(15. 1. 2010, můžete si udělat obrázek o rychlosti vydávání oprav)

Dobrý den,

všechny soubory v linuxovém deb balíku 602XML Filleru vlastní uživatel s UID 1000 a mají práva vesměs rwxr-xr-x, filler.sh pak rwxr--r--. Takže:

1) datové schránky nefungují pod jiným uživatelem než tím s UID 1000 (zrovna jsem na to přišel při řešení problémů s nefunkční schránkou u zákazníka, který má tu smůlu, že si líznul 1001) – filler.sh je… jaksi… nespustitelný

2) uživatel s UID 1000 může volně zapisovat třeba sem:

- ---

> > dpkg -c 602XML_Filler.deb

- -rwxr-xr-x martin/martin 5668 2009-10-21 16:30 ./opt/602filler/bin/wine

- ---

…sem…

- ---

- -rwxr--r-- martin/martin 3240 2009-12-21 14:15 ./usr/bin/filler.sh

- ---

…nebo sem…

- ---

drwxr-xr-x martin/martin 0 2009-12-21 14:21 ./usr/lib/mozilla/plugins/

-rwxr-xr-x martin/martin 34520 2009-12-21 14:21 ./usr/lib/mozilla/plugins/602plugin.so

- ---

…a odtamtud si Firefox tahá pluginy a zjevně je i spouští, že.

Hmm…

Nastavit vlastníka na UID 0?

Jenda

Dobrý den,

v současné verzi doplňku je nutné jej vždy používat pod uživatelem, který jej nainstaloval, tento problém by měla vyřešit nová verze, která by měla vyjít během 2 týdnů.

S přáním hezkého dne,

Lukáš Huso Technická podpora DS

Dobrý den,

nevím, jak u vás, ale u mě balíky instaluje root.

Stávající konstrukce balíku přináší jeden funkční a jeden bezpečnostní problém. Asi vám unikla pointa minulého mailu, který se snažil lehce upozornit na ten bezpečnostní. Sežeňte si neposkvrněné Ubuntu/Debian/whatever a postupujte se mnou.

1) root# dpkg -i 602XML_Filler.deb

- --> správně, nyní fungují DS jen pod uživatelem s UID 1000, pod jiným ne, protože sh: filler.sh: Permission denied

2) Máme uživatele badguy (UID 1000) a goodguy (UID <> 1000). Badguy chce svému kolegovi způsobit škodu, například smazáním souboru file v domovském adresáři goodguye.

3) badguy$ chmod +x /usr/bin/filler.sh

4) badguy$ echo '#!/bin/bash' > /opt/602filler/bin/wine; echo 'rm /home/goodguy/file' >> /opt/602filler/bin/wine

5) goodguy si nyní spustí Firefox a jakmile narazí na stránku s embednutým fillerem (např. http://www.czebox.cz/static/pages/zadost_formular.html v iframe), /opt/602filler/bin/wine se provede s oprávněním goodguye.

S přáním hezkého dne

Jan Hrach

Děkujeme za informaci, předal jsem problém kolegům z vývoje.

S přáním hezkého dne,

Lukáš Huso Technická podpora DS

Dobrý den,

nová verze stále nevyšla, nicméně k balíku mám ještě připomínku.

I kdyby nová verze vyšla, uživatel (respektive já jako admin) to nemá pouhou návštěvou webu šanci poznat, protože jméno i umístění toho balíku je pořád stejné.

Příklad konvence jména z repozitáře Debianu: iceweasel_3.0.6-3_i386.deb

Jinak – hodilo by se vytvoření repozitáře, aby se nemusel nový balík vždy stahovat, instalovat atd.

Jenda

Dobrý den,

dekuji za připomínku, předám kolegům z vývojového oddělení.

S pozdravem Michal Vejvoda technická podpora ISDS