[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [DONE] wml://security/2020/dsa-4791.wml

On Tue, 2020-11-17 at 21:25 +0500, Lev Lamberov wrote:
> Вт 17 ноя 2020 @ 09:48 Galina Anikina <merilaga@yandex.ru>:
> 
> > On Fri, 2020-11-13 at 15:39 +0500, Lev Lamberov wrote:
> 
> > > -<p>If the <q>enable-acl</q> cluster option isn't enabled,
> > > members of
> > > the
> > > -<q>haclient</q> group can modify Pacemaker's Cluster Information
> > > Base without
> > > -restriction, which already gives them these capabilities, so
> > > there
> > > is
> > > -no additional exposure in such a setup.</p>
> > > +<p>Если для кластера не включена опция "enable-acl", то члены
> > > группы
> > > +<q>haclient</q> могут изменять информацию о кластере Pacemaker
> > > без
> > > +ограничений, что уже даёт им данные возможности, поэтому при
> > > таких
> > > +настройках нет дополнительных проблем безопасности.</p>
> 
> > Что-то здесь не так - не понятно, может изложить мысль как-то по
> > другому? Я при чтении всего предложения не поняла этот кусок, хотя
> > может специалистам ясно.
> 
> Сделал так:
> 
> Если для пользователей из группы <q>haclient</q> настроены списки
> управления
> доступом, то эти ограничения можно обойти с помощью неограниченного
> IPC-взаимодействия, что приводит к выполнению произвольного кода с
> правами
> суперпользователя на всех машинах кластера.
> 
> Спасибо!


Отлично, умница!
Всё сразу "влёт" понятно :-)
Reply to: