую программу. После этого external parser будет вызван с правами суперпользователя при обработке запроса к прокси. Steps to Reproduce: 1. поставить Middleman, запустить его 2. прописать в качесве прокси localhost:8080 в браузере и зайти на http://mman 3. в External section веб-конфигурации прописать любую команду Actual Results: команда будет выполнена с правами суперпользователя. Expected Results: Middleman должен работать с правами пользователя mman в chroot. Веб интерфейс должны иметь право запускать только авторизованные пользователи даже в конфигурации по-умолчанию.
Судьба данного пакета меня не интересует.
Более того: в ALM2.4 данный пакет находится в компоненте contribs (в т.ч. из-за своей небезопасности), а security fixes к contribs не выпускаются.
Тогда было бы замечательно положить его вообще в unsupported. На мой взгляд если пакет с критической уязвимостью лежит пусть и в contribs то это не дело. При установке Мастера, в sources.list прописано: rpm [alt] ftp://ftp.altlinux.com/pub/distributions/ALTLinux/Master/2.4 ALTLinux main contrib Обычный пользователь не будет разбираться, что есть такие траблы с contribs. Он просто запустит Synaptic и поставит Middleman, так ничего и не заметив. По моему наличие таких ситуаций -- это явная проблема безопасности дистрибутива. Нужно, чтобы в sources.list не был по-умолчанию прописан contribs.
Пакета больше нет в Сизифе. WONTFIX. Кому надо - пишите патчи и воскрешайте.
