Bug 9621

Summary: [SECURITY] gvfs: disabled admin backend
Product: [ROSA-based products] ROSA Fresh Reporter: Mikhail Novosyolov <m.novosyolov>
Component: Packages from MainAssignee: ROSA Linux Bugs <bugs>
Status: RESOLVED FIXED    
Severity: critical CC: andrey.bondrov, pastordidi, v.potapov
Priority: High Flags: v.potapov: qa_verified+
andrey.bondrov: published+
Version: All   
Target Milestone: ---   
Hardware: All   
OS: Linux   
Whiteboard:
Platform: --- ROSA Vulnerability identifier:
RPM Package: Upstream:

Description Mikhail Novosyolov 2018-12-28 21:15:53 MSK 
********** QA ADVISORY ***********

Disabled 'admin' backend in gvfs
because it's a very big security hole.

See https://gitlab.gnome.org/GNOME/gvfs/issues/355

https://abf.io/import/gvfs/commit/391751bf38ce49f0b85f990f20cbf9ba5e92f400

**********************************
https://abf.io/build_lists/2956755
https://abf.io/build_lists/2956756
**********************************

Please test it ASAP (протестируйте как можно быстрее, я пошел писать новость на opennet)
Comment 1 Mikhail Novosyolov 2018-12-28 21:31:35 MSK 
В представленном https://gitlab.gnome.org/GNOME/gvfs/commit/c7b018d11b9aae5dea4fa436710f0bce78747978 3 года назад бекенде admin GNOME Virtual File System (GVFS) обнаружена критическая уязвимость https://gitlab.gnome.org/GNOME/gvfs/issues/355 , позволяющая непривелигированным пользователям без запроса пароля вносить любые правки в файловую систему с правами root.

Для повышения прав без запроса пароля достаточно убить процесс графического агента аутентификации polkit, работающий от пользователя, что позволяет убить процесс без необходимости повышения прав пользователя. Стоит отметить, что в некоторых DE, например, GNOME и MATE, этот процесс автоматически перезапускается, что, однако, не является защитой от уязвимости.

Для дистрибутива ROSA Fresh выпущено и отправлено на тестирование обновление https://bugzilla.rosalinux.ru/show_bug.cgi?id=9621 , отключающее бекенд GVFS admin до дальнейшего выяснения обстоятельств и появления исправления, закрывающего дыру в безопасности.
Comment 2 Mikhail Novosyolov 2018-12-29 00:37:06 MSK 
С polkit что-то не то:

в XFCE в автозапуске нет /usr/lib64/polkit-gnome-authentication-agent-1, в результате, если запустить gnome-disks командой gnome-disks, то есть без костыля https://abf.io/import/gnome-disk-utility/commit/7459a94b59ce70a7195b2704afd288b4eea95685 , "Оценить производительность" выдает ошибку вместо графического окна запроса пароля polkit, а если /usr/lib64/polkit-gnome-authentication-agent-1 запустить вручную, это окно запроса пароля работает.

Проверить права 700 и владельцев polkitd:root директорий из пакета polkit.


Конкретно по этой баге:

проблема с ходу не воспроизводится, gedit просто зависает, однако это следствие других проблем с polkit.

Рекомендация: отправить это обновление в тестинг, т.к. то, что не работало, сломать нельзя, дальше будем разбираться с polkit.
Comment 3 Dmitry Postnikov 2018-12-29 00:49:37 MSK 
The update is sent to expanded testing
***************************************
Comment 4 Mikhail Novosyolov 2018-12-29 09:39:29 MSK 
Автозапуск polkit-gnome-authentication-agent-1 починили в bug#9623
Comment 5 Vladimir Potapov 2018-12-29 17:34:53 MSK 
(In reply to Mikhail Novosyolov from comment #4)
> Автозапуск polkit-gnome-authentication-agent-1 починили в bug#9623
Ну, скорее костылировали т.к. в gnome все работает и без этого
Comment 6 Vladimir Potapov 2019-01-08 08:38:54 MSK 
gvfs-1.36.2-3
https://abf.io/build_lists/2956755
https://abf.io/build_lists/2956756
****************************** Advisory ****************************
Disabled 'admin' backend in gvfs
********************************************************************
QA Verified