9621 2018-12-28 21:15:53 +0300 [SECURITY] gvfs: disabled admin backend 2019-01-08 17:36:52 +0300 1 1 2 ROSA-based products ROSA Fresh Packages from Main All All Linux RESOLVED FIXED High critical --- 1 m.novosyolov bugs andrey.bondrov pastordidi v.potapov --- oldest_to_newest 51123 0 m.novosyolov 2018-12-28 21:15:53 +0300 ********** QA ADVISORY *********** Disabled 'admin' backend in gvfs because it's a very big security hole. See https://gitlab.gnome.org/GNOME/gvfs/issues/355 https://abf.io/import/gvfs/commit/391751bf38ce49f0b85f990f20cbf9ba5e92f400 ********************************** https://abf.io/build_lists/2956755 https://abf.io/build_lists/2956756 ********************************** Please test it ASAP (протестируйте как можно быстрее, я пошел писать новость на opennet) 51125 1 m.novosyolov 2018-12-28 21:31:35 +0300 В представленном https://gitlab.gnome.org/GNOME/gvfs/commit/c7b018d11b9aae5dea4fa436710f0bce78747978 3 года назад бекенде admin GNOME Virtual File System (GVFS) обнаружена критическая уязвимость https://gitlab.gnome.org/GNOME/gvfs/issues/355 , позволяющая непривелигированным пользователям без запроса пароля вносить любые правки в файловую систему с правами root. Для повышения прав без запроса пароля достаточно убить процесс графического агента аутентификации polkit, работающий от пользователя, что позволяет убить процесс без необходимости повышения прав пользователя. Стоит отметить, что в некоторых DE, например, GNOME и MATE, этот процесс автоматически перезапускается, что, однако, не является защитой от уязвимости. Для дистрибутива ROSA Fresh выпущено и отправлено на тестирование обновление https://bugzilla.rosalinux.ru/show_bug.cgi?id=9621 , отключающее бекенд GVFS admin до дальнейшего выяснения обстоятельств и появления исправления, закрывающего дыру в безопасности. 51126 2 m.novosyolov 2018-12-29 00:37:06 +0300 С polkit что-то не то: в XFCE в автозапуске нет /usr/lib64/polkit-gnome-authentication-agent-1, в результате, если запустить gnome-disks командой gnome-disks, то есть без костыля https://abf.io/import/gnome-disk-utility/commit/7459a94b59ce70a7195b2704afd288b4eea95685 , "Оценить производительность" выдает ошибку вместо графического окна запроса пароля polkit, а если /usr/lib64/polkit-gnome-authentication-agent-1 запустить вручную, это окно запроса пароля работает. Проверить права 700 и владельцев polkitd:root директорий из пакета polkit. Конкретно по этой баге: проблема с ходу не воспроизводится, gedit просто зависает, однако это следствие других проблем с polkit. Рекомендация: отправить это обновление в тестинг, т.к. то, что не работало, сломать нельзя, дальше будем разбираться с polkit. 51127 3 pastordidi 2018-12-29 00:49:37 +0300 The update is sent to expanded testing *************************************** 51131 4 m.novosyolov 2018-12-29 09:39:29 +0300 Автозапуск polkit-gnome-authentication-agent-1 починили в bug#9623 51137 5 v.potapov 2018-12-29 17:34:53 +0300 (In reply to Mikhail Novosyolov from comment #4) > Автозапуск polkit-gnome-authentication-agent-1 починили в bug#9623 Ну, скорее костылировали т.к. в gnome все работает и без этого 51200 6 v.potapov 2019-01-08 08:38:54 +0300 gvfs-1.36.2-3 https://abf.io/build_lists/2956755 https://abf.io/build_lists/2956756 ****************************** Advisory **************************** Disabled 'admin' backend in gvfs ******************************************************************** QA Verified