Hlavní navigace

Bezpečnostní chyba v apt-setup

Sdílet

Petr Krčmář 8. 7. 2005

Secunia hlásí problém v debianí utilitě apt-setup. Soubor apt.conf, který vytváří a spravuje, má špatně nastavená práva, která umožňují komukoliv, aby si přečetl jeho obsah.

Uživatel se tak může dostat k citlivým informacím, jako je heslo proxy. Problém se týká všech verzí Debianu! Záplata zatím neexistuje.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 8. 7. 2005 16:32

    mikeš (neregistrovaný)
    The security issue has been reported in Debian 3.1, "apt" version 0.5.28.1.
    Other versions may also be affected.

    Bezpečnostní problém byl zveřejněn pro Debian 3.1, "apt" verze 0.5.28.1.
    Může se to týkat také jiných verzí.
  • 8. 7. 2005 17:17

    peter (neregistrovaný)
    Súbor apt.conf je súbor ako každý iný a môže ho každý vidieť. Za normálnych okolností v ňom heslo nemá čo hľadať. Za chybu by som pokladal, keby ho mohol niekto prepísať a nie čítať! Komukoľvek môžem poslať môj súbor, nebude mi to vadiť.

    A kto si tam pridá heslo, má si nastaviť práva tak, aby ho nebolo možné kýmkoľvek čítať.
  • 8. 7. 2005 20:08

    MaT
    Taky si myslím, že to je mnoho povyku pro nic... No tak je čitelný, no... I když jsem se kdysi připojoval přes proxy, tak jsem tam nikdy neměl heslo. Proboha kolik lidí vůbec používá proxy s heslem? A pokud už někdo ano, tak ať si to heslo hlídá (pokud mu to za to stojí) a nastaví si práva jinak. Většina konfiguračních souborů by podle mě měla být read-only, skrývat je před uživateli má smysl tak možná u /etc/shadow...

    Jo a když už má člověk proxy, tak jí taky může mít nastavenou v proměné HTTP_PROXY a pak nemusí nic nastavovat v konfiguraci apt...