| |
| 2.30, Аноним (30), 08:07, 29/12/2018 [^] [^^] [^^^] [ответить]
| +4 +/– |
Вашу бы энергию, да в коммиты - ревьвьюветь, а то только яструя
| | |
| |
| 3.83, Аноним (83), 16:03, 30/12/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
А зачем пытаться делать лучше что-то что уже broken beyond repair?
А глумление над пользователями гнома преследует очень важную цель - острацизм социальных групп использующих software broken beyond repair. Любой пользователь гнома должен понимать и осознавать по какой причине к нему относятся как к умственно-отсталому.
| | |
|
| 2.61, EuPhobos (ok), 17:08, 29/12/2018 [^] [^^] [^^^] [ответить]
| +/– |
 Какой "нездравый" 0дмин будет добавлять всех пользователей в группу wheel на секьюрной машине??
| | |
|
| 1.4, Аноним (4), 23:33, 28/12/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
gentoo, gnome 3.30, в процессах есть только polkitd(запущен из под сис пользователя polkitd)
nautilus admin:///root - требует пароля рута
| | |
| |
| |
| |
| 4.45, Анониммм (?), 13:10, 29/12/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Не поменял,а добавил.Удали тунар,а потом приходи поведать,что вышло.)
| | |
| |
| 5.49, commiethebeastie (ok), 15:05, 29/12/2018 [^] [^^] [^^^] [ответить]
| +/– |
 > Не поменял,а добавил.Удали тунар,а потом приходи поведать,что вышло.)
thunar
bash: thunar: команда не найдена
extra/thunar 1.8.2-1 (xfce4) <-- тут нет информации о том, что он установлен
Modern file manager for Xfce
Может быть у тебя венда без explorer.exe и не работает, а для xfce4 thunar не является обязательным.
| | |
| |
| 6.56, Анониммм (?), 16:45, 29/12/2018 [^] [^^] [^^^] [ответить]
| –3 +/– |
Сказки нам тут не рассказывай.При удалении тунара он утянет за собой очень много чего по зависимостям,делая систему неработоспособной.Я сижу на флюксе,следовательно компонентов крысы у меня в системе нет,при установке Thunar: 1.6.15 тянет за собой
libexo: 0.12.2
xfce4-panel: 4.12.2
garcon: 0.6.1
xfce4-tumbler: 0.2.3
При его удалении из Xfce,установленного мета пакетом, понятенет больше.Ещё раз : сказки нам тут не рассказывай.
| | |
| |
| 7.60, арчевод (?), 17:02, 29/12/2018 [^] [^^] [^^^] [ответить] | +3 +/– | pacman -Q xfce4-tumbler tumbler xfce4-panel libexo exo garcon ошибка пакет x... большой текст свёрнут, показать | | |
| 7.73, анним (?), 21:22, 29/12/2018 [^] [^^] [^^^] [ответить]
| +/– |
Это совсем разные вещи - зависимости и зависимые.
В вашем случае надо было установленные зависимые для Thunar.
| | |
| 7.75, Анонн (?), 22:07, 29/12/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Сказки нам тут не рассказывай.
Эта штука называется обратные зависимости.
% pkg rquery %rn thunar
xfce4-desktop
squeeze
thunar-vcs-plugin
thunar-media-tags-plugin
thunar-archive-plugin
усе.
> не знаю базовых вещей но
> Я сижу на флюксе [и имею высказать вам всем очень ценное мнение]
Яснопонятно.
| | |
| 7.77, commiethebeastie (ok), 23:05, 29/12/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Сказки нам тут не рассказывай.При удалении тунара он утянет за собой очень
> много чего по зависимостям,делая систему неработоспособной.Я сижу на флюксе,следовательно
> компонентов крысы у меня в системе нет,при установке Thunar: 1.6.15 тянет
> за собой
> libexo: 0.12.2
> xfce4-panel: 4.12.2
> garcon: 0.6.1
> xfce4-tumbler: 0.2.3
> При его удалении из Xfce,установленного мета пакетом, понятенет больше.Ещё раз : сказки
> нам тут не рассказывай.
То что твой дистрибутив говно, это не значит что xfce4 не работает без thunar'а.
| | |
|
|
|
|
|
|
| 1.6, Аноним (6), 23:39, 28/12/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
О г-споди, я в i3, никакого polkitd в процессах нет, запускаю nautilus admin:///root, и там [слово на "б"] всё видно на [слово на "х"]. Вот это дырень так дырень, [слово на "с"]...
С другой стороны, если юзверь не в sudoers, то admin: содержимое недоступно. Но тем не менее.
| | |
| |
| 2.9, Андрей (??), 23:54, 28/12/2018 [^] [^^] [^^^] [ответить]
| +8 +/– |
 Привет, я автор того issue.
Пользователь должен быть в группе wheel, чтобы это работало.
Тем не менее, у меня группа wheel настроена спрашивать пароль при выполнении sudo, так что уязвимость вполне реальная, особенно с учётом того, что почти всегда на персональных компах основной и единственный не системный юзер состоит в этой группе.
С другой стороны вопрос к качеству кода :) - по сути оно проверяет, состоит ли человек в группе wheel, при этом абсолютно игнорирует уже существующую систему sudoers, в которой настроено, что может делать wheel. А некоторые люди используют группу sudo для тех же целей, и никогда не встречают этой проблемы, потому что проверяется именно wheel))
Из-за этого проблема будет воспроизводиться не на всех дистрибутивах.
| | |
| |
| 3.10, mikhailnov (ok), 23:59, 28/12/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
 В Debian wheel в этом правиле заменена на sudo, a sudoers не имеет отношения к polkitd
| | |
| |
| 4.24, Андрей (??), 04:35, 29/12/2018 [^] [^^] [^^^] [ответить]
| +/– | |
Не знал, что заменена, тогда конкретно тут вопросов нет.
Про то что polkit не связан с sudoers я знаю (неожиданно :)). Я скорее имел в виду (дальше идёт ИМХО) это:
Полкит встроен во многие современные дистрибутивы, при этом пользователь может быть не в курсе его существования. При этом этот человек скорее всего знает про sudoers, может там что-то подкрутил под себя, но при этом он не знает что группа wheel, которую он настроил, и которую он раздает каким-либо пользователями, может иметь абсолютно независимое от его настроек поведение (в принципе так и получилось в этой уязвимости).
В общем это все скорее вопрос дизайна, так что сказать мне больше нечего.
| | |
| |
| 5.34, mikhailnov (ok), 09:22, 29/12/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
Там, где у меня это воспроизводится, при запущенном агенте аутентификации запрашивается пароль. Если убить агента, пароль не запрашивается. Когда посмотрел то правило polkit, сходу не понял, почему вообще пароль запрашивался, по правилу вроде не должен. По сути дела абсолютно любой процесс, запущенный с правами юзера, может воспользоваться этим для внесения изменений в систему.
Похоже, и автор правила перекурил, и где-то еще есть ошибки.
| | |
|
|
| 3.20, Ordu (ok), 03:15, 29/12/2018 [^] [^^] [^^^] [ответить] | +/– |  Мне кажется тут путаница какая-то Группа wheel даёт право запускать sudo, su и ... большой текст свёрнут, показать | | |
| |
| 4.25, Андрей (??), 04:40, 29/12/2018 [^] [^^] [^^^] [ответить]
| +/– |
В соседнем комментарии есть пояснение, что я имел в виду.
Я не подразумевал, что что-то куда-то должно оглядываться, жаль что случилось недопонимание)
| | |
|
| 3.39, Аннонниммм (?), 10:14, 29/12/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Где-то более года назад, когда меня еще интересовали новости в GNOME, произошла следующая ситуация. Вызываю я в нем nautilus через polkit-gnome (authentication agent) в Arch Linux и ввожу при этом неправильный пароль. Ничего, естественно, не получилось. Вызываю снова.. Открывается GUI запрос пароля и, передумав его вводить, я нажимаю два раза <Esc>. И тут мне открывается без ввода пароля nautilus с правами на полный доступ, редактирование и удаление чего угодно. Было весело. Не знаю, как сейчас. Проверьте...
| | |
|
|
| |
| 2.17, Аноним (17), 00:18, 29/12/2018 [^] [^^] [^^^] [ответить]
| +/– |
Уязвимость в gvfs, поскольку для него равнозначны ответы «authentication backend is not available» и «authentication succeed».
| | |
| |
| 3.18, AnonPlus (?), 01:09, 29/12/2018 [^] [^^] [^^^] [ответить]
| +4 +/– |
Охранник на проходной ушёл, так что пущаем всех, вместо того, чтобы закрыть проходную до прихода сменщика.
| | |
|
|
| 1.19, Аноним (19), 02:25, 29/12/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Как gvfs вообще это делает? Ему же надо повысить привилегии, но как, если polkit и sudo недоступны, а бинари gvfsd не установлены со suid?
| | |
| 1.21, Аноним (-), 03:30, 29/12/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
Автор с товарищем сами написали ишью, сами "пофиксили" поведение в своём дистре, и сами написали новость об этом тут. До какой-либо реакции со стороны разработчиков gvfs.
| | |
| |
| 2.46, Анонн (?), 13:21, 29/12/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Пожтому ставьте OS 3.0 там нету gvfs , но можно поставить
% pkg size gvfs
0.00B
| | |
|
| 1.29, Аноним (29), 07:26, 29/12/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
polkit, gvfs, dbus, pulseaudio... Загадили, блин, мой линукс. Где мой KDE2 без этого говна? Даже KDE начиная с версии 3.5 от этого зависит!
| | |
| |
| 2.44, Zenitur (ok), 12:48, 29/12/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Давайте представим, что Матрица работает на UNIX. Там есть группа users, пользователи которых имеют некие средние характеристики. Пользователи могут увеличить себе характеристики при помощи тренировок, но есть некий теоретический лимит для значений.
Ещё есть группа agents, имеющая те хе характеристики, помноженные на 10. Они могут уничтожить любого члена группы users - но не могут, например, видеть всю карту, смотреть сквозь стены, и любоваться программным кодом предметов вокруг.
И вот возникает форс-мажорная ситуация. Появляется некий Мистер Андерсен, который ставит под угрозу стабильность работы Матрицы. Тогда agents запрашивают при помощи polkit повышение привелегий: возможность видеть, где находится Мистер Андерсен, в любой момент времени.
А как вы себе представляете это иначе? Давать временно root Смиту?
Polkit позволяет точечно дать права приложению k3b, Brasero или Nero Linux, не добавляя пользователя в группу cdrom. Приложение запросит права у Polkit, а тот, в свою очередь, сделает одно из трёх: дать права, показать gksu с просьбой ввести пароль root, или отказать. В теории, если конфиги Polkit расписаны достаточно подробно, то юзера вообще можно теперь не добавлять ни в какие группы, кроме users
| | |
| |
| 3.52, Аноним (53), 15:43, 29/12/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
Ты б ещё "Чапаева" в пример привёл. Кто Матрицу видели уже померли почти все. Этож чёрти каких годов кинцо.
| | |
|
| |
| 3.54, Анонн (?), 16:14, 29/12/2018 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Не забудь проплатить под FreeBSD
% pkg size gvfs
0.00B
# ps auxfw|grep -c "[p]olk"
0
% pkg search dolphin
dolphin-18.12.0 KDE filemanager dolphin
% pkg search 5-plasma
kf5-plasma-framework-5.53.0 KF5 plugin based UI runtime used to write user interfaces
plasma5-plasma-5.12.7 KDE5 plasma meta port
Завидуйте молча!
| | |
|
| 2.57, Аноним (57), 16:48, 29/12/2018 [^] [^^] [^^^] [ответить]
| +/– | |
>polkit, gvfs, dbus, pulseaudio... Загадили, блин, мой линукс. Где мой KDE2 без этого говна?
А ты уверен, что в DCOP не было дыр?
| | |
| |
| 3.80, Аноним (29), 11:33, 30/12/2018 [^] [^^] [^^^] [ответить]
| +/– |
Ну конечно были. KDE-шники молодцы, что DCOP запускается (запускался) с сессией KDE, а не через /etc/init.d/dcop. В GNOME так делает, например, PulseAudio, а Dbus - от root
| | |
|
|
| |
| 2.58, Аноним (57), 16:49, 29/12/2018 [^] [^^] [^^^] [ответить]
| +/– |
Сдаётся, что микроядро отлично бережёт до тех пор, пока массово не используется.
| | |
| |
| |
| 4.79, Аноним3 (?), 04:16, 30/12/2018 [^] [^^] [^^^] [ответить]
| +/– |
Подтверждено соответствие спецификации. Т.е. если делать с L4 только то, что предусмотрено спецификацией, сюрпризов быть не должно. Не более.
| | |
|
|
|
| 1.33, Ващенаглухо (ok), 09:21, 29/12/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 Arch lunux, нет ни гнома ни наутилуса
$ pkill polkitd
pkill: killing pid 588 failed: Operation not permitted
Новость только для гномов?
| | |
| |
| 2.35, mikhailnov (ok), 09:24, 29/12/2018 [^] [^^] [^^^] [ответить]
| +/– |
Невнимательно ситали новость. polkitd, работающий не от вашего пользователя, убивать не надо.
| | |
|
| 1.37, Адекват (ok), 09:45, 29/12/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 какая же тупоpылая уязвимость, вот читаю такие новости и просто за голову хватаюсь.
Такое ощущение, что это писали дети в возрасте 5-6 лет по примерам из интернета.
А может дело не в людях, а в линуксе ?
А может он всегда вот таким вот поделием будет ? ну вечно что-то будет подтупливать, подглючивать, подвисать, подтормаживать, изредка так, изподтишка, в самый блин неподходящий момент.
| | |
| |
| 2.41, Аноним (82), 11:28, 29/12/2018 [^] [^^] [^^^] [ответить]
| +/– |
Freedesktop понятно дело троллейбус из хлеба на недофинансировании. Однако локальные руты во всех таких солидногламурных маковендочках бывают как минимум не реже. Подотри сопельки, адекват лол.
| | |
| |
| 3.55, Аноним84701 (ok), 16:36, 29/12/2018 [^] [^^] [^^^] [ответить]
| +/– |
 > Freedesktop понятно дело троллейбус из хлеба на недофинансировании.
С другой стороны была FSG. Free Standards Group:
http://www.freestandards.org/
https://web.archive.org/web/20030207141431/http://www.freestandards.org:80/
> The Free Standards Group develops and makes freely available standards, tools and compliance testing, which allows
> open source developers to concentrate on adding value to Linux,
> rather than spending time dealing with verification and porting issues.
После вливания в Linuxfoundation это алиас www.linuxfoundation.org , c ее многоплатиновыми спонсорами за полмиллиона/год.
Землин (тот самый исполнительный директор Linux Foundation, "прославившийся" своей презентацией "2017 - год линукса на десктопе!" из под макоси), совершенно случайно, был главой (head) FSG.
Как говорится - прочувствуйте разницу :)
| | |
|
| 2.42, GK_222 (?), 11:42, 29/12/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
Уязвимость действительно тупая, потому что IRL ей практически невозможно воспользоваться. А вот про подтупливать... В линуксе всегда можно посмотреть что именно подглючивает и сделать выводы\удалить\закоммитить\исправить наконец. В отличие от.
| | |
| 2.59, Аноним (57), 16:58, 29/12/2018 [^] [^^] [^^^] [ответить]
| +/– | |
>А может дело не в людях, а в линуксе ?
Дело в том, что твои люди тебе недостаточно платят за посты на opennet.ru
| | |
|
| 1.70, Аноним (70), 19:21, 29/12/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Я правильно понял, пользовательский процесс сообщает системному какие права есть у пользователя? Т.е. пользовательский polkit прибить и запустить другой, который будет гооворить что пользователь имеет права суперпользователя, то тоже будет работать?
| | |
| |
| 2.71, mikhailnov (ok), 20:20, 29/12/2018 [^] [^^] [^^^] [ответить]
| +/– |
Нет, polkit работает от системного пользователя polkitd, с ним общается /usr/bin/pkexec с правами 4755, то есть с setuid, принадлежит root:root, и за счет SUID всегда запускается от root.
| | |
|
| 1.84, Fedd (ok), 22:03, 30/12/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Ха только не давно была дыра в polkit когда можно было рутом стать через systemd. Развелось этих судо, никогда не знаешь где ждать сюрприз...
| | |
| 1.85, Аноним (85), 14:06, 01/01/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
В качестве временного решения предлагаю:
# tee /etc/pacman.d/hooks/gvfs.hook 1>/dev/null << 'EOF'
[Trigger]
Operation = Install
Operation = Upgrade
Type = File
Target = usr/share/polkit-1/rules.d/org.gtk.vfs.file-operations.rules
[Action]
Description = Restrict gvfs-admin...
When = PostTransaction
Exec = /bin/sed -i 's~polkit\.Result\.YES~polkit.Result.AUTH_ADMIN~g' /usr/share/polkit-1/rules.d/org.gtk.vfs.file-operations.rules
EOF
# pacman -U /var/cache/pacman/pkg/gvfs-*
# pkill gvfsd-admin
| | |
| 1.86, Аноним (86), 09:51, 02/01/2019 [ответить] [﹢﹢﹢] [ · · · ] | +1 +/– | На правах моего скромного мнения Я не специалист по безопафосности и погромиро... большой текст свёрнут, показать | | |
| 1.87, Аноним (87), 20:31, 02/01/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> непривилегированным пользователям, присутствующим в группе wheel
чиго, простите? если пользователь в wheel то, он - привелигированый и сможет получить рута и другими способами.
| | |
|
