Forum Linux.debian/ubuntu Ooo s'ouvre en root et non en user normal

Posté par .
Tags : aucun
1
12
juil.
2007
Bonjour,

Après avoir installé les drivers unifiés de Samsung pour gérer mon imprimante scanner, j'ai eu la très mauvaise surprise de constater que la suite openoffice s'ouvrait en root et ceci sans que me soit demandé le moindre mot de passe !!!

Du coup, les documents que je crée s'enregistrent dans le dossier /root/ avec des droits de super utilisateur. Pratique et super sécure !

A tout hasard j'ai réinitialisé le .Xauthority : aucun succès.

La bête est sous Ubuntu 7.04 et gnome. En attendant vote aide, je cherche et tente de résister au désespoir le plus sombre !

Merci
  • # Quelques pistes ?

    Posté par . Évalué à  3 .

    lance le dans un terminal et regarde les messages qu'il lance.
    Vérifie que l'exécutable d'openoffice n'a pas le bit SuID (qui lance le programme en root quelque soit l'utilisateur qui l'appelle, un peu comme halt) (bon celle-là je n'y crois pas trop...)
    Vérifie que tu ne t'es pas loggué en root avec sudo qui a il me semble une persistance (il autorise pendant quelques minutes l'exécution de programmes réservés à root).

    Peux-tu détailler un peu les manipulations effectuées par l'installation des pilotes ?
    • [^] # Re: Quelques pistes ?

      Posté par . Évalué à  1 .

      Merci pour ton aide : le problème est bien plus sérieux. Je viens de m'apercevoir que j'ai quasi tous les droits avec d'autres applis aussi. Je peux par exemple écrire, détruire dans /etc avec nautilus lancé normalement.

      Lorsque je lance openoffice dans nautilus, je n'ai aucun message particulier. il se lance en root, c'est tout.

      que je le lance par /usr/bin/oowriter ou oowriter ne change rien.

      J'ai ce problème sur deux ordinateurs où j'ai installé les drivers hier.
      (Pour info, voici la page desdits driver :
      http://www.samsung.com/uk/support/productsupport/download/Fi(...) )

      Ces drivers posent problème puisque installés suivant la procédure, le scanner ne peut être appelé que par "sudo xsane". Je pense que Samsung, conscient de ce problème et peu disposé à le régler efficacement a proposé un contournement grossier en donnant plus de pouvoir à l'user normal.

      J'ai cependant été obligé de suivre la procédure décrite ici pour obtenir de xsane qu'il se lance sans sudo (après une compil d'une version plus récente de xsane) :

      http://jacobo.tarrio.org/Samsung_SCX-4200_on_Debian

      Cette procédure n'a été faite que sur l'un des ordis donc le problème est vraiment consécutif à l'installation des drivers Samsung.


      J'espère que cela pour t'aider à m'aider.
  • # Voir source du script d'installation

    Posté par (page perso) . Évalué à  10 .

    Dans le source du script d'instalaltion des drivers, on peut voir :

            wrap_setuid_third_party_application xsane
            wrap_setuid_third_party_application xscanimage
    
            wrap_setuid_ooo_application soffice
            wrap_setuid_ooo_application swriter
            wrap_setuid_ooo_application simpress
            wrap_setuid_ooo_application scalc
    et :
    wrap_setuid_third_party_application() {
            if echo "$1" | grep -q "/" ; then
                    APP_NAME=$1
            else
                    APP_NAME=`which $1 2> /dev/null`
            fi
            NEW_NAME=${APP_NAME}.bin
    
            if test -n "$APP_NAME" ; then
                    if ! test -f "$NEW_NAME" && ! test -d "$NEW_NAME"; then
                            mv "$APP_NAME" "$NEW_NAME"
                            cp -af /opt/${VENDOR}/mfp/bin/suwrap "$APP_NAME"
                            chown root:root "$APP_NAME"
                            chmod 4755 "$APP_NAME"
                    fi
            fi
    }
    
    wrap_setuid_ooo_application() {
            WRAPPING_BIN=`ls /usr/lib*/*/program/$1.bin /opt/*/program/$1.bin 2> /de
    v/null | head -1`
            if test -n "$WRAPPING_BIN" ; then
                    ${2}wrap_setuid_third_party_application $WRAPPING_BIN
            fi
    }
    

    Donc en gros il te copie les exécutables ooo dans /opt avec l'extension .bin et il te les remplace par un script setuid qui les appelles. Je n'ai jamais vu une telle horreur.

    • [^] # Re: Voir source du script d'installation

      Posté par . Évalué à  2 .

      hallucinant !!! c'est une sorte de cheval de Troie ?

      Que me conseilles-tu de faire?

      Si je lance les binaires d'openoffice directement dans /usr/bin cela ne change rien au problème.

      Comment se fait-il par ailleurs que nautilus lancé en user normal ait le droit de supprimer des fichiers rwx r-- --- ?
      • [^] # Re: Voir source du script d'installation

        Posté par (page perso) . Évalué à  3 .

        Je ne pense pas que ce soit un cheval de troie mais plutôt une très mauvaise façon de controuner un problème dans leur driver.

        Pour nautilus, aucune idée.

        Pour ce que je te conseille, rien de bien simple. Perso, ce que je ferais, c'est exécuter le scipt d'installation en enlevant ces lignes setuid. Ensuite, voir les droits minimum dont a besoin xsane pour fonctionner, créer un groupe dédié qui a les droits sur les bons périphériques de /dev (apparemment /dev/mfpports et le port série) et s'ajouter dans ce groupe. Mais je sais pas si c'est possible. A voir, par tatonnement en utilisateur normal en regardant ce qui ne marche pas (éventuellement à coup de strace)...

        Pour info, c'est comme celà que fonctionne l'usb, la carte son, etc (au moins sur Debian et ubuntu) : si tu n'es pas dans le groupe audio, tu ne peux pas écouter de musique car seul les utilisateurs du groupe audio on le droit d'écrire dans /dev/snd/*.
    • [^] # Re: Voir source du script d'installation

      Posté par . Évalué à  4 .

      C'est affreux parce qu'il y a bon nombre de gens qui pensent que l'on ne peut pas faire autrement que de passer root dès lors qu'UNIX dresse la moindre barrière ! "Bah oui, j'ai été obligé de défoncer la porte puisqu'elle était fermée à clef ...".

      Ce post-ci, dans lequel l'auteur a au moins le mérite d'être clair sur ses intentions, est assez révélateur de ce qui doit se passer dans la tête de pas mal de monde : https://linuxfr.org/forums/15/22167.html

      Et c'est inquiétant parce que cela confirme la probabilité d'un grand danger avec l'expansion du système dans le grand public : la faille de sécurité majeure viendra de l'utilisateur.
      • [^] # Re: Voir source du script d'installation

        Posté par . Évalué à  1 .

        cette façon de faire est même en contradiction avec le projet Linux.

        En attendant, j'aurais préféré faire un 'dewrappage' ! J'ai passé la journée d'hier à installer les drivers pour m'apercevoir à la fin que tout déconnaît. et je sens que c'est reparti !
      • [^] # Re: Voir source du script d'installation

        Posté par . Évalué à  3 .

        la faille de sécurité majeure viendra de l'utilisateur.
        c'était d'ailleurs l'origine de la réputation de manque de sécurité des Unices au début des années 90 il me semble... Ben oui, c'est plus simple quand tout tourne en root...
        • [^] # Re: Voir source du script d'installation

          Posté par . Évalué à  2 .

          en fait le script d'nstallation du driver a aussi changé le propriétéaire de /etc (qui n'appartient plus à root mais à l'user normal).
          • [^] # Petit point !

            Posté par . Évalué à  2 .

            L'installation des drivers unifiés SAMSUNG pose donc quelques soucis. Je suis ravi parce que ce post apportera une solution à tout ceux qui comme moi ont dû rencontrer ce problème.

            J'ai fait ce que tu m'as conseillé, en modifiant le script d'installation des drivers (il suffit de commenter les lignes citées plus haut) et l'installation se déroule normalement.

            Open office fonctionne très bien comme ça et est en mesure d'imprimer. Pour scanner (série des imprimantes scx-4100 scx-4200) le patch de jacomo est indispensable et je remets ici le lien : http://jacobo.tarrio.org/Samsung_SCX-4200_on_Debian

            PAR CONTRE ! pourquoi me fait-il un chown user /etc ?

            Le propriétaire du répertoire /etc n'est-il pas normalement root ?
            • [^] # Re: Petit point !

              Posté par . Évalué à  4 .

              PAR CONTRE ! pourquoi me fait-il un chown user /etc ?

              Parce que le type qui a écrit le script d'installation est un incapable.

              C'est même grave de laisser des gens avec ce niveau d'incompétence écrive des scripts/programmes qui sont diffusés au grand public.

              Le propriétaire du répertoire /etc n'est-il pas normalement root ?

              Si, et seul root à le droit d'y écrire (ainsi que les fichiers s'y trouvant). Avec la commande chown, tu peux changer le propriétaire.

              Par contre, fait attention aux propriétaires et aux droits des fichiers s'y trouvant. En cas de mauvais réglage, tu peux bloquer ta machine, si des fichiers sont innacessibles.
              • [^] # Re: Petit point !

                Posté par . Évalué à  3 .

                Merci à tous...

                Je me suis incliné et j'ai rendu à Root ce qui appartenait à Root, n'en déplaise à Samsung.
              • [^] # Re: Petit point !

                Posté par . Évalué à  3 .

                ATTENTION, ce n'est pas toujours vrai :

                En particulier, beaucoup de fichiers de config appartiennent à root mais font également partie d'un groupe, ce afin que les utilisateurs autorisés puissent modifier ce qui relève de leurs prérogatives.

                Il faut aussi tenir compte des pseudo-users, tels que postgresql, qui est assez tâtillon sur les droits d'accès.

                Bref, si un script d'installation m'avait fait ce coup-là, ça m'aurait mis de très mauvaise humeur ...
                • [^] # Re: Petit point !

                  Posté par . Évalué à  1 .

                  Ma foi, j'ai bel et bien l'impression d'avoir soulevé un lièvre. Pourtant je n'ai vu personne se plaindre de ce driver depuis le mois d'avril et des multifonctions Samsung, il doit s'en vendre pléthore !

                  J'ai mis à jour des listes de discussions du forum ubuntu sur le thème.
                • [^] # Re: Petit point !

                  Posté par . Évalué à  1 .

                  ATTENTION, ce n'est pas toujours vrai :

                  En particulier, beaucoup de fichiers de config appartiennent à root mais font également partie d'un groupe, ce afin que les utilisateurs autorisés puissent modifier ce qui relève de leurs prérogatives.
                  ...


                  Tout à fait.

                  Il doit être possible de contrôler tout ça avec l'utilitaire de gestion des package. Sous Mandrake, la commande rpm (et sûrement ses alternatives) peut contrôler les fichiers des packages installés, notamment les droits.
        • [^] # Re: Voir source du script d'installation

          Posté par (page perso) . Évalué à  3 .

          C'est aussi le problème MAJEUR de l'OS Windows !
          Par défaut droit admin:
          - DebugPrivileges
          - Chargement de drivers
          - Destruction du système de fichier
          - etc.....
          Qu'un produit "industriel" se permette de faire ca sur un *nix.....
          • [^] # Re: Voir source du script d'installation

            Posté par . Évalué à  2 .

            Nan, justement, sous Windows, même en Administrateur, tu n'es pas sûr de pouvoir tout faire, et encore moins avec les niveaux d'accréditation prédéfinis inférieurs.

            Le vrai problème majeur, comme tu dis, c'est que bien souvent, pour pouvoir faire quelque chose d'un tant soit peu ambitieux, on est obligé de passer Administrateur, et du coup, la majorité des utilisateurs qui émigrent sous UNIX exportent le même modèle de pensée, alors qu'à la base ce n'est quand même franchement pas compliqué : 99% des ressources se gèrent au travers du système de fichiers.
  • # Énorme !

    Posté par . Évalué à  4 .

    Je viens de découvrir cet article via totalement crétins, c'est énorme !

    Et je fais suivre l'info sur les forums Ubuntu.

    Est-ce que ce problème est récent ? Est-ce que Samsung a réagi ? Le pilote du site a été mis à jour en avril 2007, donc je pense que pas mal d'utilisateurs on du être impactés...
    • [^] # Re: Énorme !

      Posté par . Évalué à  1 .

      ça serait bien de rédiger un article sur le planet d'Ubuntu.

      je ferai certainement une page de documentation sur l'installation de ces drivers bien que Samsung risque de corriger le tir. Hum... est-ce bien nécessaire?
      • [^] # Re: Énorme !

        Posté par (page perso) . Évalué à  2 .

        Je viens de faire passer sur la ml de discussion du planet l'article proposé par bruno (le même que ci-dessus je suppose :) ).
        • [^] # Re: Énorme !

          Posté par . Évalué à  1 .

          Salut
          C'est vraiment du n'importe quoi ce truc
          Si une personne qui a bon niveau en anglais pouvait mettre cette infomation sur http://digg.com
          Cette information sera rapidement en page d'accueil.

          Quel monde pourri
        • [^] # Re: Énorme !

          Posté par . Évalué à  1 .

          Oui et merci Jean-Philippe, je pense qu'il est important de diffuser cette info le plus largement possible, avec un double objectif, alerter les utilisateurs et les dév. du pilote pour qu'ils corrigent le tir.
          • [^] # Re: Énorme !

            Posté par (page perso) . Évalué à  3 .

            les dév. du pilote

            ya pas une mailing-list pour les développements ? parce que bon, contacter les gens directement c'est bien souvent plus efficace et moins énervant...

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.