Gå til innhold

Heads up til Gentoo-brukere med kernel 2.6.x

gspr

Av gspr
i Operativsystemer

Anbefalte innlegg

gspr

gspr

Skrevet
Skrevet (endret)

Ta en titt i deres ~/.xsession-errors. Dere vil kanskje se noe slikt:

konsole: cannot chown /dev/pts/0.
Reason: Operation not permitted
konsole_grantpty: determined a strange device name `/dev/ptmx'.
konsole: chownpty failed for device /dev/pts/0::/dev/pts/0.
      : This means the session can be eavesdroped.
      : Make sure konsole_grantpty is installed in
      : /usr/kde/3.1/bin/ and setuid root.

Det er selvfølgelig ikke nødvendigivs konsole som snakker i deres tilfelle. Som man ser av varselen, kan jo dette være riktig så farlig.

 

Bug #36708 adresserer dette, og som det står der, er /sbin/rc patchet i siste versjon. Denne er derimot i ~x86, og vil nok forbli der en stund. Jeg anbefaler derfor at alle som holder det minste av sikkerhet for kjært, manuelt ufører denne patchen:

--- /sbin/rc.old        2003-12-18 18:22:21.000000000 +0100
+++ /sbin/rc    2003-12-18 18:29:47.000000000 +0100
@@ -171,7 +171,7 @@
                       if [ -d /dev/pts ]
                       then
                               ebegin "Mounting devpts at /dev/pts"
-                               try mount -n -t devpts none /dev/pts
+                               try mount -n -t devpts -o mode=0620,gid=5 none /dev/pts
                               eend $?
                       fi
               fi

 

Dette gjelder som nevnt for de av oss som kjører kernel 2.6.x på et Gentoo-system.

 

 

Edit: Åpne en xterm (eller en annen uekte terminal) før du sjekker ~/.xsession-errors, da det er ting som xterm som vil generere denne varselen.

Endret av gspr
Lenke til kommentar

Videoannonse

Videoannonse
Annonse
gspr

gspr

Skrevet
  • Forfatter
Skrevet
o_O, takker. Får sjekke dette senere når LAN-kameratene mine er leie av CS ;p.

 

Edit: Hvilke farer utsetter man seg selv for ved å ikke fikse denne buggen ?

Er ikke helt inne i hvordan /dev/pts fungerer, men så vidt jeg vet er det der uekte terminaler (xterm, ssh-sessions, aterm, eterm, konsole, whatever) bindes. Hvis disse kan eavesdroppes, betyr jo det at en innlogget bruker kan se alt man skriver (også passordet når man drar en su, antar jeg). Rett på meg hvis jeg har feil, noen.

Lenke til kommentar
JuZt3r

JuZt3r

Skrevet
Skrevet
o_O, takker. Får sjekke dette senere når LAN-kameratene mine er leie av CS ;p.

 

Edit: Hvilke farer utsetter man seg selv for ved å ikke fikse denne buggen ?

Er ikke helt inne i hvordan /dev/pts fungerer, men så vidt jeg vet er det der uekte terminaler (xterm, ssh-sessions, aterm, eterm, konsole, whatever) bindes. Hvis disse kan eavesdroppes, betyr jo det at en innlogget bruker kan se alt man skriver (også passordet når man drar en su, antar jeg). Rett på meg hvis jeg har feil, noen.

Au da. det kan være farlig.. :D glad jeg har ventet til 2.6 har kommet som "stable" i gentoo-sources.

eller venter på nye versjonen som skulle kommer i januar da.

whatever kommer først :D

men helt supert at du sier ifra.

Lenke til kommentar
hegga

hegga

Skrevet
Skrevet
Au da. det kan være farlig.. :D glad jeg har ventet til 2.6 har kommet som "stable" i gentoo-sources.

eller venter på nye versjonen som skulle kommer i januar da.

whatever kommer først :D

men helt supert at du sier ifra.

I følge ryktene på #gentoo så skal Gentoo 2004 komme

1 januar 2004. Blir boksene holdt oppdatert med emerge -u system

så skal den bli en Gentoo 2004 boks helt uten problemer visst nok.

 

MEN; dette er kun rykter på #gentoo

 

--

..hegga

Lenke til kommentar
sim

sim

Skrevet
Skrevet (endret)
Au da. det kan være farlig.. :D glad jeg har ventet til 2.6 har kommet som "stable" i gentoo-sources.

eller venter på nye versjonen som skulle kommer i januar da.

whatever kommer først :D

men helt supert at du sier ifra.

I følge ryktene på #gentoo så skal Gentoo 2004 komme

1 januar 2004. Blir boksene holdt oppdatert med emerge -u system

så skal den bli en Gentoo 2004 boks helt uten problemer visst nok.

 

MEN; dette er kun rykter på #gentoo

 

--

..hegga

Hmm, rykter er ikke til å stole på. LES

 

Beklager gspr *sporeavtråd*

[Gentoo Forums Forum Hovedsiden -> Other Things Gentoo -> Gentoo 2004.0 -- Testers needed]

 

 

Edit:

Legge til litt mer ;p

Endret av sim
Lenke til kommentar
Egil.B

Egil.B

Skrevet
Skrevet
Au da. det kan være farlig.. :D glad jeg har ventet til 2.6 har kommet som "stable" i gentoo-sources.

eller venter på nye versjonen som skulle kommer i januar da.

whatever kommer først :D

men helt supert at du sier ifra.

Min antakelse er at det ikke vil skje i gjeldende versjon(1.4mr1). Ganske enkelt fordi nevnte versjon ikke er kompitabel med 2.6.0. Prøver du å emerge devel, som er 2.6.0, vil den installere noen nye, oppdaterte pakker. Dermed må det lages nye stage3 tarballs osv som har disse pakkene,, og man får dermed (grunnlaget for) en ny release.

Lenke til kommentar
JuZt3r

JuZt3r

Skrevet
Skrevet
Au da. det kan være farlig.. :D glad jeg har ventet til 2.6 har kommet som "stable" i gentoo-sources.

eller venter på nye versjonen som skulle kommer i januar da.

whatever kommer først :D

men helt supert at du sier ifra.

I følge ryktene på #gentoo så skal Gentoo 2004 komme

1 januar 2004. Blir boksene holdt oppdatert med emerge -u system

så skal den bli en Gentoo 2004 boks helt uten problemer visst nok.

 

MEN; dette er kun rykter på #gentoo

 

--

..hegga

Ja jeg vet. Men jeg gidderikke rydde opp i alt jeg har gjort på denne her nå. Og føler for en fresh installasjon. bytte på partisjoner osv. derfor velger jeg å installere på nytt snart.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...