Négy biztonsági hibát találtak a GNU Guix csomagkezelőben

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe

A GNU Project funkcionális csomagkezelője, a GNU Guix négy biztonsági sebezhetőséget hozott nyilvánosságra, amelyek a csomagkezelés néhány alapvető parancsát érintik.

A csapat tájékoztatása szerint az újonnan azonosított problémák a guix substitute, a guix pull és a guix time-machine parancsokat érintik, a CVE-azonosítókat a cikk írásakor még nem osztották ki.

A legfőbb kockázat a guix substitute körül van, ezt a segédprogramot a guix-daemon használja az előre lefordított bináris helyettesítések letöltésére. A négy sebezhetőségből három ezt a substitute mechanizmust érinti. A hatás jelentős, mert távoli kihasználásra is lehetőség nyílhat, ha egy érintett rendszer bináris helyettesítést próbál letölteni.

A biztonsági összefoglaló szerint ezt egy beállított substitute szerver is kihasználhatja, beleértve azokat is, amelyeket a guix-daemon --discover opciója talál meg, illetve egy man-in-the-middle támadó is, függetlenül attól, hogy a substitute szerver URL-jeihez HTTPS-t használnak-e.

Néhány esetben helyi kihasználás is lehetséges. Ehhez a guix-daemon sockethez való hozzáférés kell, amelyet a Guix alapértelmezés szerint elérhetővé tesz a helyi felhasználók számára.

A negyedik sebezhetőség a guix pull és a guix time-machine parancsokat érinti. Ezeket a Guix frissítésére, illetve adott Guix revíziók reprodukálására vagy használatára alkalmazzák. A probléma a csatornafájlokhoz kapcsolódik, és lehetővé teheti, hogy egy ilyen fájlt irányító támadó olyan fájlokat hozzon létre vagy írjon felül, amelyekhez az érintett felhasználónak írási joga van.

A Guix felhasználóknak nyomatékosan javasolják, hogy mielőbb végezzenek frissítést a guix és a guix-daemon komponensekre is. Mivel a guix-daemon az a rendszer szolgáltatás, amely a csomagbuildet és a substitute kezelését végzi, sok rendszeren nem elég csak a felhasználói parancsot frissíteni.

Jelenleg úgy tűnik, a sebezhetőségekhez még nem rendeltek CVE-számokat, ezért a felhasználóknak és rendszergazdáknak a hivatalos Guix biztonsági közleményt érdemes követniük a legfrissebb állapot és a mérséklési lépések miatt.

További részletekért lásd a hivatalos bejelentést.