Bug 14017

Summary: [fix 21] userdrake: fix empty passwords
Product: [ROSA-based products] ROSA Fresh Reporter: Mikhail Novosyolov <m.novosyolov>
Component: Packages from MainAssignee: ROSA Linux Bugs <bugs>
Status: VERIFIED FIXED QA Contact: ROSA Linux Bugs <bugs>
Severity: normal    
Priority: Normal CC: a.proklov, pastordidi, sulmpx60, temap, v.potapov
Version: AllFlags: v.potapov: qa_verified+
a.proklov: published+
Target Milestone: ---   
Hardware: All   
OS: Linux   
Whiteboard:
Platform: 2021.1 ROSA Vulnerability identifier:
RPM Package: ISO-related:
Bad POT generating: Upstream:

Description Mikhail Novosyolov 2023-11-10 16:31:16 MSK 
*********** QA ADVISORY ***********

Что и зачем сделано, написано здесь:
https://abf.io/import/userdrake/pull_requests/3
Патч сделал Сергей из МОС.

userdrake 1.14-21
https://abf.io/build_lists/4818589
https://abf.io/build_lists/4818590
https://abf.io/build_lists/4818591
https://abf.io/build_lists/4818592
https://abf.io/build_lists/4818593
Comment 1 Mikhail Novosyolov 2023-11-11 00:54:09 MSK 
Будет ещё сборка, пока снимаю с QA
Comment 2 Mikhail Novosyolov 2023-12-08 13:35:50 MSK 
*********** QA ADVISORY ***********

Что и зачем сделано, написано здесь:
https://abf.io/import/userdrake/pull_requests/3
Патч сделал Сергей из МОС.

userdrake 1.14-22
- исправление для пустых паролей
- устранена возможность выполнить произвольный код путем ввода в поле пароля
https://abf.io/build_lists/4884787
https://abf.io/build_lists/4884788
https://abf.io/build_lists/4884789
https://abf.io/build_lists/4884791
https://abf.io/build_lists/4884792
Comment 3 Dmitry Postnikov 2023-12-08 18:44:07 MSK 
Что-то не вижу изменений. Юзера без пароля создаю, все равно пишет, что "Пароль не указан"
Comment 4 Sergey Katunin 2023-12-11 17:38:59 MSK 
(In reply to Dmitry Postnikov from comment #3)
> Что-то не вижу изменений. Юзера без пароля создаю, все равно пишет, что
> "Пароль не указан"

Судя по всему, стоит ` libpwquality-tools `, который и не дает создать учетную запись без пароля с сообщением: "Пароль не указан".

Но это изменение направлено на другое, оно направлено на фикс возможности выхода из блокировки `kscreenlocker` после создания учетки без пароля в `userdrake` (без установленного пакета `libpwquality-tools`).

Также исправлена возможность делать bash-инъекции в поле для ввода пароля.
Comment 5 Dmitry Postnikov 2023-12-11 18:25:57 MSK 
*****************************
Обновление отослано в Тестинг
Comment 6 Vladimir Potapov 2023-12-13 17:21:51 MSK 
userdrake-1.14-22
https://abf.io/build_lists/4884787
https://abf.io/build_lists/4884788
https://abf.io/build_lists/4884789
https://abf.io/build_lists/4884791
https://abf.io/build_lists/4884792
************************* Advisory *************************
- исправление для пустых паролей
- устранена возможность выполнить произвольный код путем ввода в поле пароля
************************************************************
QA Verified