* [devel] Дырка в sudo
@ 2005-11-12 10:40 Alexey Borovskoy
2005-11-12 13:19 ` Dmitry V. Levin
0 siblings, 1 reply; 11+ messages in thread
From: Alexey Borovskoy @ 2005-11-12 10:40 UTC (permalink / raw)
To: devel
[-- Attachment #1: Type: text/plain, Size: 292 bytes --]
Добрый вечер.
Вот сегодня пришло.
http://www.security.nnov.ru/Hdocument190.html
http://www.security.nnov.ru/Kdocument36.html
http://www.security.nnov.ru/Kdocument204.html
Уязвимо sudo до версии 1.6.8p12.
--
Алексей.
GPG key fingerprint
DBB3 1832 13C6 5C96 4A58 4AFF 78F7 159F 66AD 8D7E
[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [devel] Дырка в sudo
2005-11-12 10:40 [devel] Дырка в sudo Alexey Borovskoy
@ 2005-11-12 13:19 ` Dmitry V. Levin
2005-11-12 14:10 ` Alexey Borovskoy
2005-11-14 9:49 ` [devel] " Andrei Bulava
0 siblings, 2 replies; 11+ messages in thread
From: Dmitry V. Levin @ 2005-11-12 13:19 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 649 bytes --]
On Sat, Nov 12, 2005 at 10:40:14PM +1200, Alexey Borovskoy wrote:
> Добрый вечер.
>
> Вот сегодня пришло.
>
> http://www.security.nnov.ru/Hdocument190.html
> http://www.security.nnov.ru/Kdocument36.html
> http://www.security.nnov.ru/Kdocument204.html
>
> Уязвимо sudo до версии 1.6.8p12.
Запретительная политика (перечисление запрещённых переменных) принципиально
ущербна.
Настоятельно рекомендую использовать env_reset+env_keep.
В очередной сборке sudo (если доберусь) я планирую включить
env_reset по умолчанию.
Выпускать обновления с пополнениями встроенного списка запрещённых
переменных я не планирую.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [devel] Дырка в sudo
2005-11-12 13:19 ` Dmitry V. Levin
@ 2005-11-12 14:10 ` Alexey Borovskoy
2005-11-12 15:18 ` Dmitry V. Levin
2005-11-14 9:49 ` [devel] " Andrei Bulava
1 sibling, 1 reply; 11+ messages in thread
From: Alexey Borovskoy @ 2005-11-12 14:10 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 922 bytes --]
* Воскресенье 13 Ноябрь 2005 01:19 Dmitry V. Levin
> On Sat, Nov 12, 2005 at 10:40:14PM +1200, Alexey Borovskoy
wrote:
> > Добрый вечер.
> >
> > Вот сегодня пришло.
> >
> > http://www.security.nnov.ru/Hdocument190.html
> > http://www.security.nnov.ru/Kdocument36.html
> > http://www.security.nnov.ru/Kdocument204.html
> >
> > Уязвимо sudo до версии 1.6.8p12.
>
> Запретительная политика (перечисление запрещённых переменных)
> принципиально ущербна.
>
> Настоятельно рекомендую использовать env_reset+env_keep.
Какую ручку надо крутить?
> В очередной сборке sudo (если доберусь) я планирую включить
> env_reset по умолчанию.
У меня сборочница простаивает.
Я могу пересобрать, а Вы потом проверите всё ли правильно у меня
получилось.
> Выпускать обновления с пополнениями встроенного списка
> запрещённых переменных я не планирую.
--
Алексей.
GPG key fingerprint
DBB3 1832 13C6 5C96 4A58 4AFF 78F7 159F 66AD 8D7E
[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [devel] Дырка в sudo
2005-11-12 14:10 ` Alexey Borovskoy
@ 2005-11-12 15:18 ` Dmitry V. Levin
2005-11-15 12:15 ` Alexey Borovskoy
0 siblings, 1 reply; 11+ messages in thread
From: Dmitry V. Levin @ 2005-11-12 15:18 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 1002 bytes --]
On Sun, Nov 13, 2005 at 02:10:13AM +1200, Alexey Borovskoy wrote:
> * Воскресенье 13 Ноябрь 2005 01:19 Dmitry V. Levin
> > On Sat, Nov 12, 2005 at 10:40:14PM +1200, Alexey Borovskoy wrote:
> > > Добрый вечер.
> > >
> > > Вот сегодня пришло.
> > >
> > > http://www.security.nnov.ru/Hdocument190.html
> > > http://www.security.nnov.ru/Kdocument36.html
> > > http://www.security.nnov.ru/Kdocument204.html
> > >
> > > Уязвимо sudo до версии 1.6.8p12.
> >
> > Запретительная политика (перечисление запрещённых переменных)
> > принципиально ущербна.
> >
> > Настоятельно рекомендую использовать env_reset+env_keep.
>
> Какую ручку надо крутить?
Я же только что написал. Детали см в sudoers(5).
> > В очередной сборке sudo (если доберусь) я планирую включить
> > env_reset по умолчанию.
>
> У меня сборочница простаивает.
CPU/Mem=? :)
> Я могу пересобрать, а Вы потом проверите всё ли правильно у меня
> получилось.
А у вас уже есть что пересобрать? :)
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [devel] Дырка в sudo
2005-11-12 13:19 ` Dmitry V. Levin
2005-11-12 14:10 ` Alexey Borovskoy
@ 2005-11-14 9:49 ` Andrei Bulava
1 sibling, 0 replies; 11+ messages in thread
From: Andrei Bulava @ 2005-11-14 9:49 UTC (permalink / raw)
To: ALT Devel discussion list
Dmitry V. Levin wrote:
> On Sat, Nov 12, 2005 at 10:40:14PM +1200, Alexey Borovskoy wrote:
>
>>Добрый вечер.
>>
>>Вот сегодня пришло.
>>
>>http://www.security.nnov.ru/Hdocument190.html
>>http://www.security.nnov.ru/Kdocument36.html
>>http://www.security.nnov.ru/Kdocument204.html
>>
>>Уязвимо sudo до версии 1.6.8p12.
>
>
> Запретительная политика (перечисление запрещённых переменных) принципиально
> ущербна.
Просто для уточнения: "перечисление запрещённых переменных" - это
характеристика политики default permissive, в противоположность default
restrictive.
> Настоятельно рекомендую использовать env_reset+env_keep.
>
> В очередной сборке sudo (если доберусь) я планирую включить
> env_reset по умолчанию.
>
> Выпускать обновления с пополнениями встроенного списка запрещённых
> переменных я не планирую.
Кому интересно почему, - читайте
http://www.ranum.com/security/computer_security/editorials/dumb/
"Встроенный список запрещённых переменных" - это пункт #2, "Enumerating
Badness".
--
// AB1002-UANIC
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [devel] Дырка в sudo
2005-11-12 15:18 ` Dmitry V. Levin
@ 2005-11-15 12:15 ` Alexey Borovskoy
2005-11-15 12:29 ` Dmitry V. Levin
0 siblings, 1 reply; 11+ messages in thread
From: Alexey Borovskoy @ 2005-11-15 12:15 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 1259 bytes --]
* Воскресенье 13 Ноябрь 2005 03:18 Dmitry V. Levin
> On Sun, Nov 13, 2005 at 02:10:13AM +1200, Alexey Borovskoy
wrote:
> > * Воскресенье 13 Ноябрь 2005 01:19 Dmitry V. Levin
> >
> > > On Sat, Nov 12, 2005 at 10:40:14PM +1200, Alexey Borovskoy
wrote:
> > > > Добрый вечер.
> > > >
> > > > Вот сегодня пришло.
> > > >
> > > > http://www.security.nnov.ru/Hdocument190.html
> > > > http://www.security.nnov.ru/Kdocument36.html
> > > > http://www.security.nnov.ru/Kdocument204.html
> > > >
> > > > Уязвимо sudo до версии 1.6.8p12.
> > >
> > > Запретительная политика (перечисление запрещённых
> > > переменных) принципиально ущербна.
> > >
> > > Настоятельно рекомендую использовать env_reset+env_keep.
> >
> > Какую ручку надо крутить?
>
> Я же только что написал. Детали см в sudoers(5).
>
> > > В очередной сборке sudo (если доберусь) я планирую
> > > включить env_reset по умолчанию.
> >
> > У меня сборочница простаивает.
>
> CPU/Mem=? :)
P3-800 / 512 MB
>
> > Я могу пересобрать, а Вы потом проверите всё ли правильно у
> > меня получилось.
>
> А у вас уже есть что пересобрать? :)
Я подумал что можно взять sudo из updates/2.4 и включить в нем
env_reset+env_keep.
--
Алексей.
GPG key fingerprint
DBB3 1832 13C6 5C96 4A58 4AFF 78F7 159F 66AD 8D7E
[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [devel] Дырка в sudo
2005-11-15 12:15 ` Alexey Borovskoy
@ 2005-11-15 12:29 ` Dmitry V. Levin
2005-11-15 22:32 ` Vitaly Lipatov
0 siblings, 1 reply; 11+ messages in thread
From: Dmitry V. Levin @ 2005-11-15 12:29 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 553 bytes --]
On Wed, Nov 16, 2005 at 12:15:21AM +1200, Alexey Borovskoy wrote:
> > > Я могу пересобрать, а Вы потом проверите всё ли правильно у
> > > меня получилось.
> >
> > А у вас уже есть что пересобрать? :)
>
> Я подумал что можно взять sudo из updates/2.4 и включить в нем
> env_reset+env_keep.
Мне кажется, что такое изменение сломает обратную совместимость сильнее,
чем это принято делать в updates.
Для начала пусть каждый сисадмин добавит себе в /etc/sudoers
Defaults env_reset
и поправит всё, что перестанет работать.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [devel] Дырка в sudo
2005-11-15 12:29 ` Dmitry V. Levin
@ 2005-11-15 22:32 ` Vitaly Lipatov
2005-11-15 22:47 ` Dmitry V. Levin
0 siblings, 1 reply; 11+ messages in thread
From: Vitaly Lipatov @ 2005-11-15 22:32 UTC (permalink / raw)
To: ALT Devel discussion list
On Tuesday 15 November 2005 15:29, Dmitry V. Levin wrote:
> Для начала пусть каждый сисадмин добавит себе в /etc/sudoers
> Defaults env_reset
> и поправит всё, что перестанет работать.
Так наверное надо дать эту рекомендацию параллельно с
уведомлением о проблеме? Я конечно выложил
в wiki.sisyphus.ru/changes...
--
Lav
Виталий Липатов
Санкт-Петербург
GNU! ALT Linux Team! WINE! LaTeX! LyX! http://freesource.info
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [devel] Дырка в sudo
2005-11-15 22:32 ` Vitaly Lipatov
@ 2005-11-15 22:47 ` Dmitry V. Levin
2005-11-16 10:30 ` Andrii Dobrovol`s`kii
0 siblings, 1 reply; 11+ messages in thread
From: Dmitry V. Levin @ 2005-11-15 22:47 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 637 bytes --]
On Wed, Nov 16, 2005 at 01:32:44AM +0300, Vitaly Lipatov wrote:
> On Tuesday 15 November 2005 15:29, Dmitry V. Levin wrote:
>
> > Для начала пусть каждый сисадмин добавит себе в /etc/sudoers
> > Defaults env_reset
> > и поправит всё, что перестанет работать.
> Так наверное надо дать эту рекомендацию параллельно с
> уведомлением о проблеме? Я конечно выложил
> в wiki.sisyphus.ru/changes...
Очевидно, это моя вина, что я использую sudo в таком режиме очень давно, а
рекомендацию дал публично совсем недавно, и умолчание в пакете вовсе ещё
не исправил, хотя планировал сделать это ещё до выпуска ALM2.4.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [devel] Дырка в sudo
2005-11-15 22:47 ` Dmitry V. Levin
@ 2005-11-16 10:30 ` Andrii Dobrovol`s`kii
2005-11-24 11:42 ` [devel] " Michael Shigorin
0 siblings, 1 reply; 11+ messages in thread
From: Andrii Dobrovol`s`kii @ 2005-11-16 10:30 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 1089 bytes --]
Dmitry V. Levin wrote:
> On Wed, Nov 16, 2005 at 01:32:44AM +0300, Vitaly Lipatov wrote:
>
>>On Tuesday 15 November 2005 15:29, Dmitry V. Levin wrote:
>>>Для начала пусть каждый сисадмин добавит себе в /etc/sudoers
>>>Defaults env_reset
>>>и поправит всё, что перестанет работать.
>>
>>Так наверное надо дать эту рекомендацию параллельно с
>>уведомлением о проблеме? Я конечно выложил
>>в wiki.sisyphus.ru/changes...
>
> Очевидно, это моя вина, что я использую sudo в таком режиме очень давно, а
> рекомендацию дал публично совсем недавно, и умолчание в пакете вовсе ещё
> не исправил, хотя планировал сделать это ещё до выпуска ALM2.4.
>
Я рекомендацию вчера выполнил. Вторые сутки полёт нормальный.
--
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua Kyiv, Ukraine
Phone: (380-44) 525-7824 Department of Gas Electronics
Fax: (380-44) 525-2329 Institute of Physics of NASU
*********************************************************************
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 11+ messages in thread
* [devel] Re: Дырка в sudo
2005-11-16 10:30 ` Andrii Dobrovol`s`kii
@ 2005-11-24 11:42 ` Michael Shigorin
0 siblings, 0 replies; 11+ messages in thread
From: Michael Shigorin @ 2005-11-24 11:42 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 396 bytes --]
On Wed, Nov 16, 2005 at 12:30:02PM +0200, Andrii Dobrovol`s`kii wrote:
> Я рекомендацию вчера выполнил. Вторые сутки полёт нормальный.
+1
(уехало подцепление ~user/.vimrc при sudo vim, но это и так
несколько напрягало в принципе, хоть и было удобно; ну да
копирование не отменяли :)
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 11+ messages in thread
end of thread, other threads:[~2005-11-24 11:42 UTC | newest]
Thread overview: 11+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2005-11-12 10:40 [devel] Дырка в sudo Alexey Borovskoy
2005-11-12 13:19 ` Dmitry V. Levin
2005-11-12 14:10 ` Alexey Borovskoy
2005-11-12 15:18 ` Dmitry V. Levin
2005-11-15 12:15 ` Alexey Borovskoy
2005-11-15 12:29 ` Dmitry V. Levin
2005-11-15 22:32 ` Vitaly Lipatov
2005-11-15 22:47 ` Dmitry V. Levin
2005-11-16 10:30 ` Andrii Dobrovol`s`kii
2005-11-24 11:42 ` [devel] " Michael Shigorin
2005-11-14 9:49 ` [devel] " Andrei Bulava
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git