The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимость в sudo, позволяющая изменить любой файл в системе"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от opennews (ok), 19-Янв-23, 10:22 
В пакете sudo, применяемом для организации выполнения команд от имени других пользователей, выявлена уязвимость (CVE-2023-22809), позволяющая локальному пользователю отредактировать любой файл в системе, что, в свою очередь, позволяет добиться получения прав root через изменение /etc/shadow или системных скриптов. Для эксплуатации уязвимости требуется, чтобы в файле sudoers  пользователю было предоставлено право запускать утилиту sudoedit или "sudo" с флагом "-e"...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=58507

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +22 +/
Сообщение от warlock66613email (ok), 19-Янв-23, 10:22 
Но если пользователь имеет право запускать `sudoedit`, он может отредактирвать `sudoers` и назначить себе любые права. В чём уязвимость?
Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +8 +/
Сообщение от Аноним (4), 19-Янв-23, 10:32 
Если пользователь имеет право запускать sudoedit, то он может отредактировать только файлы, явно указанные  в правилах из sudoers.


Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от warlock66613email (ok), 19-Янв-23, 11:12 
Если в этих файлах нет самого `sudoers`, зачем вообще пользователю право запускать `sudoedit`?
Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +3 +/
Сообщение от Аноним (33), 19-Янв-23, 11:14 
чтобы править nginx.conf
Ответить | Правка | Наверх | Cообщить модератору

97. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +1 +/
Сообщение от Аноним (97), 19-Янв-23, 13:25 
почему у тебя на сервере тусуется невнятная толпа юзеров?
Ответить | Правка | Наверх | Cообщить модератору

168. Скрыто модератором  –1 +/
Сообщение от Аноним (-), 19-Янв-23, 20:33 
Ответить | Правка | Наверх | Cообщить модератору

180. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  –1 +/
Сообщение от Аноним (180), 19-Янв-23, 21:26 
> почему у тебя на сервере тусуется невнятная толпа юзеров?

*nix'ы так то многопользовательские системы.

Ответить | Правка | К родителю #97 | Наверх | Cообщить модератору

184. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +2 +/
Сообщение от darkshvein (ok), 19-Янв-23, 22:00 
>*nix'ы так то многопользовательские системы.

после настройки multihead это утверждение смешит. ни один DM даже не догадывается про multihead без правки конфига. и видеокарты, и клавомыши тоже настраиваются черезж****, без правки конфигов в гуе ничего про многопользовательность НЕТ.


многопользовательские, говорили они...

Ответить | Правка | Наверх | Cообщить модератору

185. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +1 +/
Сообщение от Аноним (-), 19-Янв-23, 22:03 
> после настройки multihead это утверждение смешит.

Что тебя смешит, чудак? У меня нет никакого multihead, но софт под разными юзерами работает даже на одноплатнике с полкредитки размером.

> многопользовательские, говорили они...

Прикинь? А конкретика твоих отношений с какой-то байдой только тебе и интересна.

Ответить | Правка | Наверх | Cообщить модератору

195. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  –2 +/
Сообщение от Аноним (97), 19-Янв-23, 23:05 
> софт под разными юзерами

Ты немного недопонимаешь суть термина "многопользовательский".

Ответить | Правка | Наверх | Cообщить модератору

231. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Ананий (?), 25-Янв-23, 13:13 
с такой логикой и твой шиндовс онднопользовательский.

а несколько xrdp сессий с разными уже считается или это другое?

Ответить | Правка | Наверх | Cообщить модератору

113. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +5 +/
Сообщение от Аноним (97), 19-Янв-23, 14:10 
а если ты на своём серваке разрешил каким-то дятлам править nginx.conf, то сделай им отдельную группу - и никаких sudoedit не понадобится.
Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

87. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +3 +/
Сообщение от mos87 (ok), 19-Янв-23, 13:09 
путаешь с visudo
Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

88. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +3 +/
Сообщение от warlock66613email (ok), 19-Янв-23, 13:10 
> путаешь с visudo

Понял, спасибо.

Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +5 +/
Сообщение от ACCA (ok), 19-Янв-23, 10:41 
В том, что Васе разрешили редактировать файл Маши, а он поставил -- и отредактировал файл root.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

28. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (28), 19-Янв-23, 11:09 
написано же
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

5. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +6 +/
Сообщение от Аноним (5), 19-Янв-23, 10:33 
Нет sudo — нет проблемы. Но нет, DE будут тянуть sudo за собой, как паразиты…
Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +10 +/
Сообщение от Аноним (6), 19-Янв-23, 10:34 
странный ты
Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +2 +/
Сообщение от iiiypuk (?), 19-Янв-23, 11:40 
sudo это болезнь, на моих системах её нет
Ответить | Правка | Наверх | Cообщить модератору

76. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  –1 +/
Сообщение от Аноним (97), 19-Янв-23, 12:54 
я ещё в позапрошлом году выпилил этот sudoedit нафиг вместе с ключом -e
Ответить | Правка | Наверх | Cообщить модератору

92. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Товарищ Майор (?), 19-Янв-23, 13:17 
В твоих системах другая болезнь. Просто ты о ней пока не знаешь...
Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

181. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (180), 19-Янв-23, 21:37 
> В твоих системах другая болезнь. Просто ты о ней пока не знаешь...

Товарищмайоры не одобряют удаление бэкдоров с ваших систем!

Ответить | Правка | Наверх | Cообщить модератору

221. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  –1 +/
Сообщение от Neon (??), 21-Янв-23, 04:42 
Не гадь стране и Товарищмайорам на тебя будет абсолютно плевать.
Ответить | Правка | Наверх | Cообщить модератору

134. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (134), 19-Янв-23, 15:10 
На всех твоих локалхостах?
Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

7. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  –4 +/
Сообщение от pfg21 (ok), 19-Янв-23, 10:38 
"нет системы - нет проблеммы"  эт ты прально подметил.  
# rm -rf / и океюшки.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

9. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +7 +/
Сообщение от Аноним (9), 19-Янв-23, 10:39 
В таком случае, самый защищенный пк - это куб бетона

Тянут sudo не DE, тянут sudo все нормальные дистрибутивы расчитанные не на извращенцев, причем тянут сразу, в стандартном наборе

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

74. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Nononim (?), 19-Янв-23, 12:51 
Конечно, ведь переключиться в соседний tty и залогиниться из-под привилегированного пользователя - это настоящее извращение! Немыслимая сложность, колоссальные неудобства!
Ответить | Правка | Наверх | Cообщить модератору

83. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +2 +/
Сообщение от mikhailnov (ok), 19-Янв-23, 13:06 
А еще можно память тренировать, перебивая что-нибудь в соседнюю tty вместо использования буфера обмена. а что, вдруг скопипастится что-то не то, что на экране.
Ответить | Правка | Наверх | Cообщить модератору

126. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от freehckemail (ok), 19-Янв-23, 14:22 
> А еще можно память тренировать, перебивая что-нибудь в соседнюю tty вместо использования
> буфера обмена. а что, вдруг скопипастится что-то не то, что на экране.

На самом деле была мышь с буфером в tty. Называлась вроде gpm. Работало даже почти нормально. Иногда забывало скопировать первый байт двухбайтовой кодировки в начале строки, но это мелочи по сравнению с животрепещущим вопросом "кому нафиг сдалось полноценное рабочее окружение в tty в 2023м году". )

Ответить | Правка | Наверх | Cообщить модератору

143. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  –1 +/
Сообщение от warlock66613email (ok), 19-Янв-23, 16:25 
А что, номер года как-то на это влияет? tty хуже, чем был, никак не стал, и даже совсем наоборот. Вопрос скорее должен стоять "почему и к 2023 году некоторые люди всё ещё не поняли, что Иксы и вообще GUI — это специфическое окружение для специфических задач?"
Ответить | Правка | Наверх | Cообщить модератору

148. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (148), 19-Янв-23, 16:52 
Бекскрола больше нет. Ты уверен, что ты не пусси.ехе?
Ответить | Правка | Наверх | Cообщить модератору

162. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Самый Лучший Гусь (?), 19-Янв-23, 19:26 
Тмух cуществует и позволяет сидеть в tty всегда тем кому это нужно.
Ответить | Правка | Наверх | Cообщить модератору

112. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  –2 +/
Сообщение от freehckemail (ok), 19-Янв-23, 13:53 
вообще-то люди уже несколько десятков лет не сидят в tty
Ответить | Правка | К родителю #74 | Наверх | Cообщить модератору

122. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +2 +/
Сообщение от Аноним (122), 19-Янв-23, 14:18 
Я сижу
Ответить | Правка | Наверх | Cообщить модератору

123. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от freehckemail (ok), 19-Янв-23, 14:19 
> Я сижу

Зачем?

Ответить | Правка | Наверх | Cообщить модератору

137. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +3 +/
Сообщение от 1 (??), 19-Янв-23, 15:19 
Посадили
Ответить | Правка | Наверх | Cообщить модератору

144. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от warlock66613email (ok), 19-Янв-23, 16:26 
Я сижу.
Ответить | Правка | К родителю #112 | Наверх | Cообщить модератору

183. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (-), 19-Янв-23, 21:45 
> вообще-то люди уже несколько десятков лет не сидят в tty

Да ладно, чем тебе ttyS0 не нравится?

Ответить | Правка | К родителю #112 | Наверх | Cообщить модератору

128. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Admino (ok), 19-Янв-23, 14:26 
> переключиться в соседний tty и залогиниться из-под привилегированного пользователя - это настоящее извращение! Немыслимая сложность, колоссальные неудобства!

Да.

Ответить | Правка | К родителю #74 | Наверх | Cообщить модератору

151. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +1 +/
Сообщение от Аноньимъ (ok), 19-Янв-23, 17:06 
Да ну нет, нормальностью и не пахнет с этим вашим судо.
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

10. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (10), 19-Янв-23, 10:39 
Нет линукса, нет проблем. Все просто, а главное понятно.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

67. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +5 +/
Сообщение от Аноним (67), 19-Янв-23, 12:23 
Нет проблем - нет проблем.
Еще проще и понятней.
Ответить | Правка | Наверх | Cообщить модератору

109. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (109), 19-Янв-23, 13:39 
Нет
понятней

Ответить | Правка | Наверх | Cообщить модератору

125. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +1 +/
Сообщение от V2Kemail (?), 19-Янв-23, 14:21 
"Да — да, нет — нет; что сверх того, то от лукавого"  от Матфея (гл. 5, ст. 37)
Ответить | Правка | Наверх | Cообщить модератору

233. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Гипероним (?), 27-Янв-23, 18:05 
"вот вам шкалик первача" — от Деда
Ответить | Правка | Наверх | Cообщить модератору

91. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  –1 +/
Сообщение от rshadow (ok), 19-Янв-23, 13:15 
Все так. Ведь невежество это блаженство.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

110. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  –2 +/
Сообщение от Аноним (109), 19-Янв-23, 13:40 
блаженство это это мрак, страдания.
Ответить | Правка | Наверх | Cообщить модератору

190. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (-), 19-Янв-23, 22:20 
> блаженство это это мрак, страдания.

А свобода это рабство...

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  –1 +/
Сообщение от Emptied Soul (ok), 19-Янв-23, 10:43 
Какие DE тянут за собой sudo? man policykit
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

78. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +2 +/
Сообщение от Аноним (97), 19-Янв-23, 12:55 
о, да, помнится недавняя история с дырищей в policykit
Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  –12 +/
Сообщение от warlock66613email (ok), 19-Янв-23, 10:55 
Да, sudo — тот ещё костыль. Две гадости есть в линуксах, от которых бывает сложно избавиться: bash и sudo. И вот чем мне очень нравится Arch/Artix — по крайней мере sudo в нём я умудрился не установить.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

22. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +1 +/
Сообщение от 1 (??), 19-Янв-23, 11:00 
А как ты избавился от shell ? (Даже винды не смогли от этого избавиться).
Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  –1 +/
Сообщение от warlock66613email (ok), 19-Янв-23, 11:08 
От bash я никак не избавился. Потому что есть реально нужные вещи, которые не могут без него работать. Так и сидит в системе, давит на чувство прекрасного.
Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +2 +/
Сообщение от Аноним (34), 19-Янв-23, 11:15 
Ну а всё-таки, как ты представляешь себе жизнь в Linux без CLI?
Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +3 +/
Сообщение от Аноним (42), 19-Янв-23, 11:23 
Он сказал без bash, а не без cli.
Есть очень интересные языки. Elvish для интерактивной оболочки.
Hush для скриптования.

Вот hush мне ОЧЕНЬ понравился.

Ответить | Правка | Наверх | Cообщить модератору

224. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (224), 21-Янв-23, 08:26 
> Elvish

Выглядит как NIH PowerShell.

Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +1 +/
Сообщение от warlock66613email (ok), 19-Янв-23, 11:37 
> Ну а всё-таки, как ты представляешь себе жизнь в Linux без CLI?

Я ни единого слова не говорил про CLI.

Вы что, пользуетесь bash как интерактивной оболочкой? Не знал что такие люди ещё есть… Выкиньте эту гадость, поставьте zsh или fish.

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

72. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  –2 +/
Сообщение от Аноним (34), 19-Янв-23, 12:42 
Да. Зачем?
Ответить | Правка | Наверх | Cообщить модератору

81. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от warlock66613email (ok), 19-Янв-23, 13:04 
> Да. Зачем?

Это вы как-нибудь сами для себя решите, зачем вам это надо. Я знаю что профит будет, но знаю это из общих соображений, и не могу предсказать конкретно в чём именно он будет заключаться.

Ответить | Правка | Наверх | Cообщить модератору

158. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (158), 19-Янв-23, 17:57 
Пользовался zsh лет 10, коммитил в oh-my-zsh, писал автокомплиты, и занимался другими непотребствами. Zsh хорошая оболочка для админов локалхоста. На серверах баш, а больше особо негде в интеактивном шелле ковыряться.
Ответить | Правка | Наверх | Cообщить модератору

192. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Michael Shigorinemail (ok), 19-Янв-23, 22:42 
Ну не знаю, у меня и на серверах zsh, если я там сижу.  Он здорово подстраховывает от некоторых классов ляпов, когда лучше бы вообще за рутшелл не садиться (недосып, например, и что-нить вроде rm * ~).
Ответить | Правка | Наверх | Cообщить модератору

107. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +1 +/
Сообщение от Аноним (122), 19-Янв-23, 13:36 
Korn shell
Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

140. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от сосед (?), 19-Янв-23, 16:15 
Правишь файл настроек пользователя, удаляешь в нем все что связано с shell,bash,sh,zsh.ksh.....и тп.
Переименовываешь нужный тебе любимый sh в какой-нить only-shell, прячешь его из каталогов в переменных окружения....
в общем можно при фантазии наворотить что угодно.(главное не забыть).

  
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

36. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (36), 19-Янв-23, 11:17 
Sudo - не костыль. Sudo - набор палок для изготовления костылей. И - да, иногда нужен более "fine-grained" контроль того, кому что можно, чем простой su.
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

47. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +2 +/
Сообщение от warlock66613email (ok), 19-Янв-23, 11:32 
Да, иногда нужен. Проблема в том, что его начинают использовать как универсальное решение везде, не только где это необходимо, но и где нет, и зачастую забивают на корректное решение. Например, он совершенно, абсолютно не нужен на личном ноутбуке, которым пользуется один человек.
Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (148), 19-Янв-23, 11:43 
При таких вводных этот человек вполне может иметь только одного рута пользователем и от него работать, и судо может оказаться удобным решением при необходимости программы под отдельным сетом правил файрвола.
Ответить | Правка | Наверх | Cообщить модератору

60. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  –1 +/
Сообщение от warlock66613email (ok), 19-Янв-23, 11:59 
> При таких вводных этот человек вполне может иметь только одного рута пользователем
> и от него работать

Человек много чего может. Речь вообще не о том, что человек может или не может. Речь о том, нужен ли sudo такому человеку? Правильный ответ: нет, он ему не нужен; ему нужно сделать useradd, добавить пользователя в группу wheel, и обеспечить возможность выполнения юзер-левел задач без перехода в привелегированный режим. Вот это ему нужно. А sudo не нужен.

Ответить | Правка | Наверх | Cообщить модератору

73. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (148), 19-Янв-23, 12:49 
Любые операции с железом и системой требуют дополнительных прав, которых у порезанного юзера нет. "Зайти админом" -- это не решение тоже, как и "работать под админом". Полкит и его политики доступа конечно являются более полноценным инструментом, но недоступным для удовлетворения пожеланий пользователя, которому надо просто выполнить программу или скрипт с эскалацией привилегий без пароля. Ну, или тем более изолировать что-нибудь с понижением уровня доступа.
Ответить | Правка | Наверх | Cообщить модератору

84. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от warlock66613email (ok), 19-Янв-23, 13:07 
> Полкит и его политики доступа конечно являются более полноценным инструментом

Ой, этой гадости вообще не должно было существовать. По крайней мере на каждом подряд компьютере. Есть традиционные средства — группы, su и suid для особых случаев, этого более чем достаточно.

> которому надо просто выполнить программу или скрипт с эскалацией привилегий без пароля

Ему это не надо.

Ответить | Правка | Наверх | Cообщить модератору

101. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +1 +/
Сообщение от Аноним (148), 19-Янв-23, 13:30 
Ему не надо монтировать флешки, включать вайфай с блютусом, поднимать сетевой интерфейс? А что ему тогда надо? Группы это крайне неизбирательный инструмент, опять же.
Ответить | Правка | Наверх | Cообщить модератору

116. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от 1 (??), 19-Янв-23, 14:11 
Ну тогда чем отличается sudo <command> от su -c <command> ?
Только тем, что во втором случае не надо ставить sudo
Ответить | Правка | Наверх | Cообщить модератору

142. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (134), 19-Янв-23, 16:22 
Не палится пароль рута.
Ответить | Правка | Наверх | Cообщить модератору

118. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +2 +/
Сообщение от warlock66613email (ok), 19-Янв-23, 14:14 
Вот это отличный список того, что должно делаться из-под юзера но из-за засилия sudo люди (и пользователи и разработчики) думают "а, и так сойдёт, через sudo выкрутятся" и не делают нормальных инструментов для этих задач или не знают о существовании этих инструментов.

В _нормальных системах_ флешки монтируются обычным пользователем обычным `mount` после включения опции ядра `vfs.usermount`. В _менее нормальных системах_ приходится пользоваться `pmount`, что конечно так себе решение, но сойдёт на безрыбье.

Для вай-фай есть возможность запустить wpa_supplicant не из-под рута, привязать его к группе и включить пользователя в эту группу, после чего он сможет пользоваться wpa_cli.

Ответить | Правка | К родителю #101 | Наверх | Cообщить модератору

153. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноньимъ (ok), 19-Янв-23, 17:09 
Всё так!
Ответить | Правка | Наверх | Cообщить модератору

229. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (229), 22-Янв-23, 23:28 
>> При таких вводных этот человек вполне может иметь только одного рута пользователем
>> и от него работать
> Человек много чего может. Речь вообще не о том, что человек может
> или не может. Речь о том, нужен ли sudo такому человеку?
> Правильный ответ: нет, он ему не нужен; ему нужно сделать useradd,
> добавить пользователя в группу wheel, и обеспечить возможность выполнения юзер-левел задач
> без перехода в привелегированный режим. Вот это ему нужно. А sudo
> не нужен.

Хренасе вы, батенька, ферзь, будете ещё решать, кому чего нужно и что не нужно, да что ещё правильно, а что нет, диадема там не жмёт?

Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

230. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от warlock66613email (ok), 23-Янв-23, 02:54 
> Хренасе вы, батенька, ферзь, будете ещё решать, кому чего нужно и что
> не нужно, да что ещё правильно, а что нет, диадема там
> не жмёт?

Именно так, и нет, не жмёт.

Ответить | Правка | Наверх | Cообщить модератору

64. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от pfg21 (ok), 19-Янв-23, 12:13 
> абсолютно не нужен на личном ноутбуке, которым пользуется один человек.

ну да, рабоать под root и ничего не нужно :)

Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

106. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +2 +/
Сообщение от mos87 (ok), 19-Янв-23, 13:36 
ТУЕВА КУЧА парадигм, ограничений, разграничений, контролей и т.д. привычных нам по Линуксам совершенно бесполезны на личном десктопе. Вот вообще. Только мешаются.

у меня юзер на десктопе называется user, пароль почти 123, репы с "обновлениями безопасности" отключаются сразу по установке (вместе с автоматическим обновлением в принципе) и т.д.

sudo, правда, настроен по-дефолту - с паролем (но и там сколько-то минут в одной оболочке его вводить не надо). Но не от ФСБ а от себя скорее.

Штука в том, что на десктопах ГОРАЗДО НУЖНЕЕ всего этого хлама (нужного в основном в мульти-юзер недоверенных средах, а придуманных иногда и вовсе во времена, когда к мейнфрейму подключались по последовательному проводку) это песочница для недоверенных бинарников. Но это сложнее..

Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

111. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  –1 +/
Сообщение от warlock66613email (ok), 19-Янв-23, 13:42 
Вот именно личный десктоп максимально близок к тому самому древнему мейнфрейму. Если нужно что-то сделать правильно — нужно мысленно представлять что перед тобой именно тот самый древний мейнфрейм и действовать исходя из этого.
Ответить | Правка | Наверх | Cообщить модератору

121. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +1 +/
Сообщение от mos87 (ok), 19-Янв-23, 14:17 
шта
Ответить | Правка | Наверх | Cообщить модератору

146. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (146), 19-Янв-23, 16:46 
Скорее домейнфреймовый компьютер, пока они ещё не научились одновременно обслуживать несколько пользователей и потому были однопользовательскими.
Ответить | Правка | К родителю #111 | Наверх | Cообщить модератору

205. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от mos87 (ok), 20-Янв-23, 07:09 
идея где-то в этом направлении, но делать его однопользовательским не надо.

но надо проектировать десктопный вариант с учетом простого факта, что им будет заправлять одна тушка и
1) не надо ей чинить бессмысленных препонов и
2) с другой стороны дать инструменты защиты от всякой бяки, который, ежели ей захочется поднаcрать, будет плевать на всякие юзеры-шмузеры, пароль длиной в километр, и обновления безо частотой раз в минуту.
Потому что атака будет идти не по этим поверхностям. Не нужно искать уязвимость в какой-то либе, когда можно на чтение утащить весь /, а хомяк и на запись. Про дыры в Х11 уже не говорю.

но краcноглазики такие краcноглазики

на данный момент в Линуксах еще и зависемостей тонны тянутся немалая часть которых в 90% случаев не нужна. Так что даже с т.з. *традиционной* безо тут стоит поменять что-то. А именно делать софт с lazy-load'ом плагинов чтобы зависимости приходилось ставить только если они реально нужны. А не каждая более-менее фичастая прога тянула еще с полтора десятка либ, которыми пользователь никогда и не воспользуется. Но в юниксах это типа харам. Хочешь прогу - тащи тонны хлама, вместе со всякими лицензиями, дебиан-ридми (в демьянах/убунтах) лохализациями и т.д. И всё это для вещей которые просто лежат, но теоретически могут быть использованы для "классической" атаки. Поэтому их *как бы* надо постоянно патчить. Круг замкнулся.

Ответить | Правка | Наверх | Cообщить модератору

156. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноньимъ (ok), 19-Янв-23, 17:12 
Меня забавляет что по дефолту в AWS юзер ubuntu без пароля.
Рут и судо тоже без пароля.
Ответить | Правка | К родителю #106 | Наверх | Cообщить модератору

194. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от RM (ok), 19-Янв-23, 22:59 
Видать тебе такой AMI подсунули, проверяйся :)
У нормального там - в shadow у root *, у ubuntu ! - вот я посмотрел прямо тока что.
Так что вход тока по ключу.
Про sudo без пороля - правда.
Ответить | Правка | Наверх | Cообщить модератору

196. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноньимъ (ok), 19-Янв-23, 23:07 
Да, вход по ключу.
Ответить | Правка | Наверх | Cообщить модератору

206. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от mos87 (ok), 20-Янв-23, 07:11 
В Астре SE sudo без пароля))
Ответить | Правка | К родителю #194 | Наверх | Cообщить модератору

48. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  –1 +/
Сообщение от Аноним (148), 19-Янв-23, 11:37 
Хм, такие небылицы про баш может рассказывать только человек, который не шарит в шелле и скорее всего никогда не использовал линукс дальше пусси.ехе, а в ней хоть зш, хоть даш, никакой разницы. Ты лучше перл с авк удали -- вот это уж точно гадость, наследие тяжёлых времён.
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

63. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  –4 +/
Сообщение от warlock66613email (ok), 19-Янв-23, 12:03 
Awk — это базовый компонент экосистемы. Если в системе нет awk, значит система сломана, неработоспособна.
Ответить | Правка | Наверх | Cообщить модератору

75. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (148), 19-Янв-23, 12:52 
А какие программы его используют? Ну, может быть питон. Что там ещё, xdg-utils? Так редхат и перл с дбусом пропихнул в иксы недавно.
Ответить | Правка | Наверх | Cообщить модератору

90. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от warlock66613email (ok), 19-Янв-23, 13:12 
> А какие программы его используют? Ну, может быть питон. Что там ещё,
> xdg-utils? Так редхат и перл с дбусом пропихнул в иксы недавно.

Его используют не программы, его используют юзеры при работе в командной строке.

Ответить | Правка | Наверх | Cообщить модератору

95. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (148), 19-Янв-23, 13:24 
Наверняка же awk '{print $8,$9}' и awk '{print $NF}' можно чем-нибудь нормальным заменить, проблема была только когда вывод проприетарной программы форматируется случайным числом пробелов (вместо табов) и авкшный принт тут удобен.
Ответить | Правка | Наверх | Cообщить модератору

170. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (-), 19-Янв-23, 20:36 
А можно лучше $1000? Ну нафиг кому 8 баксов, право.
Ответить | Правка | Наверх | Cообщить модератору

152. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноньимъ (ok), 19-Янв-23, 17:07 
Плюсую!
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

227. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от A (?), 22-Янв-23, 01:26 
Покажи свой дистрибутив, а?
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

24. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Бывалый смузихлёб (?), 19-Янв-23, 11:02 
в винде нет sudo...
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

26. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +3 +/
Сообщение от Аноним (6), 19-Янв-23, 11:05 
в винде есть uac
Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +2 +/
Сообщение от 1 (??), 19-Янв-23, 11:23 
в винде есть runAs
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

65. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +3 +/
Сообщение от pfg21 (ok), 19-Янв-23, 12:15 
> в винде есть runAs

и работает еще через бОльшую жопу. простому пользователю приходится светить пароль администратора.

Ответить | Правка | Наверх | Cообщить модератору

66. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  –1 +/
Сообщение от Мозоли штульмана (?), 19-Янв-23, 12:17 
> в винде есть runAs

Не пали тему, а то у лапчатых порвется шаблон, если они узнают, что в Windows есть шелл и возможность запускать процессы от других пользователей.

Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

130. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от RHEL Fan (?), 19-Янв-23, 14:38 
Угу, вот такая там возможность:

runas /user:mypc\user mmc
Введите пароль для mypc\user:
Попытка запуска mmc от имени пользователя "mypc\user" ...
ОШИБКА RUNAS: Не удается запустить - mmc
740: Запрошенная операция требует повышения.

user админские права имеет, если что.

Ответить | Правка | Наверх | Cообщить модератору

172. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (-), 19-Янв-23, 20:53 
Винда не пингвин, толку с вон того мало - половина программ без админа тупо не работает. Поэтому они с горя даже какого-то обрубленого админа сделали и канифолят ему мозги каким там еще uac'ом. Отлично придумано - вбить костыль в админа на кривые уродские программы.
Ответить | Правка | К родителю #66 | Наверх | Cообщить модератору

93. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  –1 +/
Сообщение от mos87 (ok), 19-Янв-23, 13:23 
нет дЕ, нет зависимостей нет проблемы

LFS вам в зубы товарищ.

//проблемы на локалхосте краснoглазиков такие проблемы. ТЕБЯ ПОИМЕЛ АНБ!!! усё, собирай монатки. ух проклатые ДЕ!!!

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

169. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (-), 19-Янв-23, 20:35 
> Но нет, DE будут тянуть sudo за собой, как паразиты…

Вообще-то DE он как правило перпендикулярен и прекрасно работает и без него. Так что эта уязвимость, к счастью, у кого-то другого. Задолбали своим sudoedit'ом, право.  

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

8. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от ryoken (ok), 19-Янв-23, 10:38 
Давно в sudo дыр небыло. А то обычно раз пол-года-год что-то да находилось. :)
Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (6), 19-Янв-23, 10:54 
да уж
Ответить | Правка | Наверх | Cообщить модератору

79. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (97), 19-Янв-23, 12:59 
> Давно в sudo дыр небыло

Аж целый год! В январе прошлого года были траблы с этим же sudoedit, пришлось нах выпилить ключ -e

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

193. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Michael Shigorinemail (ok), 19-Янв-23, 22:42 
"Новая" ветка -- хреновая.  То ли было давеча...
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

14. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +6 +/
Сообщение от Аноним (14), 19-Янв-23, 10:50 
переходим все дружно на doas
Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +1 +/
Сообщение от Аноним (6), 19-Янв-23, 10:51 
а какие киллер-фичи?
Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +1 +/
Сообщение от Аноним (49), 19-Янв-23, 11:37 
Главная фича это отсутствие нужного функционала. Там даже нет аналога опции targetpw/rootpw из sudo, что делает программу бессмысленной в большинстве сценариев.
Да и даже банально аналога флага sudo -E там нету, а он бывает нужен.
Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +1 +/
Сообщение от Аноним (16), 19-Янв-23, 10:54 
Где-то год использую как более легковесную альтернативу. Конфиги простые, работает исправно, зависимостей меньше. Чего ещё хотеть.
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

77. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +1 +/
Сообщение от Аноним (77), 19-Янв-23, 12:55 
На dos. Там sudo в принципе нет.
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

150. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от pfg21 (ok), 19-Янв-23, 17:05 
к сожалению там тоже кривопейсатели есть.
https://www.opennet.dev/opennews/art.shtml?num=44663
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

19. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от kusb. (?), 19-Янв-23, 10:58 
Pochemu postoyanno epichno?
Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (6), 19-Янв-23, 11:17 
potomu chto
Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +2 +/
Сообщение от Facemaker (?), 19-Янв-23, 12:01 
alias please='sudo'
Ответить | Правка | Наверх | Cообщить модератору

96. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  –3 +/
Сообщение от mos87 (ok), 19-Янв-23, 13:25 
№Это№ := Просто АдинЭсЪ
Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +7 +/
Сообщение от Анононимусс (?), 19-Янв-23, 10:59 
Возможно это было записано в документации?
И пользователи просто неправильно применяли sudo?
Подскажите, где можно это посмотреть?
Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (41), 19-Янв-23, 11:23 
Тонко XD
Ответить | Правка | Наверх | Cообщить модератору

82. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  –2 +/
Сообщение от Аноним (97), 19-Янв-23, 13:05 
Тут вопрос: а почему на критичной системе юзерам вообще позволено sudo запускать?! Не, не так... Откуда там вообще этот sudo взялся?
Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

23. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  –2 +/
Сообщение от Аноним (23), 19-Янв-23, 11:02 
А во всем виноваты GOTO!
Правильно умные люди говорят - "goto использовать, себе не уважать"
Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +4 +/
Сообщение от Аноним (6), 19-Янв-23, 11:12 
goto ассемблерная классика
Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  –1 +/
Сообщение от Аноним (34), 19-Янв-23, 11:21 
Для чего в коде sudo ассемблерные вставки?
Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +3 +/
Сообщение от hhg (ok), 19-Янв-23, 11:25 
классика - jmp.
кто не прыгает - тот сишник!
Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

119. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от 1 (??), 19-Янв-23, 14:15 
то идёт на^W по go to
Ответить | Правка | Наверх | Cообщить модератору

204. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от OpenEcho (?), 20-Янв-23, 06:00 
А вы никогда не пробовали глянуть на исходники ядра? Очень вы тогда себя не уважаете если пользуетесь такими продуктами. Если идиоты любят бить по пальцам молотком, это не значит что молоток виноват
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

213. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  –2 +/
Сообщение от InuYasha (??), 20-Янв-23, 11:20 
это, кстати, rust-о-мания из 90ых - "вот сейчас мы обернём все го в иф-елсы/кейсы/трай-кэчи и наш код станет стабильным и безопасным". Но не тут-то бы(д)ло.
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

43. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (-), 19-Янв-23, 11:25 
Там много подводных камней понапихано, тот же обратный траверс наверняка все еще работает, в каком-нить cat /var/log/*
Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +1 +/
Сообщение от Твайлайт Спаркл (ok), 19-Янв-23, 11:49 
Ок, удалила ваше sudo. su достаточно для нормальной работы.
Ответить | Правка | Наверх | Cообщить модератору

120. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +1 +/
Сообщение от 1 (??), 19-Янв-23, 14:16 
Пароль рута не надоедает каждый раз набирать ?
Ответить | Правка | Наверх | Cообщить модератору

131. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (131), 19-Янв-23, 14:46 
это же вроде не винфак...

в винде да, на каждый чих надо пароль админа набирать...

Ответить | Правка | Наверх | Cообщить модератору

136. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +2 +/
Сообщение от Аноним (-), 19-Янв-23, 15:17 
Нет. Раз в две недели вогнать пароль, чтобы обновить систему -- это не так уж и много. В любом случае не больше, чем с sudo.
Ответить | Правка | К родителю #120 | Наверх | Cообщить модератору

173. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  –1 +/
Сообщение от Аноним (-), 19-Янв-23, 20:57 
> Пароль рута не надоедает каждый раз набирать ?

Ничем не лучше и не хуже пароля юзера. Более того - sudo запоминает на некоторое время сессию что само по себе является чем-то между вулном и нежелательным поведением т.к. можно случайно что-то лишнее под привилегироваными правами пустить. Ввод пароля - хорошее привлечение внимания к тому что это именно привилегированная операция, а не какая-то фигня, так что позвольте задуматься "а почему я это вообще делаю?!"

Ответить | Правка | К родителю #120 | Наверх | Cообщить модератору

214. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от InuYasha (??), 20-Янв-23, 11:22 
> "а почему я это вообще делаю?!"

этим вопросом должен задаваться каждый +- адекватный человек в этом каканом мире.

Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +1 +/
Сообщение от Аноним (57), 19-Янв-23, 11:50 
>чтобы в файле sudoers пользователю было предоставлено право запускать утилиту sudoedit или "sudo" с флагом "-e"

Обычно в системе есть вдва типа пользователей: имеющих право на sudo и не имеющих его. А тут некая промежуточная инстанция, скороее всего реализована по принципу: "разрешено все что не запрещено", вот и дырявая от того.
Суть в том, что простое наличие в системе sudo еще не делает систему уязвимой.

Ответить | Правка | Наверх | Cообщить модератору

85. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (97), 19-Янв-23, 13:08 
Обычно системы делятся на два типа: локалхост и многопользовательские. На вторых sudo отсутствует.
Ответить | Правка | Наверх | Cообщить модератору

103. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от warlock66613email (ok), 19-Янв-23, 13:31 
> Обычно системы делятся на два типа: локалхост и многопользовательские. На вторых sudo
> отсутствует.

А на первых он и нафиг не нужен при живом-то su.

Ответить | Правка | Наверх | Cообщить модератору

161. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (158), 19-Янв-23, 19:25 
Что делать будешь, если у рута пароля нет? Админы локалхоста такие админы локалхоста…
Ответить | Правка | Наверх | Cообщить модератору

187. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +1 +/
Сообщение от warlock66613email (ok), 19-Янв-23, 22:08 
> Что делать будешь, если у рута пароля нет?

Загружусь в single-user mode и выставлю руту пароль.

Ответить | Правка | Наверх | Cообщить модератору

228. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (97), 22-Янв-23, 01:39 
> Что делать будешь, если у рута пароля нет?

Ты в курсе, как и где хранятся пароли? Дальше - надо подсказывать?

Ответить | Правка | К родителю #161 | Наверх | Cообщить модератору

174. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +1 +/
Сообщение от Аноним (-), 19-Янв-23, 20:58 
Да и на вторых тоже. Особенно с своим sudoedit который уже задолбал вулнами. Сколько можно то? Не фича а коллекция вулнов бжад.
Ответить | Правка | К родителю #103 | Наверх | Cообщить модератору

59. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  –2 +/
Сообщение от Аноним (59), 19-Янв-23, 11:58 
зато Boston Dynamics'у не мешает на Ubuntu разрабатывать красивое https://youtu.be/XPVC4IyRTG8
Ответить | Правка | Наверх | Cообщить модератору

138. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (-), 19-Янв-23, 15:25 
Это пока у них, как у нашего, sudo не отклеится: https://www.ixbt.com/news/2022/07/21/robot-slomal-palec-rebe...
Ответить | Правка | Наверх | Cообщить модератору

164. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (158), 19-Янв-23, 19:36 
Действительно красивое. При этом внутри Убунту и Питон. Интересно, когда можно будет увидеть робота МЦСТ на Эльбрусе, LFS и Си?
Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

175. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +1 +/
Сообщение от Аноним (-), 19-Янв-23, 21:00 
> Действительно красивое. При этом внутри Убунту и Питон.

Welcome to SkyNet (prototype edition).

Ответить | Правка | Наверх | Cообщить модератору

203. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Michael Shigorinemail (ok), 20-Янв-23, 00:31 
Фёдора не препарировал, но так-то ОС Эльбрус растёт именно из LFS; Вы там поосторожней с хотелками, а то ещё сбудутся!
Ответить | Правка | К родителю #164 | Наверх | Cообщить модератору

70. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +2 +/
Сообщение от Аноним (70), 19-Янв-23, 12:29 
Хотел написать мммм сишечка, а потом понял что логических ошибок можно накостылить и на rust.
Ответить | Правка | Наверх | Cообщить модератору

80. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (77), 19-Янв-23, 13:00 
Но накостылили на сишечке.
Ответить | Правка | Наверх | Cообщить модератору

147. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +2 +/
Сообщение от BorichL (ok), 19-Янв-23, 16:51 
Это потому что на нём пишут, а на раст - нет.
Ответить | Правка | Наверх | Cообщить модератору

105. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +2 +/
Сообщение от warlock66613email (ok), 19-Янв-23, 13:35 
> Хотел написать мммм сишечка, а потом понял что логических ошибок можно накостылить
> и на rust.

На самом деле на Rust можно наделать любых ошибок. У меня было и выход за границы буфера и дабл фри. Разница в том, что на Rust _можно не наделать_ ошибок, если постараться.

Ответить | Правка | К родителю #70 | Наверх | Cообщить модератору

114. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +5 +/
Сообщение от Аноним (114), 19-Янв-23, 14:10 
> что на Rust _можно не наделать_ ошибок, если постараться.

На любом языке можно не наделать ошибок, если постараться. Вообще все ошибки совершаются из-за недостатков человеческого разума, а не из-за языка. Компьютеры ошибок не делают (если это не нейросеть).

Ответить | Правка | Наверх | Cообщить модератору

127. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +2 +/
Сообщение от warlock66613email (ok), 19-Янв-23, 14:24 
> На любом языке можно не наделать ошибок, если постараться.

Это заблуждение и хорошо что люди начали это понимать. На С _невозможно_ не наделать ошибок, разве что по случайному везению. Там нет необходимых средств самоконтроля. Что ещё хуже — на C нельзя не наделать самых противных ошибок — UB, и неизвестно, существует ли в мире хоть одна корректная (в смысле отсутствия UB) нетривиальная программа на C. Возможно, что C — это язык, на котором не написано ни одной программы (кроме самых простых учебных и тех, что на очень специальном подмножестве этого языка).

Ответить | Правка | Наверх | Cообщить модератору

132. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Анонн (?), 19-Янв-23, 14:49 
А если вспомнить что "стандарт" си написан так, что куча всего implementation-defined, то язык по факту не один, а целое подмножество частично совместимых реализаций. А потом шланг не может скомпилить glibc, а gcc - хром.
Ответить | Правка | Наверх | Cообщить модератору

149. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от BorichL (ok), 19-Янв-23, 16:54 
Если и дальше убивать образование, то и слово "корова" правильно без проверяльщиков орфографии написать не смогут.
Ответить | Правка | К родителю #127 | Наверх | Cообщить модератору

155. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (77), 19-Янв-23, 17:10 
Естественные языки со всеми их исключениями, неоднозначностями и прочим даны нам в реальности. Языки программирования мы, к счастью, можем выбирать.
Ответить | Правка | Наверх | Cообщить модератору

167. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (158), 19-Янв-23, 19:50 
Обожаю опеннетных экспертов. Знают и разбираются во всём, от квантовой физики до педагогики. Свои дети-то есть или пока только за соседскими подсматриваешь? Мой ребёнок ходит в школу и по программе учится тому, про что мне в школьные годы даже шёпотом на кружках не рассказывали.
Ответить | Правка | К родителю #149 | Наверх | Cообщить модератору

219. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от TydymBydym (ok), 21-Янв-23, 02:44 
Молчи, Тоска. Моя сегодня с задачкой на Питоне приперлась вечером, а я уже как лимон весь выжатый. Короче, сама ответ будет искать, видимо ))
Ответить | Правка | Наверх | Cообщить модератору

176. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +2 +/
Сообщение от Аноним (-), 19-Янв-23, 21:01 
> Компьютеры ошибок не делают (если это не нейросеть).

Оптимизм это хорошо, но сотни глючного железа готовы поспорить с этим тезисом.

Ответить | Правка | К родителю #114 | Наверх | Cообщить модератору

202. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +1 +/
Сообщение от Michael Shigorinemail (ok), 20-Янв-23, 00:30 
f0 0f

Ответить | Правка | Наверх | Cообщить модератору

89. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (89), 19-Янв-23, 13:11 
Классика строко-бли. Работа с env как с доверенным вводом...
Хорошо, что нашли и исправили.
Ответить | Правка | Наверх | Cообщить модератору

99. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +2 +/
Сообщение от mos87 (ok), 19-Янв-23, 13:28 
на Rust нет строко-бли!
там только гендерно-выверенная... ***!
Ответить | Правка | Наверх | Cообщить модератору

100. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (97), 19-Янв-23, 13:28 
Значит, взамен сделана другая дыра.
Ответить | Правка | К родителю #89 | Наверх | Cообщить модератору

102. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +1 +/
Сообщение от fuggy (ok), 19-Янв-23, 13:30 
>Уязвимость вызвана отсутствием должной обработки символов "--" при разборе переменных окружения, определяющих программу, вызываемую для редактирования файла

Уязвимость уровня log4j в sudo в 2023 году.

Ответить | Правка | Наверх | Cообщить модератору

104. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +3 +/
Сообщение от Янис (?), 19-Янв-23, 13:31 
sudo su - ; passwd root ; apt purge sudo /* Дебиан системы */
Ответить | Правка | Наверх | Cообщить модератору

117. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  –1 +/
Сообщение от freehckemail (ok), 19-Янв-23, 14:13 
Тссс. Ты им ещё расскажи, что sudo в debian-like системах имеет priority important. =)
Вот тут ребятки выше писали, что любят arch за то, что там можно удалить sudo. Зачем нам их расстраивать? Пусть дальше админят свои локалхосты на арче. Чем бы дитя ни тешилось, лишь бы в прод не лезло.
Ответить | Правка | Наверх | Cообщить модератору

165. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (165), 19-Янв-23, 19:37 
> sudo su -

Ты ещё "sudo su - bash" напиши.

Только "sudo -i" !

Ответить | Правка | К родителю #104 | Наверх | Cообщить модератору

188. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +1 +/
Сообщение от Аноним (-), 19-Янв-23, 22:09 
Для этого надо читать ман по суду, что выглядит неоправданной тратой времени, поскольку цель - удалить суду.
Ответить | Правка | Наверх | Cообщить модератору

177. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +1 +/
Сообщение от Аноним (-), 19-Янв-23, 21:03 
Главное пароль руту не забыть поставить, если его не было. Иначе как ты его потом будешь получать? Конечно можно рубет в рекавери или inin=/bin/bash и получить рута мануально, но это довольно неудобно скажу я вам.
Ответить | Правка | К родителю #104 | Наверх | Cообщить модератору

179. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от lucentcode (ok), 19-Янв-23, 21:12 
> Главное пароль руту не забыть поставить, если его не было. Иначе как
> ты его потом будешь получать? Конечно можно рубет в рекавери или
> inin=/bin/bash и получить рута мануально, но это довольно неудобно скажу я
> вам.

Эх, какие старые методы вы повспоминали. Пацаны в наше время не так делают. Грузятся с Live USB(System Rescue CD рулит), делают chroot в систему, где пролюбили/не назначали пароль рута, назначают пароль, и ребутаются. И всё. Молодняк и не знает, поди, про init=/bin/bash. А recovery у той же Ubuntu хитрое, просит пароль рута. И не пущает, если пароль рута сменил кто-то левый/не знали...

Ответить | Правка | Наверх | Cообщить модератору

201. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Michael Shigorinemail (ok), 20-Янв-23, 00:29 
> А recovery у той же Ubuntu хитрое

Можно взять http://altlinux.org/rescue -- оно не считает себя умнее прокладки класса "кнопки-табуретка" :]

Ответить | Правка | Наверх | Cообщить модератору

198. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (97), 19-Янв-23, 23:10 
> Главное пароль руту не забыть поставить

см. выше 2-ю часть команды.

Ответить | Правка | К родителю #177 | Наверх | Cообщить модератору

215. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  –1 +/
Сообщение от InuYasha (??), 20-Янв-23, 11:34 
вы тут все андроида объелись что-ли?
Ответить | Правка | К родителю #104 | Наверх | Cообщить модератору

115. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от freehckemail (ok), 19-Янв-23, 14:10 
Вау. Сколько тут людей, которым sudo жить мешает, подумать только. А так-то все отличные танцоры, конечно же.
Ответить | Правка | Наверх | Cообщить модератору

124. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от 1 (??), 19-Янв-23, 14:20 
sudo ампутировали и танцуют хорошо
Ответить | Правка | Наверх | Cообщить модератору

129. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +1 +/
Сообщение от freehckemail (ok), 19-Янв-23, 14:28 
> sudo ампутировали и танцуют хорошо

Как величав его стан, как грациозны движения. Как изыскано он делает пируэты. Как балерун... на капустной грядке.

Ответить | Правка | Наверх | Cообщить модератору

186. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +2 +/
Сообщение от Аноним (-), 19-Янв-23, 22:05 
Прикольное описание sudo, такое еще не попадалось :)
Ответить | Правка | Наверх | Cообщить модератору

133. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +1 +/
Сообщение от Аноним (131), 19-Янв-23, 14:49 
судо, это третье..
Ответить | Правка | К родителю #115 | Наверх | Cообщить модератору

141. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от псевдонимус (?), 19-Янв-23, 16:18 
Как хорошо,  что использую su)  
Ответить | Правка | Наверх | Cообщить модератору

199. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +2 +/
Сообщение от Michael Shigorinemail (ok), 20-Янв-23, 00:25 
Некоторые используют ssh root@localhost, чтобы убрать ещё один привилегированный бинарник; в альте это control su restricted, чтоб только понижать привилегии годился -- см. http://altlinux.org/control
Ответить | Правка | Наверх | Cообщить модератору

209. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (209), 20-Янв-23, 09:42 
в Альте, блин... в альте то ли с 4.x, то ли с 5 по 8, инсталлятор грохался, если видел на диске раздел OpenBSD. В 9-м это починили, и я наконец-то смог поставить себе Альт, но в 10-м сломали aptitude. Установка по http примерно в половине случаев по неизвестным мне причинам не создаёт initrd или просто виснет на этапе "установлено 100%". Недавно хотел установить Alt 4.1 на LVM, так в итоге всё не заработало. А ещё, на установку диска без разделов надо просто знать, что сначала нужно установить несуществующий раздел, и только после создать заново. Ещё инсталлятор не позволяет сделать установку, скажем, с sda2 на sda1, надо ставить с какой-нибудь флешки sdb. Вот это сообщение пишу с Альта, но, блин, как вообще с ним жить?
Ответить | Правка | Наверх | Cообщить модератору

220. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от TydymBydym (ok), 21-Янв-23, 02:47 
> В 9-м это починили, и я наконец-то смог поставить себе Альт

Т.е., ты так хотел поставить Альт, но вот запустить предварительно fdisk и поменять тип раздела было не судьба? А ты терпеливый...

Ответить | Правка | Наверх | Cообщить модератору

225. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (225), 21-Янв-23, 10:45 
>> В 9-м это починили, и я наконец-то смог поставить себе Альт
> Т.е., ты так хотел поставить Альт, но вот запустить предварительно fdisk и
> поменять тип раздела было не судьба? А ты терпеливый...

нафига я буду ломать используемый openbsd ради неизвестного мне альта? починили - поставил.

кроме того, не совсем понятно, что он там ищет. например, в debian live оно вообще вроде по типу фс ищет

Ответить | Правка | Наверх | Cообщить модератору

226. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от TydymBydym (ok), 21-Янв-23, 10:50 
> нафига я буду ломать используемый openbsd ради неизвестного мне альта? починили -
> поставил.
> кроме того, не совсем понятно, что он там ищет. например, в debian
> live оно вообще вроде по типу фс ищет

Что там ломать-то?
dd if=/dev/dsk/c0t0d0s1 bs=1024 count=1 of=/dev/fd0
dd of=/dev/dsk/c0t0d0s1 bs=1024 count=1 if=/dev/zero

Поигрался, а потом на место вернул. Главное тут дискетку не просохатить.

Ответить | Правка | Наверх | Cообщить модератору

222. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от псевдонимус (?), 21-Янв-23, 06:47 
> Некоторые используют ssh root@localhost, чтобы убрать ещё один привилегированный бинарник;
> в альте это control su restricted, чтоб только понижать привилегии годился
> -- см. http://altlinux.org/control

У меня на компах в основном не линукс.

Ответить | Правка | К родителю #199 | Наверх | Cообщить модератору

223. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от псевдонимус (?), 21-Янв-23, 06:50 
> Некоторые используют ssh root@localhost, чтобы убрать ещё один привилегированный бинарник;
> в альте это control su restricted, чтоб только понижать привилегии годился
> -- см. http://altlinux.org/control

А так полезная фича.

OWL кстати все? Не разрабатывается больше?

Ответить | Правка | К родителю #199 | Наверх | Cообщить модератору

154. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (154), 19-Янв-23, 17:09 
Нафига вообще sudoedit запускает редактор с повышенными привилегиями? Почему нельзя запустить редактор с правами юзера, и отредактировать временный файл используя повышенные привилегии только для его копирования?
Ответить | Правка | Наверх | Cообщить модератору

157. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от shakirov (?), 19-Янв-23, 17:23 
чтобы можно было перехватить этот временный файл и напихать туда своего?
Ответить | Правка | Наверх | Cообщить модератору

171. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +1 +/
Сообщение от Аноним (171), 19-Янв-23, 20:49 
sudoedit как раз запускает редактор от имени юзера
Ответить | Правка | К родителю #154 | Наверх | Cообщить модератору

160. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +3 +/
Сообщение от Аноним (160), 19-Янв-23, 18:02 
>Атакующий может добавить в переменные окружения SUDO_EDITOR, VISUAL или EDITOR последовательность

Системной программе с suid битом брать что-то из переменных окружения и выполнять, это заведомо небезопасно

Ответить | Правка | Наверх | Cообщить модератору

163. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от lucentcode (ok), 19-Янв-23, 19:31 
Шерето... Polkit рулит. Но только для хипстеров, что умеют в javascript и xml.
Ответить | Правка | Наверх | Cообщить модератору

197. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +1 +/
Сообщение от Аноним (97), 19-Янв-23, 23:07 
Polkit тоже недавно разродился дырищей.
Ответить | Правка | Наверх | Cообщить модератору

200. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Michael Shigorinemail (ok), 20-Янв-23, 00:26 
В этом плане "новое" sudo и polkit, особенно тоже "новый" (с mozjs) -- два сапога пара.
Ответить | Правка | Наверх | Cообщить модератору

210. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (210), 20-Янв-23, 09:59 
Всё дыряво, но только open source позволяет это быстрее исправить.
Ответить | Правка | Наверх | Cообщить модератору

211. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (210), 20-Янв-23, 10:02 
https://docs.docker.com/develop/develop-images/dockerfile_be...

> Avoid installing or using sudo as it has unpredictable TTY and signal-forwarding behavior that can cause problems. If you absolutely need functionality similar to sudo, such as initializing the daemon as root but running it as non-root, consider using “gosu”.

Ответить | Правка | Наверх | Cообщить модератору

212. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от Аноним (210), 20-Янв-23, 10:07 
Причём они же сами предлагают замену

https://www.sudo.ws/docs/alternatives/

Ответить | Правка | Наверх | Cообщить модератору

216. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +2 +/
Сообщение от PnD (??), 20-Янв-23, 11:41 
Всё-таки, я очень тупой. Всю дорогу настраивал ACL на ФС, когда требовалось что-то подобное (неким пользователям дать редактировать некие файлы). А оно вот как оказывается надо было.
</sarcasm>
Ответить | Правка | Наверх | Cообщить модератору

217. "Уязвимость в sudo, позволяющая изменить любой файл в системе"  +/
Сообщение от utoplenick (ok), 20-Янв-23, 13:26 
+1 давать права на редактирования файла с помощью sudo как удалять гланды через жопу.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру