forum.opennet.ru - "Уязвимость в пакетном менеджере GNU Guix" (24)

"Уязвимость в пакетном менеджере GNU Guix"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в пакетном менеджере GNU Guix"	+/–
Сообщение от opennews (??), 18-Окт-19, 09:43
В пакетном менеджере GNU Guix, выявлена... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=51701
Ответить \| Правка \| Cообщить модератору

Оглавление

Пофиксят Тем более Guix, тут наверно можно обойтись даже без system reconfigure, Аноним (2), 09:47 , 18-Окт-19, (2) –2

Так оперативно можно ручками выставить правильные права , Аноним (4), 10:06 , 18-Окт-19, (4) +2

Ну-ка, ну-ка, и какие же права будут правильными, чтобы и дыру прикрыть, и ничег, Аноним (17), 17:13 , 18-Окт-19, (17) +1

там 777 чтоль было , Аноним (5), 10:16 , 18-Окт-19, (5)

888, Аноним (6), 10:24 , 18-Окт-19, (6) –1

Это в какой системе счисления , Аноним (4), 16:38 , 18-Окт-19, (15)

1777 Until now, var guix profiles per-user was world-writable --https , Andrey Mitrofanov_N0 (??), 10:39 , 18-Окт-19, (7) +3

Интересно, сколько пользователей могло пострадать от этого Похоже, кроме разраб, danonimous (?), 11:03 , 18-Окт-19, (8) –3

Зачем, когда оригинальный дистрибутив, на котором он основан - уже с блобами , ilyafedin (ok), 11:10 , 18-Окт-19, (9) +1

NixOS инфецирован systemd и там велосипедный язык конфигурации Поэтому понятно,, danominous (?), 14:40 , 18-Окт-19, (14) –5

NixOS популярнее Guix Второй обрёк себя на смерть в продакшене, исключив любую , Аноним (16), 17:05 , 18-Окт-19, (16)

Для проприетарщины есть сторонние каналы, напримерhttps gitlab com nonguix non, Аноним (22), 16:58 , 19-Окт-19, (22) –1

systemd это ведь наоборот хорошо, X4asd (ok), 19:24 , 18-Окт-19, (20) –1

Только если вы леннарт , Аноним (26), 22:24 , 20-Окт-19, (26)

ПМ Guix в одном из вариантов конфигнурации использует ПМ Nix , Ю.Т. (?), 08:23 , 20-Окт-19, (24) –1

Никто в начале нулевых об этом Guix не слышал, тогда была мода на Слаку и Gentoo, ievoochielaPh5Ph (ok), 14:20 , 18-Окт-19, (12) +4

Так его в начале нулевых не было, я это и отметил с сожалением , danominous (?), 14:34 , 18-Окт-19, (13)

Примерно ноль Guix используют энтузиасты с достаточно прямыми руками Цирк с кон, user90 (?), 17:27 , 18-Окт-19, (18)

Прямизна чужих рук не извиняет своих 777 p s Ну додумались же до a rwx , Анонимно (?), 22:27 , 18-Окт-19, (21)

Малой, про sticky-биты почитай чего, что ли stat -c A a U G B tmp B , Andrey Mitrofanov_N0 (??), 10:31 , 20-Окт-19, (25)

Эта уязвимость касается фактически многопользовательских систем, то есть компьют, Аноним (23), 17:21 , 19-Окт-19, (23)

Астрологи объявили неделю бэкдоров, Аноним (10), 11:42 , 18-Окт-19, (10)
Автор вместо того, чтобы на Столмана гнать, лучше бы проектом занялся , Аноним (11), 13:37 , 18-Окт-19, (11) +5

Ну да - испортил карму, вот и первая уязвимость тут как тут , danominous (?), 17:34 , 18-Окт-19, (19)

Сообщения [Сортировка по времени | RSS]

2. "Уязвимость в пакетном менеджере GNU Guix" –2 +/–

Сообщение от Аноним (2), 18-Окт-19, 09:47

Пофиксят. Тем более Guix, тут наверно можно обойтись даже без system reconfigure.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Уязвимость в пакетном менеджере GNU Guix" +2 +/–

Сообщение от Аноним (4), 18-Окт-19, 10:06

Так оперативно можно ручками выставить правильные права.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

17. "Уязвимость в пакетном менеджере GNU Guix" +1 +/–

Сообщение от Аноним (17), 18-Окт-19, 17:13

Ну-ка, ну-ка, и какие же права будут правильными, чтобы и дыру прикрыть, и ничего не сломать?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Уязвимость в пакетном менеджере GNU Guix" +/–

Сообщение от Аноним (5), 18-Окт-19, 10:16

там 777 чтоль было?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Уязвимость в пакетном менеджере GNU Guix" –1 +/–

Сообщение от Аноним (6), 18-Окт-19, 10:24

888

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

15. "Уязвимость в пакетном менеджере GNU Guix" +/–

Сообщение от Аноним (4), 18-Окт-19, 16:38

Это в какой системе счисления? ;)

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "Уязвимость в пакетном менеджере GNU Guix" +3 +/–

Сообщение от Andrey Mitrofanov_N0 (??), 18-Окт-19, 10:39

> там 777 чтоль было?
1777.

" Until now, /var/guix/profiles/per-user was world-writable [...] "
--https://guix.gnu.org/blog/2019/insecure-permissions-on-profi.../
" This issue was initially reported by Michael Orlitzky for Nix (CVE-2019-17365). "
==
"
its parent directory. That parent directory is shared by all users on
the system, and as a result, is world-writable (so that everyone can
create his own subdirectory thereof). This is enforced by the
installation script scripts/install-multi-user.sh...
  _sudo "to make the basic directory structure of Nix (part 2)" \
    mkdir -pv -m 1777 /nix/var/nix/{gcroots,profiles}/per-user
" --https://www.openwall.com/lists/oss-security/2019/10/09/4

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Уязвимость в пакетном менеджере GNU Guix" –3 +/–

Сообщение от danonimous (?), 18-Окт-19, 11:03

Интересно, сколько пользователей могло пострадать от этого? Похоже, кроме разработчиков им больше никто не пользуется.
Дистрибутив очень интересный - в начале нулевых это был бы прорыв и на него все бы ломанулись. Отличные возможности по сборке программ, да ещё всё это напрямую от GNU. А сейчас его как будто не заметили. Возможно, надо делать форк с блобами, вшитыми в iso образе - как у Убунты, чтобы привлечь хоть какое-то внимание.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Уязвимость в пакетном менеджере GNU Guix" +1 +/–

Сообщение от ilyafedin (ok), 18-Окт-19, 11:10

Зачем, когда оригинальный дистрибутив, на котором он основан - уже с блобами?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

14. "Уязвимость в пакетном менеджере GNU Guix" –5 +/–

Сообщение от danominous (?), 18-Окт-19, 14:40

NixOS инфецирован systemd и там велосипедный язык конфигурации. Поэтому понятно, почему он не взлетел. В Гиксе же нормальная система инициализации и Guile.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

16. "Уязвимость в пакетном менеджере GNU Guix" +/–

Сообщение от Аноним (16), 18-Окт-19, 17:05

NixOS популярнее Guix. Второй обрёк себя на смерть в продакшене, исключив любую проприетарщину.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

22. "Уязвимость в пакетном менеджере GNU Guix" –1 +/–

Сообщение от Аноним (22), 19-Окт-19, 16:58

Для проприетарщины есть сторонние каналы, например
https://gitlab.com/nonguix/nonguix

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

20. "Уязвимость в пакетном менеджере GNU Guix" –1 +/–

Сообщение от X4asd (ok), 18-Окт-19, 19:24

systemd это ведь наоборот хорошо

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

26. "Уязвимость в пакетном менеджере GNU Guix" +/–

Сообщение от Аноним (26), 20-Окт-19, 22:24

Только если вы леннарт

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

24. "Уязвимость в пакетном менеджере GNU Guix" –1 +/–

Сообщение от Ю.Т. (?), 20-Окт-19, 08:23

ПМ Guix в одном из вариантов конфигнурации использует ПМ Nix.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

12. "Уязвимость в пакетном менеджере GNU Guix" +4 +/–

Сообщение от ievoochielaPh5Ph (ok), 18-Окт-19, 14:20

Никто в начале нулевых об этом Guix не слышал, тогда была мода на Слаку и Gentoo.
А от уязвимости даже разрабы не пострадают. Это как в свое время с Альтом было. Разговор с Райдером(Антоном Фарыгиным) на ЛинуксФесте про используемые дистры:
— Ну я на Gentoo, а ты, Райдер? На своем Альте?
— Я что на дурака похож? На Дэбиане сижу, для Альта все в чруте делаю
:-D

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

13. "Уязвимость в пакетном менеджере GNU Guix" +/–

Сообщение от danominous (?), 18-Окт-19, 14:34

Так его в начале нулевых не было, я это и отметил (с сожалением).

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

18. "Уязвимость в пакетном менеджере GNU Guix" +/–

Сообщение от user90 (?), 18-Окт-19, 17:27

> Интересно, сколько пользователей могло пострадать от этого?
Примерно ноль. Guix используют энтузиасты с достаточно прямыми руками.
> форк с блобами
Цирк с конями! =) Это все-таки GNU, а не "возьмем systemd и побыстрому слепим тысяча первый дистрибутив".

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

21. "Уязвимость в пакетном менеджере GNU Guix" +/–

Сообщение от Анонимно (?), 18-Окт-19, 22:27

> энтузиасты с достаточно прямыми руками.
Прямизна чужих рук не извиняет своих 777.
p.s Ну додумались же до a+rwx...  :/

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

25. "Уязвимость в пакетном менеджере GNU Guix" +/–

Сообщение от Andrey Mitrofanov_N0 (??), 20-Окт-19, 10:31

> Прямизна чужих рук не извиняет своих 777.
> p.s Ну додумались же до a+rwx...  :/
Малой, про sticky-биты почитай чего, что ли.
$ stat -c '%A %a %U %G' /tmp/
drwxrwxrwt 1777 root root
1777 не 777.
Можешь _внимательно_ почитать про "уязвимость" -- обратив внимание на то, что речь про создание директории, пока её _не_ существовало.
Смекаешь?

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "Уязвимость в пакетном менеджере GNU Guix" +/–

Сообщение от Аноним (23), 19-Окт-19, 17:21

> Интересно, сколько пользователей могло пострадать от этого?
Эта уязвимость касается фактически многопользовательских систем, то есть компьютеров с удаленным или локальным доступом для множества пользователей.  Поскольку Guix используется таким образом в некоторых научных и образовательных учреждениях, уязвимость значима.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Уязвимость в пакетном менеджере GNU Guix" +/–

Сообщение от Аноним (10), 18-Окт-19, 11:42

Астрологи объявили неделю бэкдоров

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Уязвимость в пакетном менеджере GNU Guix" +5 +/–

Сообщение от Аноним (11), 18-Окт-19, 13:37

Автор вместо того, чтобы на Столмана гнать, лучше бы проектом занялся.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Уязвимость в пакетном менеджере GNU Guix" +/–

Сообщение от danominous (?), 18-Окт-19, 17:34

Ну да - испортил карму, вот и первая уязвимость тут как тут!

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. "Уязвимость в пакетном менеджере GNU Guix"	–2 +/–
Сообщение от Аноним (2), 18-Окт-19, 09:47
Пофиксят. Тем более Guix, тут наверно можно обойтись даже без system reconfigure.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	4. "Уязвимость в пакетном менеджере GNU Guix"	+2 +/–
	Сообщение от Аноним (4), 18-Окт-19, 10:06
	Так оперативно можно ручками выставить правильные права.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	17. "Уязвимость в пакетном менеджере GNU Guix"	+1 +/–
	Сообщение от Аноним (17), 18-Окт-19, 17:13
	Ну-ка, ну-ка, и какие же права будут правильными, чтобы и дыру прикрыть, и ничего не сломать?
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору

5. "Уязвимость в пакетном менеджере GNU Guix"	+/–
Сообщение от Аноним (5), 18-Окт-19, 10:16
там 777 чтоль было?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	6. "Уязвимость в пакетном менеджере GNU Guix"	–1 +/–
	Сообщение от Аноним (6), 18-Окт-19, 10:24
	888
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	15. "Уязвимость в пакетном менеджере GNU Guix"	+/–
	Сообщение от Аноним (4), 18-Окт-19, 16:38
	Это в какой системе счисления? ;)
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	7. "Уязвимость в пакетном менеджере GNU Guix"	+3 +/–
	Сообщение от Andrey Mitrofanov_N0 (??), 18-Окт-19, 10:39
	> там 777 чтоль было? 1777. " Until now, /var/guix/profiles/per-user was world-writable [...] " --https://guix.gnu.org/blog/2019/insecure-permissions-on-profi.../ " This issue was initially reported by Michael Orlitzky for Nix (CVE-2019-17365). " == " its parent directory. That parent directory is shared by all users on the system, and as a result, is world-writable (so that everyone can create his own subdirectory thereof). This is enforced by the installation script scripts/install-multi-user.sh... _sudo "to make the basic directory structure of Nix (part 2)" \ mkdir -pv -m 1777 /nix/var/nix/{gcroots,profiles}/per-user " --https://www.openwall.com/lists/oss-security/2019/10/09/4
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору

8. "Уязвимость в пакетном менеджере GNU Guix"	–3 +/–
Сообщение от danonimous (?), 18-Окт-19, 11:03
Интересно, сколько пользователей могло пострадать от этого? Похоже, кроме разработчиков им больше никто не пользуется. Дистрибутив очень интересный - в начале нулевых это был бы прорыв и на него все бы ломанулись. Отличные возможности по сборке программ, да ещё всё это напрямую от GNU. А сейчас его как будто не заметили. Возможно, надо делать форк с блобами, вшитыми в iso образе - как у Убунты, чтобы привлечь хоть какое-то внимание.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	9. "Уязвимость в пакетном менеджере GNU Guix"	+1 +/–
	Сообщение от ilyafedin (ok), 18-Окт-19, 11:10
	Зачем, когда оригинальный дистрибутив, на котором он основан - уже с блобами?
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	14. "Уязвимость в пакетном менеджере GNU Guix"	–5 +/–
	Сообщение от danominous (?), 18-Окт-19, 14:40
	NixOS инфецирован systemd и там велосипедный язык конфигурации. Поэтому понятно, почему он не взлетел. В Гиксе же нормальная система инициализации и Guile.
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	16. "Уязвимость в пакетном менеджере GNU Guix"	+/–
	Сообщение от Аноним (16), 18-Окт-19, 17:05
	NixOS популярнее Guix. Второй обрёк себя на смерть в продакшене, исключив любую проприетарщину.
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	22. "Уязвимость в пакетном менеджере GNU Guix"	–1 +/–
	Сообщение от Аноним (22), 19-Окт-19, 16:58
	Для проприетарщины есть сторонние каналы, например https://gitlab.com/nonguix/nonguix
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору


	20. "Уязвимость в пакетном менеджере GNU Guix"	–1 +/–
	Сообщение от X4asd (ok), 18-Окт-19, 19:24
	systemd это ведь наоборот хорошо
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	26. "Уязвимость в пакетном менеджере GNU Guix"	+/–
	Сообщение от Аноним (26), 20-Окт-19, 22:24
	Только если вы леннарт
	Ответить \| Правка \| ^ к родителю #20 \| Наверх \| Cообщить модератору


	24. "Уязвимость в пакетном менеджере GNU Guix"	–1 +/–
	Сообщение от Ю.Т. (?), 20-Окт-19, 08:23
	ПМ Guix в одном из вариантов конфигнурации использует ПМ Nix.
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	12. "Уязвимость в пакетном менеджере GNU Guix"	+4 +/–
	Сообщение от ievoochielaPh5Ph (ok), 18-Окт-19, 14:20
	Никто в начале нулевых об этом Guix не слышал, тогда была мода на Слаку и Gentoo. А от уязвимости даже разрабы не пострадают. Это как в свое время с Альтом было. Разговор с Райдером(Антоном Фарыгиным) на ЛинуксФесте про используемые дистры: — Ну я на Gentoo, а ты, Райдер? На своем Альте? — Я что на дурака похож? На Дэбиане сижу, для Альта все в чруте делаю :-D
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	13. "Уязвимость в пакетном менеджере GNU Guix"	+/–
	Сообщение от danominous (?), 18-Окт-19, 14:34
	Так его в начале нулевых не было, я это и отметил (с сожалением).
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	18. "Уязвимость в пакетном менеджере GNU Guix"	+/–
	Сообщение от user90 (?), 18-Окт-19, 17:27
	> Интересно, сколько пользователей могло пострадать от этого? Примерно ноль. Guix используют энтузиасты с достаточно прямыми руками. > форк с блобами Цирк с конями! =) Это все-таки GNU, а не "возьмем systemd и побыстрому слепим тысяча первый дистрибутив".
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	21. "Уязвимость в пакетном менеджере GNU Guix"	+/–
	Сообщение от Анонимно (?), 18-Окт-19, 22:27
	> энтузиасты с достаточно прямыми руками. Прямизна чужих рук не извиняет своих 777. p.s Ну додумались же до a+rwx... :/
	Ответить \| Правка \| ^ к родителю #18 \| Наверх \| Cообщить модератору


	25. "Уязвимость в пакетном менеджере GNU Guix"	+/–
	Сообщение от Andrey Mitrofanov_N0 (??), 20-Окт-19, 10:31
	> Прямизна чужих рук не извиняет своих 777. > p.s Ну додумались же до a+rwx... :/ Малой, про sticky-биты почитай чего, что ли. $ stat -c '%A %a %U %G' /tmp/ drwxrwxrwt 1777 root root 1777 не 777. Можешь _внимательно_ почитать про "уязвимость" -- обратив внимание на то, что речь про создание директории, пока её _не_ существовало. Смекаешь?
	Ответить \| Правка \| ^ к родителю #21 \| Наверх \| Cообщить модератору


	23. "Уязвимость в пакетном менеджере GNU Guix"	+/–
	Сообщение от Аноним (23), 19-Окт-19, 17:21
	> Интересно, сколько пользователей могло пострадать от этого? Эта уязвимость касается фактически многопользовательских систем, то есть компьютеров с удаленным или локальным доступом для множества пользователей. Поскольку Guix используется таким образом в некоторых научных и образовательных учреждениях, уязвимость значима.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору

10. "Уязвимость в пакетном менеджере GNU Guix"	+/–
Сообщение от Аноним (10), 18-Окт-19, 11:42
Астрологи объявили неделю бэкдоров
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

11. "Уязвимость в пакетном менеджере GNU Guix"	+5 +/–
Сообщение от Аноним (11), 18-Окт-19, 13:37
Автор вместо того, чтобы на Столмана гнать, лучше бы проектом занялся.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	19. "Уязвимость в пакетном менеджере GNU Guix"	+/–
	Сообщение от danominous (?), 18-Окт-19, 17:34
	Ну да - испортил карму, вот и первая уязвимость тут как тут!
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору