Despiste de seguridad en Fedora 12

Seguramente muchos ya hayáis leído algo sobre el tema, pero lo cierto es que es curioso que una distribución tan pulida como esta haya fallado en un aspecto tan singular como la seguridad de primer nivel.

Y es que en Fedora 12 se ha descubierto que cualquier usuario puede instalar software en una máquina con esta distribución sin necesidad de utilizar la contraseña del administrador. La noticia fue muy comentada en Reddit, y Red Hat pronto abrió un informe de error para subsanar ese problema. ¿Cómo subsanarlo?

El error -que de hecho es intencionado, una decisión polémica de los desarrolladores de Fedora 12- se debe a la tecnología PolicyKit integrada para usuarios de escritorio, y teóricamente fue un paso realizado para facilitarle a los usuarios menos expertos el acceso a esta tarea, pero las consecuencias son muy graves.
Como comentaba uno de los propios usuarios de Reddit,

“Esta es una de las actualizaciones más estúpidas en una distro Linux de primer nivel que he visto en los últimos 10 años. Lo que es peor, la gente ni siquiera entiende cuál es el problema. Incluso en Windows ya se sabe que no se deben hacer las cosas así. Antes de UAC, al menos había cuentas de Administrador en XP. Felicidades, ya estáis a la par con Winodws 98“.

Las críticas se sucedieron, y demostraron que el sistema es vulnerable a exploits de paquetes que podemos instalar e incluso que elegimos no instalar. Sin embargo, es posible solucionar el problema ejecutando el siguiente comando en una ventana de terminal:

sourcepklalockdown --lockdown org.freedesktop.packagekit.package-install

Más información sobre este cambio, aquí.

Nota de Segu-info: Se liberará una actualización que revierte este cambio, ver en:

http://lwn.net/Articles/362986/rss
https://www.redhat.com/archives/fedora-devel-list/2009-November/msg01445.html

Fuente: MuyLinux