Проблемы с безопасностью в системе учетных записей участников проекта Fedora Linux

В системе Fedora Account System (FAS), используемой для авторизации и организации входа разработчиков Fedora в различные web-сервисы проекта, в том числе в репозитории git и Bugzilla, выявлена проблема с безопасностью (CVE-2016-1000038), позволяющая без авторизации выполнить HTTP-запрос от имени любого пользователя инфраструктуры.

Уязвимость связана с логической ошибкой в коде, из-за которой web-приложение FAS может принять некорректный поддельный клиентский сертификат. При установке HTTP-заголовка X-Client-Verify осуществлялось копирования логина из заголовка X-Client-CN, выставлялся флаг успешной авторизации и пропускалась стадия проверки пароля. Проблема решена в свежем выпуске FAS путем удаления кода поддержки авторизации по клиентским сертификатам, который выглядел скорее как заглушка, чем работающий код.

При отправке запроса от имени участника проекта Fedora, имеющего высокий уровень доступа, атакующий мог добавить, отредактировать или удалить параметры учетной записи пользователя или группы. Так как FAS является открытой разработкой и используется не только в Fedora, разработчикам применяющих FAS проектов рекомендует срочно обновить систему до последнего выпуска.

Проблема выявлена разработчиками Fedora и уже устранена в рабочем сервисе. Репозитории пакетов, компоненты дистрибутива Fedora и пользователи не пострадали. В настоящее время проводится дополнительный аудит старых логов для выявления признаков возможных манипуляций параметрами пользователей и групп. На текущий момент никаких признаков, что об уязвимости было известно злоумышленникам, не найдено. В целостности репозиториев разработчики не сомневаются, так как любая активность в интерфейсе dist-git, связанная с содержимым пакетов, приводит к отправке уведомления сопровождающим. При этом через web-сервисы повлиять на отправку подобных уведомлений невозможно.