Образы Fedora Linux для облачных систем создавались c пустым паролем для активного аккаунта root

24.05.2013 23:55

Разработчики проекта Fedora сообщили о выявлении уязвимости (CVE-2013-2069) в инструментарии livecd-tools, которая приводила к созданию образов облачных окружений с пустым паролем пользователя root, без установки признака блокировки данного аккаунта. Локальный пользователь окружения, в том числе создаваемый по умолчанию, мог получить права пользователя root, выполнив su без ввода пароля. Удалённый вход под пользователем с пустым паролем по умолчанию заблокирован в OpenSSH. Проблема усугубляется тем, что она затронула официальные AMI-образы Fedora 15, 16, 17 и 18 , подготовленные для облачного сервиса Amazon.

исправить +8 +/–

Главная ссылка к новости (http://lists.fedoraproject.org...)

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/37016-fedora

Ключевые слова: fedora, security, cloud

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (47)

1.1, Аноним (-), 00:21, 25/05/2013 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]	+39 +/–
Эх, не тот дистрибутив название сменил, ой не тот.

2.3, хрюкотающий зелюк (?), 00:54, 25/05/2013 [^] [^^] [^^^] [ответить] [к модератору]	+9 +/–
Шел сюда писать коммент с аналогичной мыслью :)

3.15, Miha (??), 09:04, 25/05/2013 [^] [^^] [^^^] [ответить] [к модератору]	+5 +/–
> Шел сюда писать коммент с аналогичной мыслью :) Блин, последнее время читать тут камменты с утра стало полезно для здоровья. Несколько минут хорошего смеха заряжают на весь день :)

4.16, anonimous (?), 09:10, 25/05/2013 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Пояните шутку убогим вроде меня, пожалуйста.

5.17, Аноним (-), 09:58, 25/05/2013 [^] [^^] [^^^] [ответить] [к модератору]	+2 +/–
http://habrahabr.ru/post/180663/

6.31, Дядя_Федор (?), 18:48, 25/05/2013 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
Они уже осознали. :) http://zenit.senecac.on.ca/wiki/index.php/Pidora_Russian

7.32, AlexAT (ok), 19:47, 25/05/2013 [^] [^^] [^^^] [ответить] [к модератору]	+4 +/–
> Они уже осознали. :) http://zenit.senecac.on.ca/wiki/index.php/Pidora_Russian Мб для прикола предложить им переименоваться в Fedorasp?

1.2, Аноним (-), 00:30, 25/05/2013 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+3 +/–
Пидорасы, сэр

2.4, anonymous (??), 01:05, 25/05/2013 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+3 +/–
точно, должны были втихаря молчать и не исправлять - никто бы на форумах не ругал.

3.11, anonymous (??), 05:45, 25/05/2013 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
В хорошем смысле. http://pidora.ca .

4.33, Четланин (?), 21:08, 25/05/2013 [^] [^^] [^^^] [ответить] [к модератору]	–2 +/–
Западло на такой сайт заходить, "законтаченым" станешь!!! :)

5.36, Легион (?), 00:23, 26/05/2013 [^] [^^] [^^^] [ответить] [к модератору]	+/–
вы про vk.ком?

5.43, anonymous (??), 16:31, 26/05/2013 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> Западло на такой сайт заходить, "законтаченым" станешь!!! :) Ты e-mail хоть раз в жизни отправлял/получал?

2.29, Аноним (-), 17:36, 25/05/2013 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+1 +/–
Фидорасы

1.5, Анонище (?), 01:10, 25/05/2013 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+3 +/–
Облака, Федора, рут без пароля. Очень высокотехнологично и современно.

2.6, pavlinux (ok), 01:21, 25/05/2013 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+14 +/–
Выросло поколение поттерингов - амбиций, понтов и газификации луж больше, чем мозгов.

3.12, anonymous (??), 05:46, 25/05/2013 [^] [^^] [^^^] [ответить] [к модератору]	+6 +/–
Павлин обычно фигню пишет, но в этот раз я с ним согласен.

3.13, Пр0х0жий (ok), 06:42, 25/05/2013 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
В десятку. Коротко, точно и ясно озвучено.

3.14, Аноним (-), 07:02, 25/05/2013 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Ну так что, удобно же. Вбабахал su - и тебе все можно. Все для удобства пользователя, мля :).

2.7, Карбофос (ok), 01:33, 25/05/2013 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+2 +/–
Стильно, модно, молодёжно

3.8, Аноним (-), 02:21, 25/05/2013 [^] [^^] [^^^] [ответить] [к модератору]	+3 +/–
Современно, удобно, юзер-ориентированно

1.9, UraniumSun (?), 04:38, 25/05/2013 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+1 +/–
Сборище дегенератов

2.35, Аноним (-), 22:57, 25/05/2013 [^] [^^] [^^^] [ответить] [к модератору]	+2 +/–
самокритично

3.41, UraniumSun (?), 11:53, 26/05/2013 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Я про разработчиков Fedora

4.44, Нанобот (?), 17:06, 26/05/2013 [^] [^^] [^^^] [ответить] [к модератору]	+/–
А со стороны больше похоже, что о себе и своих одноклассниках

5.45, Аноним (-), 18:39, 26/05/2013 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
> А со стороны больше похоже, что о себе и своих одноклассниках Он имел в виду всех лун@ходов.

1.10, Buy (ok), 04:38, 25/05/2013 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+1 +/–
Эпично!

2.47, Аноним (-), 20:31, 26/05/2013 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
и эстетично одновременно

1.18, Int (?), 10:10, 25/05/2013 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]	+5 +/–
Ахаха Федора что ты делаешь ахаха прекрати

1.19, Zenitur (ok), 11:03, 25/05/2013 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]	+1 +/–
В Sabayon приходится догадываться что пароль root - "root", а в Pardus пароль root "toor" показывают перед стартом иксов. А в большинстве дистрибутивов Linux на LiveCD root добывается просто по "su". Потому что они на LiveCD и пароль root в этом случае не очевиден для пользователя.

2.30, Аноним (-), 17:45, 25/05/2013 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
>А в большинстве дистрибутивов Linux на LiveCD root добывается просто по "su". Потому что они на LiveCD и пароль root в этом случае не очевиден для пользователя. su и sudo не путаем?

3.34, Zenitur (ok), 21:28, 25/05/2013 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
Знаю только один LiveCD дистрибутив Linux с "sudo". Остальные с "su".

2.37, Аноним (-), 02:42, 26/05/2013 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
Вот только live CD - readonly и грузится обычно пользователем за монитором, чтобы систему посмотреть. Сервак по такой технологии делать глупо. А вот образ для облака - он, сцyко, в реальную эксплуатацию может запускаться. И вот там это уже вполне себе будет дырой, позволяющей вообще любому кто хоть что-то подломил хоть самую капельку вполне себе полноценную такую эскалацию прав до настоящего рута. То-есть любая даже самая мизерная дырка позволяющая выполнение кода приведет к полной компрометации системы вплоть до впихивания в нее руткита.

3.51, Аноним (-), 12:52, 28/05/2013 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> ... И вот там это уже вполне себе будет дырой, позволяющей вообще любому кто хоть что-то подломил хоть самую капельку вполне себе полноценную такую эскалацию прав до настоящего рута... ...и в группе wheel

1.20, AlexAT (ok), 11:53, 25/05/2013 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+2 +/–
Вообще ВСЕХ заставить делать пустой пароль root по умолчанию. Чтобы даже последний идиот знал, что его надо МЕНЯТЬ после развертывания системы.

2.23, тоже Аноним (ok), 13:24, 25/05/2013 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+4 +/–
Корпорация Майкрософт в своей неусыпной инновационной работе уже однажды провела подобный эксперимент. Естественно, отразив в документации необходимость ограничения использования учетной записи администратора...

3.24, AlexAT (ok), 14:22, 25/05/2013 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> Корпорация Майкрософт в своей неусыпной инновационной работе уже однажды провела подобный > эксперимент. Естественно, отразив в документации необходимость ограничения использования > учетной записи администратора... Дык, кто хочет - пусть не ограничивает. ССЗБ.

4.39, Аноним (-), 02:44, 26/05/2013 [^] [^^] [^^^] [ответить] [к модератору]

+1 +/–

> Дык, кто хочет - пусть не ограничивает. ССЗБ.

Не, не только сам себе, к сожалению. Спам, флуд, ддосы и прочая потом достаются не только злобному баклану но и остальным участникам сети. А вот это уже плохо...

2.38, Аноним (-), 02:43, 26/05/2013 [^] [^^] [^^^] [ответить] [↑] [к модератору]

+/–

> идиoт знал, что его надо МЕНЯТЬ после развертывания системы.

В winXP уже было. Оказалось что идиoтов таки многовато - спам с них потом валится очень уж активно.

1.21, YetAnotherOnanym (ok), 12:00, 25/05/2013 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]	+5 +/–
И что за трагедия? Первым, о чём должен задуматься человек, установивший ОС или развернувший образ в облаке - поменять все дефолтные пароли, какие есть (включая snmp community, pg_hba.conf и всё такое). Тут без разницы - пустой пароль, или "root", или ${имядистра}, или что-то ещё общеизвестное.

1.22, Anonim (??), 12:11, 25/05/2013 [ответить] [﹢﹢﹢] [ · · · ] [к модератору]	+/–
Разработчики мельчают. Мало кто хочет делать что-то хорошо на тех же условиях что ираньше

1.25, Аноним (-), 15:34, 25/05/2013 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]	+2 +/–
наверно было бы лучше, если бы >Образы Fedora Linux для облачных систем создавались cо случайным паролем из 64 символов, неизвестным пользователю для активного аккаунта root

2.26, AlexAT (ok), 15:37, 25/05/2013 [^] [^^] [^^^] [ответить] [к модератору]	+2 +/–
И отсутствием других аккаунтов + шифрованной FS.

3.40, Аноним (-), 02:45, 26/05/2013 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
> И отсутствием других аккаунтов + шифрованной FS. Так по крайней мере взломщики с них спамить и ддосить не будут, так что я за этот вариант :)

1.49, Аноним (-), 00:50, 27/05/2013 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]	+/–
имхо, по хорошему вообще вредно использовать в облаках что-либо кроме шапки и дэб...

1.50, Аноним (-), 12:28, 27/05/2013 [ответить] [﹢﹢﹢] [ · · · ] [к модератору]	+1 +/–
Пидора Линакс! Крута!

2.52, Аноним (-), 12:56, 28/05/2013 [^] [^^] [^^^] [ответить] [к модератору]	+/–
<img src="слоупок.jpg"></img>

игнорирование участников | лог модерирования

Добавить комментарий

Имя:

E-Mail:

Текст: