Bug 10040

Summary:	dbus: Fix CVE-2019-12749
Product:	[ROSA-based products] ROSA Fresh	Reporter:	Mikhail Novosyolov <m.novosyolov>
Component:	Packages from Main	Assignee:	ROSA Linux Bugs <bugs>
Status:	VERIFIED FIXED	QA Contact:	ROSA Linux Bugs <bugs>
Severity:	normal
Priority:	Normal	CC:	alzim, pastordidi, v.potapov, victorr2007, zombie.ryushu
Version:	All	Flags:	v.potapov: qa_verified+ alzim: published+
Target Milestone:	---
Hardware:	All
OS:	Linux
Whiteboard:
Platform:	---	ROSA Vulnerability identifier:
RPM Package:		ISO-related:
Bad POT generating:		Upstream:

Description Mikhail Novosyolov 2019-07-31 02:37:08 MSK

******* QA ADVISORY *******

Joe Vennix discovered that DBus incorrectly handled DBUS_COOKIE_SHA1 authentication. A local attacker could possibly use this issue to bypass authentication and connect to DBus servers with elevated privileges.
https://usn.ubuntu.com/4015-1/

+ https://abf.io/build_lists/3083697
+ https://abf.io/build_lists/3083699

Comment 1 Dmitry Postnikov 2019-08-01 01:00:20 MSK

The update is sent to expanded testing
***************************************

Comment 2 Vladimir Potapov 2019-08-06 15:11:37 MSK

Надо как-то обработать это обновление по-другому. Сейчас после обновления слетают значки, отключаются пункты меню (например, перезагрузка). Хотя бы описать пользователю, что делать, что это не зависание а просто особенность обновления компонента.
В идеале чтоб таких эффектов не было, но хотя бы описать - описанный баг это не баг, это фича.

Comment 3 VictorR2007 2019-08-06 16:08:37 MSK

(In reply to Vladimir Potapov from comment #2)
> Надо как-то обработать это обновление по-другому. Сейчас после обновления
> слетают значки, отключаются пункты меню (например, перезагрузка). Хотя бы
> описать пользователю, что делать, что это не зависание а просто особенность
> обновления компонента.
> В идеале чтоб таких эффектов не было, но хотя бы описать - описанный баг это
> не баг, это фича.

Сейчас ещё раз проверил обновление в консоли.
В конце установки пакетов выдало сообщение, что нужно перезагрузить систему.

Comment 4 Vladimir Potapov 2019-08-06 16:17:55 MSK

да, в графике тоже сообщение это есть. Но в том же KDE пытаешься нажать на кнопку перезагрузки, она не работает. Ну и сообщени идет от ядра и udev, dbus обновляется позже,  к нему бы тоже это сообщение пристегнуть.

Comment 5 Vladimir Potapov 2019-08-06 16:19:36 MSK

Я думаю, решением было бы сообщение типа:
"Необходима перезагрузка системы. Если графические средства для перезагрузки отключены, нажмите alt+f2 и введите команду перезагрузки reboot или произведите перезагрузку из консоли".

Comment 6 Mikhail Novosyolov 2019-08-06 20:01:13 MSK

reboot из консоли вызовет systemctl reboot, который по идее тоже требует dbus. Ситуация странная. такого вообще не должно происходить, сейчас подумаю.

Comment 7 Mikhail Novosyolov 2019-08-06 22:30:41 MSK

******* QA ADVISORY ********

dbus 1.10.14-4
Depends from systemd in bug#10018

+ https://abf.io/build_lists/3084375
+ https://abf.io/build_lists/3084376
************************************

commit 4164028b5930ba873993b0e78b2242b102655a41
Author: Mikhail Novosyolov <m.novosyolov@rosalinux.ru>
Date:   Tue Aug 6 22:15:44 2019 +0300

/var/run -> /run

/var/run is a symlink to /run nowadays -- use /run directly
Also, /run/dbus is a tmpfs created by systemd-tmpfiles -- no need to mark it as %%ghost in RPM files list

commit bfb7c4d440930dfa603eecac6ebb8569e79c9bf9
Author: Mikhail Novosyolov <m.novosyolov@rosalinux.ru>
Date:   Tue Aug 6 21:57:20 2019 +0300

Migrate to systemd-sysusers

Note:
'%%_pre_groupadd daemon messagebus' did not really add user messagebus to group daemon (because the group daemon already existed, this is how that rpm-helper script works), so dropping 'daemon' in the new systemd-sysusers config

commit baa107a73733860143b173187a727bf00691f81e
Author: Mikhail Novosyolov <m.novosyolov@rosalinux.ru>
Date:   Tue Aug 6 20:45:26 2019 +0300

Use macro %%_userunitdir instead of hardcoding that path

commit e6d5d490d01c4856bb9762d6f75a32a28a7db4fa
Author: Mikhail Novosyolov <m.novosyolov@rosalinux.ru>
Date:   Tue Aug 6 20:32:42 2019 +0300

Don't restart dbus.service

Restarting dbus.service when the system is working is a bad idea:
as reported in https://bugzilla.rosalinux.ru/show_bug.cgi?id=10040#c2,
KDE4 looses connection to dbus after it is restarted.

systemd in general is deeply integrated with dbus, so let's just continue
using the current version untill system is fully restarted,
as it is done in case of the vast majority of systemd services.

Comment 8 Vladimir Potapov 2019-08-09 07:41:41 MSK

под плазмой теперь очень интересное поведение. 
Просит перезгрузиться (ура!) но кнопка перезагрузки исчезла из меню - только заблокировать и завершить сеанс.

Comment 9 Vladimir Potapov 2019-08-09 07:52:17 MSK

The update is sent to expanded testing
***************************************

Comment 10 Mikhail Novosyolov 2019-08-10 12:20:27 MSK

(In reply to Vladimir Potapov from comment #8)
> под плазмой теперь очень интересное поведение. 
> Просит перезгрузиться (ура!) но кнопка перезагрузки исчезла из меню - только
> заблокировать и завершить сеанс.

Это вообще похоже на баг "плазмы", я сталкивался с тем, что после того, как system-autoupdate блокирует выключение системы, если в момент блокировки открыть в KDE 5 меню с кнопками перезагрузки/выключения, то они исчезнут, что правильно на момент блокировки, но после снятия блокировки они больше не появляются, похоже на какой-то кеш.

Но здесь непонятно, почему при обновлении dbus и без его перезапуска они исчезают.

Comment 11 Vladimir Potapov 2019-08-12 10:32:56 MSK

dbus-1.10.14-4
https://abf.io/build_lists/3084375
https://abf.io/build_lists/3084376
******************************* Advisory *****************************
Joe Vennix discovered that DBus incorrectly handled DBUS_COOKIE_SHA1 authentication. A local attacker could possibly use this issue to bypass authentication and connect to DBus servers with elevated privileges.
**********************************************************************
QA Verified