Доступно (https://www.debian.org/News/2019/20190123) седьмое корректирующее обновление дистрибутива Debian 9. Обновление является внеплановым и ограничено устранением уязвимости (https://www.opennet.dev/opennews/art.shtml?num=50007) в пакетном менеджере APT, позволяющей злоумышленнику подменить устанавливаемый пакет при контроле за зеркалом репозитория или транзитным трафиком между пользователем и репозиторием (MITM-атака). Основной целью выпуска Debian 9.7 является обновление установочных iso-образов для исключения проявления уязвимости в свежих установках.
Для загрузки и установки "с нуля" подготовлены установочные (https://cdimage.debian.org/cdimage/unofficial/non-free/cd-in.../) сборки (https://cdimage.debian.org/cdimage/release/9.7.0/), а также live (https://cdimage.debian.org/cdimage/unofficial/non-free/cd-in.../) iso-hybrid (https://cdimage.debian.org/cdimage/release/9.7.0-live/) c Debian 9.7. Системы, установленные ранее и поддерживаемые в актуальном состоянии, получили обновления, присутствующие в Debian 9.7, через штатную систему установки обновлений.URL: https://www.debian.org/News/2019/20190123
Новость: https://www.opennet.dev/opennews/art.shtml?num=50014
Такая школьная уязвимость на самом популярном дистрибутиве.
Сказал школьник, фантазируя, что если бы он сам это делал, то у него то уж точно таких школьных уязвимостей никогда бы не случилось.
Почему фантазируя? Нет дистрибутива - нет проблем.
погоди-погоди, а как же Болген-ос? Дениску срочно ищите - ему надо выпустить версию 9.8!
> погоди-погоди, а как же Болген-ос?"ОС *** разрабатывается и поддерживается исключительно российскими специалистами, что гарантирует автономность всех процессов"
*** ROSA Enterprise Desktop
> *** ROSA Enterprise Desktopпод запуск 1С для огороженных от инглиш скиллз
ынтырпрайз для колхозов
>> *** ROSA Enterprise Desktop
> под запуск 1С для огороженных от инглиш скиллзНид скиллз что бы понять полностью автономное наименование разработанного исключительно российскими специалистами.
> Почему фантазируя?Потому что... что болит, о том и... фантазируют.
>Такая школьная уязвимость на самом популярном дистрибутиве.Ну, свой абасрамс с патчем openssh не переплюнули, но близко.
Самый популярный где? В твоей школе?
Просто потому что сам дистрибутив - школьники без поддержки корпов. В нормальных дистрах от профессионалов и для профессионалов (RHEL, Oracle) такого позора нет.
> Системы, установленные ранее и поддерживаемые в актуальном состоянии, получили обновления, присутствующие в Debian 9.7, через штатную систему установки обновлений.Но ведь их могли подменить.
Да уж. Полон опасностей APT-мирок.
▶ apt policy apt
apt:
Установлен: 1.4.9
Кандидат: 1.4.9
Таблица версий:
*** 1.4.9 500
500 http://mirror.corbina.net/debian stretch/main amd64 Packages
500 http://security.debian.org stretch/updates/main amd64 Packages
100 /var/lib/dpkg/status~
▶ cat /etc/issue
LMDE 3 Cindy \n \l
смысл уязвимости в том что имея доступ к любому из ваших зеркал я вам просто отдм друго пакет и вывод команд выше ничем не будет отличаться.
смысл вывода в том, что фикшенная версия 1.4.9 уже пару дней как на месте в репозиториях стретч/апдейтс, и если ранее этой подмены не произошло, то в дальнейшем и тем более не будет ужеАпстрим дебиана всегда довольно шустр на секюритификсы.
смысл в том что эту типа фикшеную версию можно было получить патченой при использовании уязвимости упоминаемой ранее.
Руками установить?
Руками из сорцов собрать;)
Не понимаю, что в этом дебиане нашли. Даже sudo из коробки не работает.
sudo ненужно. Пользуйтесь su.
Я не сторонник полумер.
До установите sudo, пригласите мастера, наконец.
Это вообще разные вещи для разных целей. В Ubuntu просто приделали зачем-то sudo вместо su. Так-то sudo для гибкого разделения прав. С возможностью разрешить различным пользователям различные админские команды, в т.ч. и без пароля (своего рода аналог SUID-бита).
кроме выборочного разрешения определенных команд в многопользовательских системах sudo дает возможность иметь пользовательские настройки консоли, а не перекраивать рута под себя.
чет ни разу не пользовал su и как то норм.
а он зачем нужен, чяднт ??
а советы запускать "sudo su" вообще прикалывают.
Штабильность же!
Он не стабильнее той же LTS убунты.
Что вы в этом линуксе нашли. Даже сапера и косынки из коробки нет.
Вырезали за ненадобностью)))
В шестом дебиане были,и автомонтирование расшареных виндовых папок было...
Не понимаю, у тебя проблема с головой или руками?
Ибо прекрасно работает «из коробки».
Всего-лишь при установке нужно не вводить пароль рута.
И узнать это можно было либо в поисковике, либо в доках деба.
А у Линуса Торвальдса тоже проблема с головой или руками? Он вот тоже не осилил.
Линус так кое-кого троллил.
Ну так когда это было, очень много времени прошло с тех пор.
Я тоже ушел с дебы на федору, но только из за того, что хотел свежий софт который мне мог предоставить rpmfussion
работает, достаточно просто установить пакет. Это лучше чем навязывают использование какого-то пакета. По крайней мере я предпочитаю использование минимального дистрибутива и все остальное что нужно просто доставляешь - много не нужного мусора не попадает в систему.
> работает, достаточно просто установить пакет.Даже это вручную делать не обязательно. Достаточно при установке не задавать пароль root.
Если при установке не задавать пароль root, потом через recovery mode тоже можно войти без пароля.
Чтобы войти в recovery mode, нужен доступ к загрузчику. А имея доступ к загрузчику, можно получить полный доступ к системе без пароля by design.
By design установщик debian, как и некоторые другие, предлагая не задавать пароль для root, почемуму-то при этом не предлагает запаролить загрузчик. Дыра by design.
> [...] почемуму-то при этом не предлагает запаролить загрузчик.И ещё фирмварь тогда сразу до кучи. И ещё зашифровать.
PS: в grub2, кстати, "запароливание загрузчика" сделано какими-то марсианскими академиками -- без дополнительного патча реализовать самый разумный вариант "спрашивать пароль только при попытке чё-то левое передать или выбрать" _невозможно_ (в отличие от grub1), зато целая система пользователей с паролЯми у них отросла...
Без шифрования диска и загрузчик не нужен. Установщик шифровать умеет и "неофициальные" образы с фирмварем лежат там же, где и официальные, только в другом каталоге. А это... Зато сколько по миру таких "надежных" систем...
Никогда не устанавливал, он уже был после установки системы. А вот в группу sudo себя добавить надо.
> Не понимаю, что в этом дебиане нашли. Даже sudo из коробки не работает.УМВР, ЧЯДНТ?
> Даже sudo из коробки не работает.Работает, если во время установки не создавать root пользователя.
Работает. Всего-лишь надо имя юзера написать и 4 раза ALL.
Ну у sudo тоже есть недостатки. А твой "тортик" Убунта — без "коржей" Дебиана не получится. Разделение труда слыхал?
> Разделение труда слыхал?Вы человека ещё басни Крылова бы для себя открывать отправили...
мда, одному то из коробки надо, другому это из коробки надо, в итоге если стараться угодить всем все получат кучу хлама))) установить sudo и добавить нужного пользователя в группу sudo всего и делов
gksu попробуй если они у меня взяли дистр то должно сработать
Так пару дней как уж обновление приехало ))
> Так пару дней как уж обновление приехало ))Они переложили его в "основной" реп из -security и раскатали .iso-шники.
Вы не возражаете, извините?
Все кто работали на Дебиане до сегодняшнего дня использовали Debian-MITM, а не GNU :)
Использовали apt-transport-https. Как маленький прям, чесслово.
девуан в опасносте?
> девуан в опасносте?С. Чего. http://www.opennet.dev/openforum/vsluhforumID3/116369.html#91 Бы. Вдруг.
Основной реп у них, как я понимаю, мержится "в онлайне" - в Debian-е внесли новый apt, он "появился" в devuan/MERGED/ или как там, pool/DEBIAN/.
APT vuan-ы не патчат - все его пакеты прямо из "донора", я обновился с debian-овского пакета (там по ссылке).
.iso-шники они свои не перепиливают с поинт-релизами (уж не знаю -- новости на опенете, наверное, не нужны), насколько я понял. Как был июньский инсталятор "2.0.0" с apt 1.4.8, так он и остался. Непатченый да. "Свежие установки" уязвимы типа. Будут.
Ну и та проблема их серверов с редиректами, которую я решал обновленим с дебиана (там же по ссылке), "немного затрудняет" ручной воркэраунд из DSA- из Debian-аю
Слушайте, а для Debian есть какая-то алтернатива этому пакетному менеджеру, а то что-то все там старое очень. МОжет прям из сырцов кто-то умеет собирать как в портах FreeBSD?
Гентушники умеют, гарантия 146%