edición general
7 meneos
 

Vulnerabilidad critica en Fedora 12

Esta vulnerabilidad, permite por defecto que usuarios sin privilegios de root pueden instalar cualquier paquete de los repositorios.

| etiquetas: fedora 12 , bug , packagekit , root
  1. Según leo no es una vulnerabilidad, es que lo han implementado así desde el principio en fedora 12. Este comentario creo que lo deja todo claro:

    bugzilla.redhat.com/show_bug.cgi?id=534047#c14

    Your problem is that pretending asking for
    root authentication for local users in active sessions... when installing
    trusted software adds security is... well.. only a sign of dogma, snakeoil
    and ignorance when it comes to providing a secure system.

    Sólo dan permiso a usuarios locales en sesiones activas para instalar software confiable y además solo en la versión de escritorio, no en la de servidor.
  2. Si, pero sigue siendo una cagada, porque no tiene sentido romper la seguridad de un sistema (encima con selinux, firewall,... por defecto) asi por las buenas (no aparece en las release notes, por lo que he podido leer del bugzilla)
  3. Por lo visto hay una discusión abierta de los desarrolladores sobre el tema para tomar una decisión:
    fedorahosted.org/fesco/ticket/277

    Pero a mi me parece una gran cagada, no entiendo cómo han podido pensar que eso es una buena idea.
comentarios cerrados

menéame