forum.opennet.ru

Составление сообщения

Исходное сообщение

"Спорная ошибка в systemd, позволяющая повысить привилегии, з..."
Отправлено opennews, 02-Июл-17 21:18

В systemd выявлена (https://github.com/systemd/systemd/issues/6237) ошибка, приводящая к выполнению сервисов с правами другого пользвователя, если в параметрах запуска указано имя пользователя, начинающееся с цифры. Например, если в сервисе указан "User=0day" и пользователь 0day присутствует в системе, то сервис будет запущен с идентификатором 0, т.е. с правами root. Леннарт Поттеринг отказался исправлять ошибку и закрыл (https://github.com/systemd/systemd/issues/6237#event-1143774643) уведомление с меткой "not-a-bug".
Позиция Поттеринга: В Linux исторически не разрешено использовать имена пользователей, начинающиеся с цифры, которые считаются некорректными. Например, в утилитах из состава shadow-utils применяется ограничение "[a-z_][a-z0-9_-]*[$]". Подобное ограничение принято чтобы избежать путаницы между передачей UID и имени пользователя в качестве аргументов типовых утилит, которые могут воспринять цифровую часть как цифровой идентификатор пользователя (перевести строку в число), если имя начинается с цифры. В systemd идентификатор пользователя, начинающийся с цифры, приводит к выводу в лог предупреждения, но при попытке запуска сервиса строка будет игнорирована и сервис с "User=0day" будет запущен под UID 0, если пользователь 0day присутствует в системе (если пользователя нет, то попытка выполнения завершится ошибкой). При этом расчёт делается на то, что создание некорректного пользователя, подобного "0day", не должно быть допущено другими компонентами дистрибутива.
Аргументы сторонников исправления подобного поведения: Фактически ограничение на использование цифр в именах в современных реалиях повсеместно не применяется, например, начиная с RHEL 7/CentOS 7 штатный инструментарий дистрибутива позволяет создавать и использовать пользователей, имена которых начинаются с цифры. Стандарт POSIX/IEEE Std 1003.1-2001 не накладывает ограничений по использованию цифр в именах пользователей, а в ситуациях когда допускается обработка и имени и UID требует вначале проверять наличие имени пользователя, и если оно отсутствует воспринимать цифровой идентификатор как UID. В утилитах GNU рекомендуется явно выделять цифровые идентификаторы префиксом "+".
Кроме того, даже если systemd воспринимает имя некорректным, следует вывести ошибку, а не молча запускать сервис под другим пользователем. Некоторые рассматривают проблему как уязвимость, так как если кто-то убедит администратора хоста установить вредоносное ПО под именем пользователя, начинающегося с нуля, и настроить запуск сервиса systemd от этого пользователя, то данное ПО будет выполнено с правами root, а не того непривилегированного пользователя, под которым ожидает выполнения администратор.

URL: https://ma.ttias.be/giving-perspective-systemds-usernames-st.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=46798

Исходное сообщение
"Спорная ошибка в systemd, позволяющая повысить привилегии, з..." Отправлено opennews, 02-Июл-17 21:18
В systemd выявлена (https://github.com/systemd/systemd/issues/6237) ошибка, приводящая к выполнению сервисов с правами другого пользвователя, если в параметрах запуска указано имя пользователя, начинающееся с цифры. Например, если в сервисе указан "User=0day" и пользователь 0day присутствует в системе, то сервис будет запущен с идентификатором 0, т.е. с правами root. Леннарт Поттеринг отказался исправлять ошибку и закрыл (https://github.com/systemd/systemd/issues/6237#event-1143774643) уведомление с меткой "not-a-bug". Позиция Поттеринга: В Linux исторически не разрешено использовать имена пользователей, начинающиеся с цифры, которые считаются некорректными. Например, в утилитах из состава shadow-utils применяется ограничение "[a-z_][a-z0-9_-]*[$]". Подобное ограничение принято чтобы избежать путаницы между передачей UID и имени пользователя в качестве аргументов типовых утилит, которые могут воспринять цифровую часть как цифровой идентификатор пользователя (перевести строку в число), если имя начинается с цифры. В systemd идентификатор пользователя, начинающийся с цифры, приводит к выводу в лог предупреждения, но при попытке запуска сервиса строка будет игнорирована и сервис с "User=0day" будет запущен под UID 0, если пользователь 0day присутствует в системе (если пользователя нет, то попытка выполнения завершится ошибкой). При этом расчёт делается на то, что создание некорректного пользователя, подобного "0day", не должно быть допущено другими компонентами дистрибутива. Аргументы сторонников исправления подобного поведения: Фактически ограничение на использование цифр в именах в современных реалиях повсеместно не применяется, например, начиная с RHEL 7/CentOS 7 штатный инструментарий дистрибутива позволяет создавать и использовать пользователей, имена которых начинаются с цифры. Стандарт POSIX/IEEE Std 1003.1-2001 не накладывает ограничений по использованию цифр в именах пользователей, а в ситуациях когда допускается обработка и имени и UID требует вначале проверять наличие имени пользователя, и если оно отсутствует воспринимать цифровой идентификатор как UID. В утилитах GNU рекомендуется явно выделять цифровые идентификаторы префиксом "+". Кроме того, даже если systemd воспринимает имя некорректным, следует вывести ошибку, а не молча запускать сервис под другим пользователем. Некоторые рассматривают проблему как уязвимость, так как если кто-то убедит администратора хоста установить вредоносное ПО под именем пользователя, начинающегося с нуля, и настроить запуск сервиса systemd от этого пользователя, то данное ПО будет выполнено с правами root, а не того непривилегированного пользователя, под которым ожидает выполнения администратор. URL: https://ma.ttias.be/giving-perspective-systemds-usernames-st.../ Новость: https://www.opennet.ru/opennews/art.shtml?num=46798

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> В systemd выявлена (https://github.com/systemd/systemd/issues/6237) ошибка, приводящая 
> к выполнению сервисов с правами другого пользвователя, если в параметрах запуска 
> указано имя пользователя, начинающееся с цифры. Например, если в сервисе указан 
> "User=0day" и пользователь 0day присутствует в системе, то сервис будет запущен 
> с идентификатором 0, т.е. с правами root. Леннарт Поттеринг отказался исправлять 
> ошибку и закрыл (https://github.com/systemd/systemd/issues/6237#event-1143774643) 
> уведомление с меткой "not-a-bug".

> Позиция Поттеринга: В Linux исторически не разрешено использовать имена пользователей, 
> начинающиеся с цифры, которые считаются некорректными. Например, в утилитах из состава 
> shadow-utils применяется ограничение "[a-z_][a-z0-9_-]*[$]". Подобное ограничение 
> принято чтобы избежать путаницы между передачей UID и имени пользователя в 
> качестве аргументов типовых утилит, которые могут воспринять цифровую часть как цифровой 
> идентификатор пользователя (перевести строку в число), если имя начинается с цифры. 
> В systemd идентификатор пользователя, начинающийся с цифры, приводит к выводу в 
> лог предупреждения, но при попытке запуска сервиса строка будет игнорирована и 
> сервис с "User=0day" будет запущен под UID 0, если пользователь 0day 
> присутствует в системе (если пользователя нет, то попытка выполнения завершится ошибкой). 
> При этом расчёт делается на то, что создание некорректного пользователя, подобного 
> "0day", не должно быть допущено другими компонентами дистрибутива.

> Аргументы сторонников исправления подобного поведения: Фактически ограничение на использование 
> цифр в именах в современных реалиях повсеместно не применяется, например, начиная 
> с RHEL 7/CentOS 7 штатный инструментарий дистрибутива позволяет создавать и использовать 
> пользователей, имена которых начинаются с цифры. Стандарт POSIX/IEEE Std 1003.1-2001 не 
> накладывает ограничений по использованию цифр в именах пользователей, а в ситуациях 
> когда допускается обработка и имени и UID требует вначале проверять наличие 
> имени пользователя, и если оно отсутствует воспринимать цифровой идентификатор как UID. 
> В утилитах GNU рекомендуется явно выделять цифровые идентификаторы префиксом "+".

> Кроме того, даже если systemd воспринимает имя некорректным, следует вывести ошибку, а 
> не молча запускать сервис под другим пользователем. Некоторые рассматривают проблему как 
> уязвимость, так как если кто-то убедит администратора хоста установить вредоносное ПО 
> под именем пользователя, начинающегося с нуля, и настроить запуск сервиса systemd 
> от этого пользователя, то данное ПО будет выполнено с правами root, 
> а не того непривилегированного пользователя, под которым ожидает выполнения администратор.

> URL: https://ma.ttias.be/giving-perspective-systemds-usernames-start-digit-get-root-privileges-bug/ 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=46798

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру