Уязвимость была экспериментально подтверждена множеством пользователей.
Что еще хуже, данный трюк работает на экране входа в систему.
Скриншот из твита
Чтобы защитить свой компьютер от данной уязвимости, нужно активировать учетную запись root (конечно же, с непустым паролем). Наиболее простой из известных способов — выполнить в терминале следующую команду:
sudo passwd -u root
и задать суперпользователю нескучный пароль (источник). Есть так же способ сделать то же самое, но через GUI.
Update
По информации ресурса TechCrunsh, Apple выступила со следующим заявлением касательно произошедшего:
We are working on a software update to address this issue. In the meantime, setting a root password prevents unauthorized access to your Mac. To enable the Root User and set a password, please follow the instructions here: support.apple.com/en-us/HT204012. If a Root User is already enabled, to ensure a blank password is not set, please follow the instructions from the ‘Change the root password’ section.
Мы работаем над обновлением, которое исправит данную проблему. Пока оно не вышло, для предотвращения несанкционированного доступа к вашему компьютеру следует задать пароль на root, инструкция доступна здесь. Если пользователь root уже активен, нужно убедиться, что пароль не является пустым.
Update 2
О проблеме было известно и раньше (спасибо пользователю xi-tauw):
— Твит от 20-го ноября не получил должной огласки.
— Apple не обратила внимание на сообщение на их собственном форуме от 13-го ноября.
Update 3
Указанный выше способ так же работает, если пароль на root задан, но сам суперпользователь отключен. Вывод — не следует отключать root после установки пароля.
Спасибо пользователю sergius_the_black за полезную ссылку.
Update 4
Меньше, чем через сутки, Эпл выпустила патч, устраняющий данную уязвимость.
Спасибо vagonovozhaty за ссылку.
Комментарии (146)
Dmitry88
29.11.2017 02:07А тем, кто не перешел на HIgh грозит что-нибудь?
AlphaStream Автор
29.11.2017 02:16Уязвимость подтверждена только на High Sierra. Данных о попытках воспроизвести баг на предыдущей версии (Sierra) мало, и они отрицательные.
Ashot
29.11.2017 02:35При обновлении на что-нибудь выше sierra сделайте бекап всех данных и выключите шифрование(file vault которое). У меня после перехода непостижимым образом хард оказался зашифрован намертво — раздел без пароля не монтируется, а пароль не проходит. Что-то там пошло не так из-за apfs и конвертации в него.
И теперь у меня все данные лежат на внешнем харде и ждут вызволения. Только вот когда apple решит проблему и решит ли вообще — не понятно
Я понимаю, что вы после этого поста вряд ли будете обновляться, просто решил предупредить и подкинуть ещё одну причину, что бы не устанавливать обновлениеFinesse
29.11.2017 02:58У меня обновление прошло успешно, все данные целы. Правда я не использовал шифрование диска.
Igogo2012
29.11.2017 04:51Обновлялся с зашифрованым диском и все работает исправно
voidMan
29.11.2017 05:28Аналогично, два макбука обновил до High Sierra с включенным шифрованием, проблем не было.
vixs
29.11.2017 09:56Обновлял с включённым щифрованием, получил рассинхронизацию паролей. У одного пользователя в разных местах были разные пароли: два при загрузке, третий в консоли. Отключил потом шифрование, с горем пополам все пароли синхронизировал, но теперь шифрование нельзя включить — баг High Sierra.
Ashot
29.11.2017 11:18У меня тоже проблем не было, до определённого момента. Просто как-то пришёл на работу, открыл ноут, и внезапно получил описанную проблему.
beatleboy
29.11.2017 10:03Я обновился на второй день после выхода системы. Установка прошла нормально. Но дальше окна логина система меня не захотела пускать, висла намертво. Пришлось с нуля ставить на отформатированный диск. Данные были утеряны, благо весь код на git. Фотки в облаке. Но день все равно был потерян.
Ashot
29.11.2017 11:14У меня так же установка прошла без эксцессов. Даже 2 обновления – 10.13 и 10.13.1 и при этом проблема сразу не проявилась, просто в какой-то момент утром ноут не стартанул. В сервисе уже сделали дамп на отдельный хард и переустановили систему.
А вообще эта проблема с apfs лотерея, как я понял – кто-то не испытывает вообще никаких проблем, у кого-то процесс установки застывает на середине, у кого-то после установки начинаются проблемы. Нам с вами, видимо, "повезло" больше всех
voidMan
29.11.2017 14:37А backup из Timemachine? Перед мажорным обновлением крайне рекомендуется его делать, тогда восстановить данные не проблема
le1ic
29.11.2017 13:35У меня с шифрованием проблем к счастью не возникло, но при обновлении система ушла в вечный цикл перезагрузки. Вылечилось по совету с эпловского форума путем запуска утилиты проверки и восстановления диска. Очень неудачный апдейт конечно, читал про полностью потерянные данные.
robert_ayrapetyan
29.11.2017 03:04+1Порадовало что не сразу, а только если много раз покликать… Прям как в том анекдоте про китайцев и Пентагон.
eXtReeM
29.11.2017 03:15Достаточно одного клика, если до этого кликнуть на поле пароля (вводить пароль не надо). Проверено на 10.13.1
KoCMoHaBT61
29.11.2017 19:17Не не работает. Окно логина дрыгается. А вот на второй unlock срабатывает.
svosin
29.11.2017 12:17Для не слышавших о таком анекдотеКитайцы взломали сервер Пентагона. Вот как это было:
1. Каждый китаец попробовал один пароль.
2. Каждый второй пароль был «Мао Цзедун»
3. На 74357181-й попытке сервер согласился, что у него пароль «Мао Цзедун».goodwind
29.11.2017 15:38держу пари, количество рутовых паролей «maodzedun» в мире маководов стремительно выросло
joker2k1
29.11.2017 03:50Да, в номинации «самый эпичный удар по безопасности»-2017 уверенно побеждает Apple )
Londoner
29.11.2017 04:51Всё, хватит! Ушёл ставить Убунту…
Кстати, какой из десктопных линуксов самый надёжный?
Только не надо про Дебиан — например, планшетный сканер под ним после всех плясок так и не заработал, в Убунте завёлся из коробки. Но Убунта глючит в куче других мест.kraamis
29.11.2017 09:13Mint — почти все работает, все что не работает — решается за пять минут в гугле
Londoner
29.11.2017 13:20Минт? Ну не знаю… Помню как несколько лет назад там была проблема десктоп залочить. Даже если и пофиксили с тех пор, репутация испорчена навсегда. Есть по-настоящему надёжные дистрибутивы?
kraamis
29.11.2017 13:21Если так говорить — то все дистры плохие. Софта без багов не бывает, это закон природы.
Londoner
29.11.2017 20:07Это понятно, что не бывает. Но тут диву даёшься, а сами разработчики этим скопищем жуков пользуются?
sumanai
30.11.2017 16:17Вы про какую ОС? Любая ОС сложнее калькулятора- сборище багов и неочевидного поведения.
Londoner
30.11.2017 17:14-2Я про Убунту, Минт и прочие. А про баги — безусловно. Однако, например, у Майкрософта со всеми его багами, во всех версиях, от NT3.51 до XP десктоп не вываливался раз в неделю, погребая под собой все процессы, как это делает Unity, мышь не скакала по экрану как угорелая, вайфай, принтер и сканер заводились из коробки без бубна. Вот доведите десктопный линукс хотя бы до такого уровня.
sumanai
30.11.2017 17:24Однако, например, у Майкрософта со всеми его багами, во всех версиях, от NT3.51 до XP десктоп не вываливался раз в неделю, погребая под собой все процессы, как это делает Unity, мышь не скакала по экрану как угорелая, вайфай, принтер и сканер заводились из коробки без бубна.
Да вы обладаете прямо фантастической везучестью или идеальным нюхом на беспроблемное железо. Я хоть и фанат XP, но признаю, что у неё тоже бывают проблемы, она требует бубен для некоторых вещей, и иногда даже мне показывала синий экран.
prefrontalCortex
29.11.2017 20:06Viknet
30.11.2017 20:26Он по факту уже умер:
1) Основные контрибуторы неактивны
2) Патчей grsecurity больше не будет
kafeman
29.11.2017 20:28Если брать широко распространенные дистрибутивы, то основанные на RHEL, на мой взгляд, безопаснее на дефолтных настройках, чем основанные на Debian. Хотя никто не мешает вам допилить ту же Ubuntu до нормального состояния, конечно.
Londoner
29.11.2017 20:31Хотя никто не мешает вам допилить ту же Ubuntu до нормального состояния, конечно.
Ну да, 500 человек в Canonical не смогли за десять лет до нормального состояния допилить, а я один за вечер конечно смогу :)alexr64
29.11.2017 21:14Canonical занимается в большинстве своем «охомячковыванием» дебиана. Выпилить потенциально-деструктивные разрешения из sudoers не составит труда, при желании.
Londoner
30.11.2017 00:07Пожалуйста, не подменяйте понятия — мы сейчас говорим о надёжности, а не о безопасности.
kafeman
30.11.2017 00:24Я вот тоже не понял, что вы имеете ввиду. Вопрос про надежность в комментариях новости про root'а без пароля подразумевает безопасность, на мой взгляд. В таком случае, это в корне меняет мой ответ, данный выше. Пускай Debian не самый безопасный из коробки, но со своими 50000 морально устаревшими пакетами может считаться одним из самых протестированных. Только не удивляйтесь софту десятилетней давности.
Londoner
30.11.2017 00:38Да, новость про безопасность. Но мой вопрос именно про надёжность, ведь чтоб пользоваться десктопным Линуксом нужна не только безопасность (тут всё довольно неплохо, как минимум, по сравнению с другими ОС), но и надёжность. А на Дебиане мне так и не удалось запустить планшетный сканер.
Roman_Cherkasov
30.11.2017 12:23Если вам не удалось — это не значит что нет возможности. Возможно стоит подумать над самообразованием?
Londoner
30.11.2017 12:34Мне кажется, отвечать логикой АвтоВАЗа — не самая лучшая идея. ОС нужна чтоб ездить, а не чтоб чинить. Мне не интересно становиться глубоким специалистом в допиливании хромых дистрибутивов линукса или починке карбюратора в жигулях, я лучше освою знания, которые принесут мне больший доход.
0xd34df00d
30.11.2017 23:02Только в случае автомобилей вам таки неплохо бы выучиться на права, а не просто купить их.
Глубоким специалистом становиться не обязательно, достаточно покупать железо под ОС, благо последние лет 5-10 это делать не так уж сложно даже в случае с линуксом. А примеры, скажем, USB WiFi-донглов, намертво вешающие тогда ещё Windows 7, у меня тоже есть.Londoner
30.11.2017 23:32Можно я перефразирую Ваш ответ?
«Карбюратор в жигулях не работает — значит права купил»
«Авослесарем становиться не обязательно, надо было в автосалоне правильные жигули выбрать, чтоб без брака, это не сложно»
«А у соседа, в иномарке фара перегорела, и колесо спустило, нифига они не лучше жигулей»
BeppeGrillo
30.11.2017 22:06А на Дебиане мне так и не удалось запустить планшетный сканер.
Если производитель не сделал нормальный драйвер для Линукс то виноват Линукс. Если производитель не сделал нормальный драйвер для Виндоус то виноват производитель.
Л — Логика!Londoner
30.11.2017 23:20Не совсем так. Майкрософт убедил производителей в том, что стоит писать драйвера под Windows. Серверный Линукс завоевал популярность именно надёжностью, поэтому к любым серверам есть линуксовые драйвера. Да, в силу эффекта курицы и яйца десктопному линуксу сложнее убедить производителей писать драйвера под Линукс.
Но тогда, может быть, придумать универсальный windows drivers integration layer, позволяющий одним кликом установить под Линуксом любой виндовозный драйвер?
Или, на худой конец, создать наподобие distrowatch единый реестр устройств, к которым есть линуксовые драйвера, а не просто прокричать один раз кричать "FuThank you Nvidia". Чтоб потребитель мог, условно говоря, прийти в магазин, и сказать продавцу «хочу видеокарту и сканер из вот этого списка». Глядишь, производители железа начнут чесаться. А производители софта портировать софт.
А для начала стоит хотя бы починить безнадёжно глючный Unity и допилить wine, или тут тоже драйвер виноват?0xd34df00d
30.11.2017 23:43Но тогда, может быть, придумать универсальный windows drivers integration layer, позволяющий одним кликом установить под Линуксом любой виндовозный драйвер?
В общем случае оно будет работать медленно и костыльно, если будет работать вообще. А для вайфая в своё время такое было, впрочем, см. ndiswrapper.
Или, на худой конец, создать наподобие distrowatch единый реестр устройств, к которым есть линуксовые драйвера, а не просто прокричать один раз кричать «FuThank you Nvidia».
Для аудиокарт на сайте alsa такое было, для сканеров (лет 10 назад, когда я покупал сканер в последний раз) было, для принтеров тоже. Собственно, последний купленный мной принтер (а на самом деле — какой-то первый попавшийся струйный МФУ от HP за 80 баксов) просто работает под линуксом без всяких танцев с бубном, даже автоматический податчик бумаги в сканер работает.
Есть, кстати, какой-то единый реестр устройств, где написано, какая минимальная и максимальная версия Windows их поддерживает?
А производители софта портировать софт.
А какого софта вам на домашней машине не хватает? Это я ради личной статистики, если что.
А для начала стоит хотя бы починить безнадёжно глючный Unity и допилить wine, или тут тоже драйвер виноват?
Ну, у меня вместо Unity — KDE. Там есть свои глюки, например, через пару месяцев аптайма кед иногда отваливается буфер обмена. Другое дело, что пара месяцев аптайма для Windows — куда большая проблема, да и для перезапуска кед мне не нужно перезапускать всю машину целиком.
А wine у меня и нет вовсе.
Кстати, на одном из рабочих мест был у меня Windows (служивший запускалкой терминала до нормальных машин с линуксом, но неважно), который корпоративными политиками перезагружался каждые выходные. И каждый понедельник мой (и не только мой) рабочий день начинался с того, чтобы постоять раком под столом, вытаскивая и вставляя обратно USB-кабель от клавиатуры, потому что иначе по какой-то неведомой причине не действовали настройки скорости повторения клавиш. У соседа мониторы были по DP подключены, и когда один из них переходил в спящий режим, система его теряла и перекидывала все окна на основной монитор. Куда и про какие хромые дистрибутивы Windows писать в этом случае?Londoner
01.12.2017 00:10В общем случае оно будет работать медленно и костыльно, если будет работать вообще. А для вайфая в своё время такое было, впрочем, см. ndiswrapper.
А надо чтоб работало хорошо.
Для аудиокарт на сайте alsa такое было, для сканеров (лет 10 назад, когда я покупал сканер в последний раз) было, для принтеров тоже. Собственно, последний купленный мной принтер (а на самом деле — какой-то первый попавшийся струйный МФУ от HP за 80 баксов) просто работает под линуксом без всяких танцев с бубном, даже автоматический податчик бумаги в сканер работает.
Надо чтоб был централизованный и обновляемый список, а не обрывки по отдельному типу железа. А вот у меня всякий раз чтоб что-то напечатать в Убунте на HP1018, надо перезагрузить принтер, удалить принтер из системы и добавить заново, иначе никак.
Есть, кстати, какой-то единый реестр устройств, где написано, какая минимальная и максимальная версия Windows их поддерживает?
Думаю что нет, за ненадобностью. Если не совсем антиквариат, то драйвер под свежую винду обычно есть.
А какого софта вам на домашней машине не хватает? Это я ради личной статистики, если что.
Допиленный офисный пакет, чтоб презентацию и документы, сделанные в нём не стыдно было показать важному клиенту. Пока что, по сравнению с вордом и пауэрпойнтом, то что есть, это слёзы.
Ну, у меня вместо Unity — KDE. Там есть свои глюки, например, через пару месяцев аптайма кед иногда отваливается буфер обмена.
Пробовал kubuntu. Да, KDE понадёжнее Unity, но аудитория kubuntu на порядок меньше чем у ubuntu, соответственно куча софта из репозиториев тестирована на убунте и не тестирована на кубунте. Это кстати, к дискуссии о том, что стоит прекратить почкование сотен болденосов с десятком десктопов и допилить всем сообществом пару-тройку дистрибутивов.
Другое дело, что пара месяцев аптайма для Windows — куда большая проблема, да и для перезапуска кед мне не нужно перезапускать всю машину целиком. А wine у меня и нет вовсе.
Извините, но это из серии «у соседа в иномарке фара перегорела и колесо спустило, так что нифига они не лучше жигулей, а кондиционером я вообще не пользуюсь».
Кстати, на одном из рабочих мест был у меня Windows (служивший запускалкой терминала до нормальных машин с линуксом, но неважно), который корпоративными политиками перезагружался каждые выходные. И каждый понедельник мой (и не только мой) рабочий день начинался с того, чтобы постоять раком под столом, вытаскивая и вставляя обратно USB-кабель от клавиатуры, потому что иначе по какой-то неведомой причине не действовали настройки скорости повторения клавиш. У соседа мониторы были по DP подключены, и когда один из них переходил в спящий режим, система его теряла и перекидывала все окна на основной монитор. Куда и про какие хромые дистрибутивы Windows писать в этом случае?
См комментарий выше.0xd34df00d
01.12.2017 00:37А надо чтоб работало хорошо.
Мне вот тоже надо быть богатым, здоровым и чтоб на это время и силы не нужно было тратить. Но увы.
Надо чтоб был централизованный и обновляемый список, а не обрывки по отдельному типу железа.
Зачем? Вы принтеры вместе с внешними звуковыми картами покупаете, что ли?
А вот у меня всякий раз чтоб что-то напечатать в Убунте на HP1018, надо перезагрузить принтер, удалить принтер из системы и добавить заново, иначе никак.
Страннота. У меня лет 8 со мной прожила сестринская модель 1020, работала просто шикарно.
Впрочем, как вы там говорите? Это у вас из серии «у меня в иномарке фара перегорела», да?
Допиленный офисный пакет, чтоб презентацию и документы, сделанные в нём не стыдно было показать важному клиенту. Пока что, по сравнению с вордом и пауэрпойнтом, то что есть, это слёзы.
А, я для сих целей latex/beamer использую. Ну, чтоб не было стыдно сделать презентацию, которую можно было бы показать на семинаре или reading group.
Да, KDE понадёжнее Unity, но аудитория kubuntu на порядок меньше чем у ubuntu, соответственно куча софта из репозиториев тестирована на убунте и не тестирована на кубунте.
И в чём эта нетестированность заключается?
Да и по-вашему получается, что я, красноглазый гентушник, вообще должен на баг за багом спотыкаться из-за нетестированности. Ан нет.
Это кстати, к дискуссии о том, что стоит прекратить почкование сотен болденосов с десятком десктопов и допилить всем сообществом пару-тройку дистрибутивов.
Такого никогда не будет, и, более того, это и не нужно. У разных дистрибутивов свои цели.
Я убунту не перевариваю почти так же, как Windows, например.
Извините, но это из серии «у соседа в иномарке фара перегорела и колесо спустило, так что нифига они не лучше жигулей, а кондиционером я вообще не пользуюсь».
Ну, в принципе, удобно и комфортно считать всякую проблему в Windows проблемой уровня перегоревшей фары, а в линуксах — не иначе как неработающим с завода карбюратором.Londoner
01.12.2017 02:07Зачем? Вы принтеры вместе с внешними звуковыми картами покупаете, что ли?
Затем что про этот список, лежащий и обновляемый на едином сервере, будут все помнить, как про дистроуотч. А не гуглить обрывки по форумам.
Страннота. У меня лет 8 со мной прожила сестринская модель 1020, работала просто шикарно.
ЧЯДНТ
А, я для сих целей latex/beamer использую. Ну, чтоб не было стыдно сделать презентацию, которую можно было бы показать на семинаре или reading group.
В научной среде — да, в коммерции — doc[x] и ppt, увы…
И в чём эта нетестированность заключается?
К сожалению, сейчас не вспомню. Год назад поставил кубунту, поплевался и снёс, ощущения запомнил.
Такого никогда не будет, и, более того, это и не нужно. У разных дистрибутивов свои цели.
Вот Майкрософт с его гигантскими ресурсами не смог тянуть два дистрибутива Windows — 95/98/Millenium и NT3.51-2000, смёрджил их в один. Ну а у сообщества, конечно, силы тянуть 100500 дистрибутивов найдутся…
Ну, в принципе, удобно и комфортно считать всякую проблему в Windows проблемой уровня перегоревшей фары, а в линуксах — не иначе как неработающим с завода карбюратором.
Я примеров тут привёл много. Если разница не видна, то что я ещё могу сказать. Для того чтобы начались изменения, надо признать проблему. А многие в сообществе эту проблему не признают. Потому линукс на десктопах по прежнему занимает несколько процентов рынка.
Кстати, вот, почитайте, если мне не верите.monah_tuk
01.12.2017 20:28Кстати, а зачем вам вообще Linux? Меня, к примеру, всё устраивает в нём уже… почти 18 лет. Есть и косяки от которых плеваться хочется, но факт остаётся фактом: они есть везде. Просто разные. Нужно просто научиться пользоваться плюсами (если они имеют место быть для конкретного человека) и избегать минусов :)
PS кстати, это так же и для эмиграции верно :)
BeppeGrillo
01.12.2017 11:22Затем что про этот список, лежащий и обновляемый на едином сервере, будут все помнить, как про дистроуотч. А не гуглить обрывки по форумам.
certification.ubuntu.com/desktop
Но тогда, может быть, придумать универсальный windows drivers integration layer, позволяющий одним кликом установить под Линуксом любой виндовозный драйвер?
Работать не будет потому что виндовс костыльное говно а драйверы соответствуют и используют грязные хаки и недокументированные возможности.
По той же причине не работает вайн.
А для начала стоит хотя бы починить безнадёжно глючный Unity
Ну во первых у меня например он не глючил кроме самой первой версии.
Во вторых, с разморозкой вас! Проект Unity закрыт давно.
Это кстати, к дискуссии о том, что стоит прекратить почкование сотен болденосов с десятком десктопов и допилить всем сообществом пару-тройку дистрибутивов.
Зачем?
Меня вот всё устраивает и не дай бог кто-то вздумает слить мой КДЕ с вонючим гномом.
Допиленный офисный пакет, чтоб презентацию и документы, сделанные в нём не стыдно было показать важному клиенту. Пока что, по сравнению с вордом и пауэрпойнтом, то что есть, это слёзы.
А причём тут оперативная система?
Майкрософт выпустила SQL Server для линукс, заставьте её выпустить и ворд раз вам так надо.
Мне вот не надо, либреофис устраивает.
В научной среде — да, в коммерции — doc[x] и ppt, увы…
Приватбанк, Ситилинк и Улмарт видимо недостаточно коммерческие.
ОС нужна чтоб ездить, а не чтоб чинить
Ну вот я на ней езжу, ЧЯДНТ?
Все ваши претензии суммируются как «сделайте как виндовс и приложения чтоб виндовс и драйверы и офис тоже майкрософт и политику развития дистрибутивов смените как у майкрософт».
Ну и идите с такими хотелками в ваш обожаемый виндовс.
monah_tuk
01.12.2017 20:21Но тогда, может быть, придумать универсальный windows drivers integration layer, позволяющий одним кликом установить под Линуксом любой виндовозный драйвер?
Кстати, для WiFi так и сделано. Точнее имеется возможность. Гуглить ndiswrapper. Временами работало лучше нативного на Asus EeePC 1000HA, потом нативный стал лучше. Но… это очень сложно, особенно учесть все недокументирванные возможности и прочее. Даже если не касаться драйверов, вон Wine сколько пилят и проблемы были есть и будут.
kafeman
29.11.2017 23:47Дело не в «500 человек в Canonical не смогли за десять лет до нормального состояния допилить», а в том, что у нее другая целевая аудитория. У меня сейчас стоит Fedora, ее же разработчиками позиционируется не как самая безопасная ОС на свете. Но при этом даже в мелочах постоянно замечаешь подобные различия:
Хочешь установить пакет? Ubuntu делает это сразу, иногда спрашивает подтверждение, которое по-умолчанию означает «Да». Fedora спрашивает подтверждение постоянно, и случайное нажатие Enter приводит к отмене операции, потому что по-умолчанию «Нет».
Хорошо, пакет установлен. Пускай это был какой-нибудь Apache. Он уже работает? В Ubuntu ответ «да», потому что она автоматически запускает все только что установленные сетевые серверы, еще и прописывая их в автозагрузку. В Fedora ответ «нет» — как можно запустить сетевой сервер, не ознакомившись со стандартным конфигом? Только после этого вы его запустите, убедитесь, что все работает как надо, и добавите в автозагрузку.
«Ой, я все добавил, а сайт не открывается!» В обоих ОС есть своя оболочка со свистоперделками вокруг iptables / netfilter. Вот только в Ubuntu по-умолчанию разрешено абсолютно все (iptables -L
возвращает пустой список сChain INPUT (policy ACCEPT)
), а в Fedora наоборот запрещено.
ОК, настроили firewall, решили раздавать файлы с внешнего диска. Что, опять не работает? Все верно, SELinux стоит на страже ваших данных. Пока вы не проставите соответствующие метки на свои файлы, Apache'у будет access denied на уровне ядра. В Ubuntu тоже есть какое-то свое решение (AppArmor), но я не слышал, чтобы у кого-то реально были с ним подобные проблемы (может, он там вообще отключен? не в курсе).
И это, напомню еще раз, не серверный дистрибутив. Могли ли «500 человек в Canonical» сделать все то же самое? Думаю, да. Но тысячи, если не миллионы хомячков тут же начали бы ныть на каждом углу, что «Ubuntu отстой», там вообще ничего не работает, ну ее нафиг, поставлю Windows и буду сидеть под админиским аккаунтом без антивируса.Londoner
30.11.2017 00:03Идея, что всё работает из коробки, не плоха, особенно для аудитории Убунты. Плохо когда у Убунты вайфай раз в неделю отваливается без причины или когда Unity неожиданно схлопывается.
FreeManOfPeace
29.11.2017 07:30Прям как в Windows XP в старые времена, когда учётка Администратор была скрыта и активирована по умолчанию, а вход осуществлялся если удерживать клавишу Shift при загрузке, тем самым переключится на старое меню входа и ввести Администратор
СпойлерVEG
29.11.2017 11:26Пароль для администратора явно задавался при установке.
FreeManOfPeace
29.11.2017 18:561. Многие его не задавали, я лично при первых установках не мог понять что это за администратор такой.
2. Ещё во времена ХР цвели говносборки, но это уже совсем другая история, там и похлеще дыры были.
В общем «взломать» ХР среднего пользователя таким способом было вполне реально.Am0ralist
29.11.2017 21:22После того, как мой друг, будучи из отдела обслуживания сети, воспроизвел это на машине операторов колцентра одного федерального провайдера — админам дали таких люлей)
Так что не только пользователей…
VEG
29.11.2017 21:35Многие искренне считают что обновления ставить не нужно и даже вредно. Вина ли это Windows?
Я лично всегда задавал этот пароль. И смотрел с недоумением на то, что некоторые отсутствующий пароль у администратора выдавали за косяк Windows, когда на самом деле это был косяк того кто ставил систему. Надо хоть немного смотреть то, что инсталлятор спрашивает тебя, вместо «не глядя покликал по кнопкам Next и Accept».
Инсталлятор чётко говорит, что создаст учётку Администоратора, с помощью которой можно будет получить полный доступ к компьютеру, и просит пароль для неё. Даже если не обращаться к документации за подробностями, эту учётку можно было увидеть, например, хотя бы раз загрузившись в безопасный режим, где она предлагается среди прочих.FreeManOfPeace
30.11.2017 22:01Ну я всё равно не понимаю, почему тогда не отключать этого администратора если пароль не задан (что и стали делать в Vista и выше), всё равно первый пользователь который создаётся в системе имеет равные с тем администратором права, для чего было плодить лишнюю сущность?
Впрочем на безопасность моего компа незаданность пароля тогда слабо влияла, ибо на обычной учётке пароль тоже не стоял.
monah_tuk
01.12.2017 20:31Тут имеет место быть косяк установщика, который пустой пароль пропускал. Если бы не пропускал и пользователи бы фигачили 1 или qwerty, то это были бы уже точно их проблемы :)
xi-tauw
29.11.2017 09:30Пиар, такой пиар.
Вот твит на 9 дней раньше: https://twitter.com/jeremydmiller78/status/932687502053380097
Вот сообщение на форуме Apple от 13 ноября https://forums.developer.apple.com/thread/79235 (сообщение от chethan177, Nov 13, 2017 12:48 PM)AlphaStream Автор
29.11.2017 15:43Это прекрасно! Спасибо за ссылки, добавлю в пост.
Pilat
29.11.2017 17:37Вы ещё добавьте, почему в форуме появился этот совет. Зачем вообще chethan177 написал инструкцию.
beatleboy
29.11.2017 10:08Чтобы защитить свой компьютер от данной уязвимости, нужно активировать учетную запись root (конечно же, с непустым паролем). Наиболее простой из известных способов — выполнить в терминале следующую команду:
sudo passwd -u root
Сделал так, выставив пароль, но ничего не изменилось, все также пускает с пустой строкой. Ждем обновленийcalg0n
29.11.2017 10:42Это вестимо какая-то эппло-индусская приблуда над суперпользователем которая этим суперпользователем и управляет, и в ней уязвимость. С su/sudo по идее всё ок.
AlphaStream Автор
29.11.2017 15:52beatleboy Хм, интересно. А su/sudo пускают без пароля/с пустым паролем?
sopov
29.11.2017 10:08High Sierra, единственный пользователь с паролем. Просит ввести пароль для пользователя, с пустым паролем не пускает, на root никак не сменить. ЧЯДНТ?
Finesse
29.11.2017 10:16Нужно в настройках пользователей, во вкладке «Параметры входа» указать «Показывать в окне входа» «поля имени и пароля», затем выйти из системы или перезагрузить компьютер.
EvilHedgehog
29.11.2017 11:04Я — Албанский вирус, но в связи с очень плохим развитием технологии в моей стране к сожалению я не могу причинить вред вашему компьютеру.
Пожалуйста будьте так любезны стереть один из важных файлов с вашего компьютера самостоятельно и перешлите меня другим, можно просто ссылку на меня.
Заранее благодарен за понимание и сотрудничество.
yul
29.11.2017 11:40-1Это, конечно, фейл, но всё-таки такие вещи надо сначала в саппорт отправлять, а не сразу в твиттер.
alexoron
29.11.2017 12:25Одиночные случаи в саппорте не так быстро исправляют как сотни и тысячи жалоб публично.
После такого «публичного позора» они просто ОБЯЗАНЫ тут-же все выпустить обновление как минимум сегодня.
А ведь Стиви на небесах тоже ждет исправление.
bo883
29.11.2017 12:28Я попробовал у себя, у меня не прокатывает данный трюк. Не при входе в систему, не так как описано здесь.
bo883
29.11.2017 12:39Это по сути не уязвимость а расхлябанность пользователей которые не задают пароль для root. Сами виноваты.
RaymanOne
29.11.2017 15:57А если root пользователь отключен и не используется? Это тоже пользователь виноват?
bo883
29.11.2017 17:04Как он может быть отключен? МакОС линух подобная система, на уровне рута много что работает.
BeppeGrillo
29.11.2017 17:11логин в него отключён
bo883
29.11.2017 17:18Что значит?
логин в него отключён
Из под рута можно войти всегда, может имелось виду авторизация при входе в системуBeppeGrillo
29.11.2017 17:56Что значит?
логин в него отключён
Команда su root не работает, авторизация при входе в систему тоже.
В убунту также.
aulandsdalen
29.11.2017 18:08Ох уж эти линуксоиды. Это не "линукс-подобная" ОС. Это Unix-подобная ОС. Это разные вещи. Торвальдс еще только изучал программирование, а Nextstep — предок macOS — уже существовал и далеко не в первом релизе.
Из под рута можно войти всегда
Нет. Если суперпользователь отключен, то войти под ним не получится ни через
su
, ни через Login Window, ни как бы то ни было еще.bo883
29.11.2017 18:30По поводу «линукс-подобная» неправильно выразился, вы правы Unix подобная, но это не меняет в данном контексте разговора(линух так же unix подобная система).
Нет. Если суперпользователь отключен, то войти под ним не получится ни через su, ни через Login Window, ни как бы то ни было еще.
тут можно поспорить но, каждый останется при своем…
Зы: Ох уж эти маководы, блин я один из вас, вот блин))aulandsdalen
29.11.2017 19:11тут можно поспорить но, каждый останется при своем…
Я сейчас написал абзац про то, что я вот сдавал экзамен Support Essentials, а вы вряд ли и все такое, но потом подумал, что это все не нужно и пустое.
Отключите, блин, через Directory Utility суперпользователя и попробуйте залогиниться.
bo883
29.11.2017 19:55Отключил, и ничего, не дает войти. Что вы пытаетесь доказать?
ЗЫ: и не нужно загибать пальцы, это не имеет смыслаaulandsdalen
01.12.2017 11:31— Нет. Если суперпользователь отключен, то войти под ним не получится ни через su, ни через Login Window, ни как бы то ни было еще.
— тут можно поспорить но, каждый останется при своем…
— Отключите, блин, через Directory Utility суперпользователя и попробуйте залогиниться.
— Отключил, и ничего, не дает войти. Что вы пытаетесь доказать?
Действительно, что?
RaymanOne
29.11.2017 18:16-1andreylartsev
29.11.2017 23:41Нет, нет, не надо таких сравнений Линус Торвальдс тут не причём. Некоторые за такие сравнения и обидеться могут.
Darwin а позднее OS/X а ещё позднее снова macOS построен на ядре FreeBSD, настоящем Unix-е )
Хотя надо признать выбрали его как основу OS скорее из за лицензии, так как BSD лицензия позволяет не раскрывать код производных продуктов.
NotCompletelyStupid
29.11.2017 15:58У меня эта уязвимость не воспроизводится. Возможно из-за того что обновлялся до High Sierra с предыдущей версии.
sergius_the_black
29.11.2017 15:58Вот тут
написано, что форма ввода пароля не просто вводит, а сбрасывает пароль рута, если пользователь не активен.
Кстати, можно также сбросить пароль без sudo. Так что все юзеры маков — потенциально админы)bo883
29.11.2017 17:06У меня изначально установлен root пароль, и все попытки повторить описанные не увенчались успехом. Форма не сбрасывает у пароль
konovalov_nik
29.11.2017 15:58Remote версия через File Sharing по SMB demo
AlphaStream Автор
29.11.2017 16:15Я правильно понимаю, что если File Sharing включен, но никаких папок не расшарено и никаких пользователей не добавлено, то File Sharing вообще не должен предоставлять никакого доступа?
konovalov_nik
29.11.2017 18:22Думаю да. Или хотя бы показывать пустой список того, что можно монтировать, но никак не весь диск.
IGHOR
29.11.2017 17:08С какой macOS подключались в целевую?
Я проверил с macOS High Sierra в High Sierra (свежеустановленную) SMB запрашивает логин и пароль, где пустой пароль не срабатывает.
PS: проверил на других macOS, тоже не подключаются, на видео включен гостевой доступ без пароля. Так что тут все верно.konovalov_nik
29.11.2017 18:29+1На обоих маках 10.13.1 Гостевой доступ точно выключен, однако у меня закралось подозрение, что Mac как-то знает что с обоих сторон одинаковый appleid, возможно меня пускает именно поэтому. Сейчас не возможности проверить для разных appleid.
IGHOR
29.11.2017 17:00Подтверждаю, баг есть только на High Sierra.
В UI macOS срабатывает только если фокус/курсор в поле ввода пароля.
Если включен общий доступ к файлам то в шару, SMB/AFP/FTP/SFTP из-под root, не пускает.
И если включен удаленный вход, то по SSH из-под root тоже не подключиться.
Так что, все не так печально, для эксплуатации уязвимости нужен физический доступ.awoland
29.11.2017 18:01А вот здесь показано обратное…
IGHOR
29.11.2017 18:06Я там уже ответил. Если пароль не спрашивает значит гостевой доступ включен.
У меня есть все версии macOS установленные и не тронутые.
Часто такие видео делают для накрутки просмотров, или может владелец просто не знал что у него включен гостевой доступ без пароля.
vasyakrg
30.11.2017 05:29блин, да что-ж такое?..
проверил у себя, так же со второго клика — ключ с настроек снимается.
через sudo passwd -u root — проблема решилась.
но как же так?..
версия: Бета 10.13.2 (17C79a)vasyakrg
30.11.2017 06:17на втором ноуте, сначала обновился до Бета 10.13.2 (17C83a), потом проверяю — и опять ключик открылся без проблем.
ждем updates…
Finesse
Действительно, можно войти в полноценное рабочее пространство под root, используя пустой пароль. Давно я не встречал таких эпичных уязвимостей.
shure348
в 98 винде помню можно было просто закрыть окно логина и спокойно работать
kalininmr
это был Эпик.
но там простительно, ибо пароль был не от системы, а от приставленной сбоку примочки поддержки многопользовательского входа.