[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [DONE] wml://security/2020/dsa-4791.wml

Вт 17 ноя 2020 @ 09:48 Galina Anikina <merilaga@yandex.ru>:

> On Fri, 2020-11-13 at 15:39 +0500, Lev Lamberov wrote:

>> -<p>If the <q>enable-acl</q> cluster option isn't enabled, members of
>> the
>> -<q>haclient</q> group can modify Pacemaker's Cluster Information
>> Base without
>> -restriction, which already gives them these capabilities, so there
>> is
>> -no additional exposure in such a setup.</p>
>> +<p>Если для кластера не включена опция "enable-acl", то члены группы
>> +<q>haclient</q> могут изменять информацию о кластере Pacemaker без
>> +ограничений, что уже даёт им данные возможности, поэтому при таких
>> +настройках нет дополнительных проблем безопасности.</p>

> Что-то здесь не так - не понятно, может изложить мысль как-то по
> другому? Я при чтении всего предложения не поняла этот кусок, хотя
> может специалистам ясно.

Сделал так:

Если для пользователей из группы <q>haclient</q> настроены списки управления
доступом, то эти ограничения можно обойти с помощью неограниченного
IPC-взаимодействия, что приводит к выполнению произвольного кода с правами
суперпользователя на всех машинах кластера.

Спасибо!
Reply to: