Уязвимость в GVFS admin

#1

Источник - http://www.opennet.ru/opennews/art.shtml?num=49871

В представленном 3 года назад GVFS-бекенде admin (GNOME Virtual File System) обнаружена критическая уязвимость, позволяющая непривелигированным пользователям без запроса пароля вносить любые правки в файловую систему с правами root.

Для повышения прав без запроса пароля достаточно принудительно завершить процесс графического агента аутентификации polkit. Указанный процесс работает с правами текущего пользователя, что позволяет завершить его без наличия повышенных привилегий. Так как бэкенд admin корректно не обрабатывает ситуацию недоступности polkit, который применяется для определения имеющихся у пользователя дополнительных полномочий, после прекращения работы процесса polkit (polkit-gnome-authentication-agent-1), например, достаточно запустить "nautilus admin:///root" для доступа к /root или "gedit admin:///etc/sudoers" для редактирования /etc/sudoers, не имея на это полномочий.

Стоит отметить, что в некоторых пользовательских окружениях, например, в GNOME и MATE, процесс polkit автоматически перезапускается, что, однако, не является защитой от уязвимости. Для дистрибутива ROSA Fresh выпущено и отправлено на тестирование обновление, отключающее бекенд GVFS admin до дальнейшего выяснения обстоятельств и появления исправления, закрывающего брешь в безопасности.

От себя добавлю что gvfs используется почти на любом дистре, уязвимость судя по всему легко воспроизвести, так что Минт в любой редакции это касается в полной мере.

#2

Если верить тому, что там уже обсудили в комментах - нас это вообще не касается, т.к. для того чтобы вылезло - в дистрибутиве должна быть и использоваться группа wheel. Именно с этим именем, а не ее функциональный аналог. У нас в минтах такой нету.

А вот arch с manjaro вляпались в полной мере - собственно в трекере issue завели именно с арчем в качестве примера.

#3

slant, Я днем проверю на VB, но думаю сработает

Судя по выхлопу моего минта, пользователь по умолчанию находится в группах sudo и adm

#4

В том то и дело что у нас именно adm вместо wheel. А косяк, если верить комментам намертво завязан именно на имя группы, т.к. оно проверяется в обход нормальной процедуры и политик.

#5

zuzabrik писал(а): ↑
29 дек 2018, 01:32
Стоит отметить, что в некоторых пользовательских окружениях, например, в GNOME и MATE, процесс polkit автоматически перезапускается, что, однако, не является защитой от уязвимости.

Пробовал воспроизвести на LM 19.1 Cinnamon, таки да, перезапускается. Как его вырубить намертво не додумался.
Писал нечто типа kill -SIGKILL pid && xed admin:///etc/sudoers но polkit восстает из мертвых и все равно пароль запрашивается.

#6

zuzabrik писал(а): ↑
10 янв 2019, 06:44
admin:///etc/sudoers

В 19 появились такие пути? Что ж они там курят