Уязвимость в пакетном менеджере GNU Guix

18.10.2019 09:16

В пакетном менеджере GNU Guix выявлена уязвимость (CVE-2019-18192), позволяющая добиться выполнения кода в контексте другого пользователя. Проблема проявляется в многопользовательских конфигурациях Guix и вызвана неверным выставлением прав доступа на системный каталог с профилями пользователей.

По умолчанию профили пользователей ~/.guix-profile определяются как символические ссылки на каталог /var/guix/profiles/per-user/$USER. Проблема в том, что права доступа на каталог /var/guix/profiles/per-user/ допускают создание новых подкаталогов любым пользователем. Атакующий может создать каталог для другого пользователя, который ещё не входил в систему, и организовать запуск своего кода (/var/guix/profiles/per-user/$USER присутствует в переменной PATH, и атакующий может разместить в этом каталоге исполняемые файлы, которые будут выполнены в процессе работы жертвы вместо системных исполняемых файлов).

исправить +10 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/51701-guix

Ключевые слова: guix

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (24)

1.2, Аноним (2), 09:47, 18/10/2019 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]	–2 +/–
Пофиксят. Тем более Guix, тут наверно можно обойтись даже без system reconfigure.

2.4, Аноним (4), 10:06, 18/10/2019 [^] [^^] [^^^] [ответить] [к модератору]	+2 +/–
Так оперативно можно ручками выставить правильные права.

3.17, Аноним (17), 17:13, 18/10/2019 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
Ну-ка, ну-ка, и какие же права будут правильными, чтобы и дыру прикрыть, и ничего не сломать?

1.5, Аноним (5), 10:16, 18/10/2019 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+/–
там 777 чтоль было?

2.6, Аноним (6), 10:24, 18/10/2019 [^] [^^] [^^^] [ответить] [↓] [к модератору]	–1 +/–
888

3.15, Аноним (4), 16:38, 18/10/2019 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Это в какой системе счисления? ;)

2.7, Andrey Mitrofanov_N0 (??), 10:39, 18/10/2019 [^] [^^] [^^^] [ответить] [↑] [к модератору]

+3 +/–

> там 777 чтоль было?

1777.

" Until now, /var/guix/profiles/per-user was world-writable [...] "
--https://guix.gnu.org/blog/2019/insecure-permissions-on-profile-directory-cve-2

" This issue was initially reported by Michael Orlitzky for Nix (CVE-2019-17365). "
==

"
its parent directory. That parent directory is shared by all users on
the system, and as a result, is world-writable (so that everyone can
create his own subdirectory thereof). This is enforced by the
installation script scripts/install-multi-user.sh...

_sudo "to make the basic directory structure of Nix (part 2)" \
mkdir -pv -m 1777 /nix/var/nix/{gcroots,profiles}/per-user
" --https://www.openwall.com/lists/oss-security/2019/10/09/4

1.8, danonimous (?), 11:03, 18/10/2019 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	–3 +/–
Интересно, сколько пользователей могло пострадать от этого? Похоже, кроме разработчиков им больше никто не пользуется. Дистрибутив очень интересный - в начале нулевых это был бы прорыв и на него все бы ломанулись. Отличные возможности по сборке программ, да ещё всё это напрямую от GNU. А сейчас его как будто не заметили. Возможно, надо делать форк с блобами, вшитыми в iso образе - как у Убунты, чтобы привлечь хоть какое-то внимание.

2.9, ilyafedin (ok), 11:10, 18/10/2019 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+1 +/–
Зачем, когда оригинальный дистрибутив, на котором он основан - уже с блобами?

3.14, danominous (?), 14:40, 18/10/2019 [^] [^^] [^^^] [ответить] [к модератору]	–5 +/–
NixOS инфецирован systemd и там велосипедный язык конфигурации. Поэтому понятно, почему он не взлетел. В Гиксе же нормальная система инициализации и Guile.

4.16, Аноним (16), 17:05, 18/10/2019 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
NixOS популярнее Guix. Второй обрёк себя на смерть в продакшене, исключив любую проприетарщину.

5.22, Аноним (22), 16:58, 19/10/2019 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
Для проприетарщины есть сторонние каналы, например https://gitlab.com/nonguix/nonguix

4.20, X4asd (ok), 19:24, 18/10/2019 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	–1 +/–
systemd это ведь наоборот хорошо

5.26, Аноним (26), 22:24, 20/10/2019 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Только если вы леннарт

4.24, Ю.Т. (?), 08:23, 20/10/2019 [^] [^^] [^^^] [ответить] [↑] [к модератору]	–1 +/–
ПМ Guix в одном из вариантов конфигнурации использует ПМ Nix.

2.12, ievoochielaPh5Ph (ok), 14:20, 18/10/2019 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]

+4 +/–

Никто в начале нулевых об этом Guix не слышал, тогда была мода на Слаку и Gentoo.
А от уязвимости даже разрабы не пострадают. Это как в свое время с Альтом было. Разговор с Райдером(Антоном Фарыгиным) на ЛинуксФесте про используемые дистры:

— Ну я на Gentoo, а ты, Райдер? На своем Альте?
— Я что на дурака похож? На Дэбиане сижу, для Альта все в чруте делаю

:-D

3.13, danominous (?), 14:34, 18/10/2019 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Так его в начале нулевых не было, я это и отметил (с сожалением).

2.18, user90 (?), 17:27, 18/10/2019 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]

+/–

> Интересно, сколько пользователей могло пострадать от этого?

Примерно ноль. Guix используют энтузиасты с достаточно прямыми руками.

> форк с блобами

Цирк с конями! =) Это все-таки GNU, а не "возьмем systemd и побыстрому слепим тысяча первый дистрибутив".

3.21, Анонимно (?), 22:27, 18/10/2019 [^] [^^] [^^^] [ответить] [к модератору]

+/–

> энтузиасты с достаточно прямыми руками.

Прямизна чужих рук не извиняет своих 777.

p.s Ну додумались же до a+rwx... :/

4.25, Andrey Mitrofanov_N0 (??), 10:31, 20/10/2019 [^] [^^] [^^^] [ответить] [к модератору]

+/–

> Прямизна чужих рук не извиняет своих 777.
> p.s Ну додумались же до a+rwx... :/

Малой, про sticky-биты почитай чего, что ли.

$ stat -c '%A %a %U %G' /tmp/
drwxrwxrwt 1777 root root

1777 не 777.

Можешь _внимательно_ почитать про "уязвимость" -- обратив внимание на то, что речь про создание директории, пока её _не_ существовало.

Смекаешь?

2.23, Аноним (23), 17:21, 19/10/2019 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
> Интересно, сколько пользователей могло пострадать от этого? Эта уязвимость касается фактически многопользовательских систем, то есть компьютеров с удаленным или локальным доступом для множества пользователей. Поскольку Guix используется таким образом в некоторых научных и образовательных учреждениях, уязвимость значима.

1.10, Аноним (10), 11:42, 18/10/2019 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]	+/–
Астрологи объявили неделю бэкдоров

1.11, Аноним (11), 13:37, 18/10/2019 [ответить] [﹢﹢﹢] [ · · · ] [к модератору]	+5 +/–
Автор вместо того, чтобы на Столмана гнать, лучше бы проектом занялся.

2.19, danominous (?), 17:34, 18/10/2019 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Ну да - испортил карму, вот и первая уязвимость тут как тут!

игнорирование участников | лог модерирования

Добавить комментарий

Имя:

E-Mail:

Текст: