Main Contents

Fedora 12: No es un bug, es un feature

Chichaplanet, Planeta Debian Perú, Planeta Linux Perú, Planeta Ubuntu Perú

Hace menos de una semana alguien me hablaba de esta imagen, sobre la cual obviamente hicimos muchas bromas al respecto:
Bug Feature

Y dada la coincidencia ayer me entero la de nueva killer feature de Fedora 12: Cualquier usuario del sistema sin privilegios de administrador, ni clave de root puede instalar paquetes sin necesidad de una contraseña, lo cual es tremendo problema. Ahora muchos me diran que no hay problema porque necesitas paquetes firmados por los repositorios, los cuales tienen un alto grado de confiabilidad, pero aca algunos de los peores vectores de ataque para este nuevo “Feature”:

DoS (Defeat of Service)
Un usuario puede ser engañado para ejecutar con comando equivalente a “instalar todo”, lo que se lograria con esto directamente seria que el disco duro del sistema sea tomado por completo no permitiendo mas informacion y hasta la ejecucion de ciertos procesos que necesitan espacio en disco o escribir a disco. Esto se puede hacer tambien con clave la clave de administrador, pero hay una razon para la cual algunas personas NO tienen esa clave, paso de ser algo posible a ser algo completamente trivial.

Escala de privilegios
Otro problema que presenta con esta nueva configuracion por defecto es que hecha por la borda todo el esfuerzo del equipo de seguridad de Fedora. Con esto se vuelve trivial que un usuario con privilegios restringidos descargue un paquete que contenga una vulnerabilidad de escala de privilegios (incluso de versiones anteriores de fedora) y luego instale este en el sistema para luego explotarlo y poder escalar privilegios (mas informacion y comandos detallados). Es cierto que si un paquete con vulnerabilidades esta en el archivo de por si ya es un problema, pero esto es completamente comun, para eso existen equipos de seguridad que preparan actualizaciones para el sistema.

Como veran esto fue una pesima idea por parte del equipo de fedora, aunque segun lei en los ultimos commentarios en el Bug que se reporto sobre esto, posiblemente pase muy poco tiempo antes de que la reviertan

Actualizacion (20/11/09):
Por fin alguien con 2 dedos de frente: https://admin.fedoraproject.org/updates/PackageKit-0.5.4-0.4.20091029git.fc12

nxvl @ November 19, 2009

« Free meme

Leave a comment

Feed