В macOS нашли уязвимость: любой может стать администратором без пароля

Vladimir Fyodorov написал(а) к All в Nov 17 09:02:30 по местному времени:

Разнообразно приветствую тебя, All!

В macOS нашли уязвимость: любой может стать администратором без пароля

Meduza 00:16, 29 ноября 2017

В операционной системе macOS Нigh Sierra обнаружена возможность без ввода пароля активировать так называемого суперпользователя - главного администратора, имеющего права на выполнение любых операций.

Об уязвимости сообщил в твиттере турецкий IT-специалист Леми Орхан Эргин.

Чтобы активировать "суперпользователя", нужно в диалоговом окне, требующем ввода логина и пароля (кроме окна входа в систему), ввести имя пользователя root и оставить пустым поле для пароля; затем нужно несколько раз нажать "ввод".

Защититься от использования уязвимости можно, установив свой пароль для пользователя root. Это можно сделать, включив его по этой [инструкции](https://support.apple.com/ru-ru/НT204012) .

Уязвимость есть как в текущей версии системы 10.13.1, так и в бета-версии следующего релиза, 10.13.2.

===
macOS Нigh Sierra - последняя версия операционной системы для компьютеров Apple. Она была выпущена в сентябре 2017 года.

meduza.io : http://bit.ly/2zzjORz

Всяческих благ. Искренне Ваш, Vladimir Fyodorov, эсквайр.
... Синбай на хабах pежете, а это бандитизм!
--- GoldED+/OSX 1.1.5-b20170303

Alexandr Kruglikov написал(а) к Vladimir Fyodorov в Nov 17 12:18:16 по местному времени:

Привет, Vladimir!

29 ноя 17 09:02, Vladimir Fyodorov писал(а) к All:

VF> *В macOS нашли уязвимость: любой может стать администратором без
VF> пароля*
VF> ===
VF> macOS Нigh Sierra - последняя версия операционной системы для
VF> компьютеров Apple. Она была выпущена в сентябре 2017 года.

Нigh Sierra не взлетела, это уже понятно.

С наилучшими пожеланиями, Alexandr.

--- "OS X/binkd/hpt-1.9-cur/GoldEd+-1.1.5-b20170303" ---

Andrei Dzedolik написал(а) к Vladimir Fyodorov в Nov 17 12:18:54 по местному времени:

Greetings, traveler ...

29 Nov 17 09:02, you wrote to All:

VF> Разнообразно приветствую тебя, All!

VF> *В macOS нашли уязвимость: любой может стать администратором без
VF> пароля*

Если что, то sudo passwd root и задать пароль лечит эту уязвимост. Судя по всему, суть проблемы в том, что по умолчанию пользователь root в сситеме безпарольный и отключенный, при попытке входа, глупый login manager включает его и пускает с пустым паролем :)
Бага, конечно, из серии "ржунимагу" ))

\aID

--- GoldED+/BSD 1.1.5-b20160322

Alexandr Kruglikov написал(а) к Andrei Dzedolik в Nov 17 14:30:46 по местному времени:

Привет, Andrei!

29 ноя 17 12:18, Andrei Dzedolik писал(а) к Vladimir Fyodorov:

VF>> *В macOS нашли уязвимость: любой может стать администратором без
VF>> пароля*
AD> Если что, то sudo passwd root и задать пароль лечит эту уязвимост.
AD> Судя по всему, суть проблемы в том, что по умолчанию пользователь root
AD> в сситеме безпарольный и отключенный, при попытке входа, глупый login
AD> manager включает его и пускает с пустым паролем :) Бага, конечно, из
AD> серии "ржунимагу" ))

Мне вот эту багу напомнило
https://thehackernews.com/2016/11/ha...ux-system.html

С наилучшими пожеланиями, Alexandr.

--- "OS X/binkd/hpt-1.9-cur/GoldEd+-1.1.5-b20170303" ---

Vladimir Fyodorov написал(а) к Andrei Dzedolik в Nov 17 13:37:18 по местному времени:

Разнообразно приветствую тебя, Andrei!

29 Ноября 2017, Andrei Dzedolik писАл к Vladimir Fyodorov следующее:

VF>> *В macOS нашли уязвимость: любой может стать администратором без
VF>> пароля*
AD> Бага, конечно, из серии "ржунимагу" ))

"При Джобсе..." ну ты понял :)

Всяческих благ. Искренне Ваш, Vladimir Fyodorov, эсквайр.
... Не так страшен маляр, как его малярия
--- GoldED+/OSX 1.1.5-b20170303

Sergey Poziturin написал(а) к Alexandr Kruglikov в Nov 17 15:22:25 по местному времени:

Нello, Alexandr Kruglikov.
On 29.11.17 12:18 ПП you wrote:

VF>> *В macOS нашли уязвимость: любой может стать администратором без
VF>> пароля* === macOS Нigh Sierra - последняя версия операционной
VF>> системы для компьютеров Apple. Она была выпущена в сентябре 2017
VF>> года.
AK> Нigh Sierra не взлетела, это уже понятно.

Кто-то реально в юникс-лайк системе не меняет пароль рута сразу же, как она к нему попадает?

Вопрос, понятно, риторический.

--
Best regards!
Posted using Нotdoged on Android
--- Нotdoged/2.13.5/Android

Alexandr Kruglikov написал(а) к Sergey Poziturin в Nov 17 17:42:42 по местному времени:

Привет, Sergey!

* Ответ на сообщение из CarbonArea (Мыльце для меня).

29 ноя 17 15:22, Sergey Poziturin писал(а) к Alexandr Kruglikov:

VF>>> *В macOS нашли уязвимость: любой может стать администратором без
VF>>> пароля* === macOS Нigh Sierra - последняя версия операционной
VF>>> системы для компьютеров Apple. Она была выпущена в сентябре 2017
VF>>> года.
AK>> Нigh Sierra не взлетела, это уже понятно.
SP> Кто-то реально в юникс-лайк системе не меняет пароль рута сразу же,
SP> как она к нему попадает?
SP> Вопрос, понятно, риторический.

Судя по поднятому шуму - таких много =)))

С наилучшими пожеланиями, Alexandr.

--- "OS X/binkd/hpt-1.9-cur/GoldEd+-1.1.5-b20170303" ---

Oleg W. Levchenko написал(а) к Alexandr Kruglikov в Nov 17 17:44:16 по местному времени:

29.11.17, 17:42. Alexandr Kruglikov vs. Sergey Poziturin.

AK>>> Нigh Sierra не взлетела, это yже понятно.
SP>> Кто-то pеально в юникс-лайк системе не меняет паpоль pyта сpазy же,
SP>> как она к немy попадает?
SP>> Вопpос, понятно, pитоpический.

AK> Сyдя по поднятомy шyмy - таких много =)))

вопpос нифига не pитоpический. потомy как с юникс-лайк системой не идёт в комплекте юникс-лайк мозг.

от домохозяек -- юзеpов макбyчеков стpанно ждать, чтобы они мыслили как юникс-админы. "это фиаско, бpатан"(с)

такшта, возглавляемые геем "эпплы" постепенно пpевpащаются в <beep!>pасов :)))

0wl

... Тpимай зi мною зв'язок! Тpимай зв'язок зi мною, pазом вийдемо в ефip!
--- Писано плyгом (инв.№ 3.0.1)

Anatoliy Sablin написал(а) к Vladimir Fyodorov в Nov 17 18:48:39 по местному времени:

Нello, Vladimir Fyodorov.
On 29.11.2017 9:02 you wrote:

VF> *В macOS нашли уязвимость: любой может стать администратором без
VF> пароля*

Вспоминается анекдот, как китайцы пентагон взламывали...

--
Best regards!
Anatoly Sablin aka ma1uta
--- Нotdoged/2.13.5/Android

Anatoliy Sablin написал(а) к Sergey Poziturin в Nov 17 18:50:49 по местному времени:

Нello, Sergey Poziturin.
On 29.11.2017 15:22 you wrote:

VF>>> *В macOS нашли уязвимость: любой может стать администратором без
VF>>> пароля* === macOS Нigh Sierra - последняя версия операционной
VF>>> системы для компьютеров Apple. Она была выпущена в сентябре 2017
VF>>> года.
AK>> Нigh Sierra не взлетела, это уже понятно.
SP> Кто-то реально в юникс-лайк системе не меняет пароль рута сразу
SP> же, как она к нему попадает?

Тут хитрее. У рута нет пароля. Не пустой пароль, а именно он отсутствует. Можно так сделать, чтобы нельзя залогиниться, только sudo или su.

Например, в убунте и дебиане, если не задавать пароль руту.


--
Best regards!
Anatoly Sablin aka ma1uta
--- Нotdoged/2.13.5/Android