Sziasztok! On Thu, Jan 26, 2006 at 02:55:51PM +0100, Bajnok Kristóf wrote: > On Thursday 26 January 2006 14:23, Kiss Gabor wrote: > > > a napokban frissitett gepeimnel egy sudo bash utah nem allitodik be a > > > HOME kornyezeti valtozo... > > > > Most kuzdottem at magam az osszes gepem sudoers file-jan: > > > > Defaults env_reset > > Defaults env_keep = HOME > > Az ssh X forwarding megy igy, sudo utan? Nekem az ugrade ota nem :(
Erdemes lenne megnezni a DISPLAY valtozot. Sot celszeru lenne talan egyszerre atnezni az osszeset. Mi is a problema? A lenyeg az, hogy a debian-osok (velemenyem szerint teljesen helyesen) meguntak, hogy folyamatosan biztonsagi hibak vannak a sudo kornyezeti valtozo kezeleseben. A problemat velemenyem szerint ott kovettek el, hogy stabil szeriaban kisse durva egy ilyen nagy hordereju valtoztatas. Mi is okozta a biztonsagi problemat? A lenyeg, hogy a sudo atvitt minden kornyezeti valtozot ami nem szerepelt egy blacklist-en. Miert baj ez? A gond az, hogy a sudo-val elinditott programra hatnak az atvitt kornyezeti valtozok. Nemreg talaltak pl. egyet ami a perl modulok keresesi utvonalat befolyasolja. Nyilvanvalo, hogy ha egy perl script-re sudo joga van valakinek az pillanatok alatt root jogokat szerezhetett. Meg ki sem jott a javitas, es mar talaltak ilyen valtozot python-ra is. A helyzetet nem ismerem, de gondolom a debian maintainer-nel itt tort el a mecses. Kihozzak ugyan a javitast, de ki garantalja, hogy egy-ket nap utan nem talalnak ismet valami hasonlo valtozot? Az ilyen rendszereket (mint minden valtozot atviszunk ami nincs blacklist-en) hivjak fail open rendszernek, azaz a hibazas a nyitott iranyba tortenik. Az ilyen rendszerek hibatlansagaban sosem lehetsz biztos. Ha igy nezzuk, akkor teljesen jogos volt, hogy a debian-os maintainer a fail-safe megoldast valasztotta, azaz semmit sem viszunk at, amit valaki nem explicit engedelyezett. Mas kerdes, hogy kisse durva volt, es pont egy stabil szeria kozepen valtott. :-( Erdemes egyebkent megjegyezni, hogy ez a valtas debian specifikus, a hivatalos sudo csomagba egyszeruen betettek azt a nehany perl-es valtozot (es a python hasonlo valtozoit meg mindig nem epitettek be). Udv Bozo _________________________________________________ linux lista - [email protected] http://mlf2.linux.rulez.org/mailman/listinfo/linux
