9621 – [SECURITY] gvfs: disabled admin backend

Bug 9621 - [SECURITY] gvfs: disabled admin backend

Summary: [SECURITY] gvfs: disabled admin backend

Status:	RESOLVED FIXED

Alias:	None

Product:	ROSA Fresh
Classification:	ROSA-based products
Component:	Packages from Main (show other bugs)
Version:	All
Hardware:	All Linux

Importance:	High critical
Target Milestone:	---
Assignee:	ROSA Linux Bugs

URL:
Whiteboard:

Depends on:
Blocks:

Reported:	2018-12-28 21:15 MSK by Mikhail Novosyolov
Modified:	2019-01-08 17:36 MSK (History)
CC List:	3 users (show)

See Also:
Platform:	---
ROSA Vulnerability identifier:
RPM Package:
Upstream:

Flags:	v.potapov: qa_verified+ andrey.bondrov: published+

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Mikhail Novosyolov 2018-12-28 21:15:53 MSK

********** QA ADVISORY ***********

Disabled 'admin' backend in gvfs
because it's a very big security hole.

See https://gitlab.gnome.org/GNOME/gvfs/issues/355

https://abf.io/import/gvfs/commit/391751bf38ce49f0b85f990f20cbf9ba5e92f400

**********************************
https://abf.io/build_lists/2956755
https://abf.io/build_lists/2956756
**********************************

Please test it ASAP (протестируйте как можно быстрее, я пошел писать новость на opennet)

Comment 1 Mikhail Novosyolov 2018-12-28 21:31:35 MSK

В представленном https://gitlab.gnome.org/GNOME/gvfs/commit/c7b018d11b9aae5dea4fa436710f0bce78747978 3 года назад бекенде admin GNOME Virtual File System (GVFS) обнаружена критическая уязвимость https://gitlab.gnome.org/GNOME/gvfs/issues/355 , позволяющая непривелигированным пользователям без запроса пароля вносить любые правки в файловую систему с правами root.

Для повышения прав без запроса пароля достаточно убить процесс графического агента аутентификации polkit, работающий от пользователя, что позволяет убить процесс без необходимости повышения прав пользователя. Стоит отметить, что в некоторых DE, например, GNOME и MATE, этот процесс автоматически перезапускается, что, однако, не является защитой от уязвимости.

Для дистрибутива ROSA Fresh выпущено и отправлено на тестирование обновление https://bugzilla.rosalinux.ru/show_bug.cgi?id=9621 , отключающее бекенд GVFS admin до дальнейшего выяснения обстоятельств и появления исправления, закрывающего дыру в безопасности.

Comment 2 Mikhail Novosyolov 2018-12-29 00:37:06 MSK

С polkit что-то не то:

в XFCE в автозапуске нет /usr/lib64/polkit-gnome-authentication-agent-1, в результате, если запустить gnome-disks командой gnome-disks, то есть без костыля https://abf.io/import/gnome-disk-utility/commit/7459a94b59ce70a7195b2704afd288b4eea95685 , "Оценить производительность" выдает ошибку вместо графического окна запроса пароля polkit, а если /usr/lib64/polkit-gnome-authentication-agent-1 запустить вручную, это окно запроса пароля работает.

Проверить права 700 и владельцев polkitd:root директорий из пакета polkit.


Конкретно по этой баге:

проблема с ходу не воспроизводится, gedit просто зависает, однако это следствие других проблем с polkit.

Рекомендация: отправить это обновление в тестинг, т.к. то, что не работало, сломать нельзя, дальше будем разбираться с polkit.

Comment 3 Dmitry Postnikov 2018-12-29 00:49:37 MSK

The update is sent to expanded testing
***************************************

Comment 4 Mikhail Novosyolov 2018-12-29 09:39:29 MSK

Автозапуск polkit-gnome-authentication-agent-1 починили в bug#9623

Comment 5 Vladimir Potapov 2018-12-29 17:34:53 MSK

(In reply to Mikhail Novosyolov from comment #4)
> Автозапуск polkit-gnome-authentication-agent-1 починили в bug#9623
Ну, скорее костылировали т.к. в gnome все работает и без этого

Comment 6 Vladimir Potapov 2019-01-08 08:38:54 MSK

gvfs-1.36.2-3
https://abf.io/build_lists/2956755
https://abf.io/build_lists/2956756
****************************** Advisory ****************************
Disabled 'admin' backend in gvfs
********************************************************************
QA Verified