not-a-bug

2017-07-02 04:41 pm
waqur: (Default)
[personal profile] waqur
systemd при разборе конфиг-файлов для сервисов, которые должны стартовать от имени пользователя с пониженным уровнем привилегий, внезапно воспринимает любое имя пользователя, начинающееся с цифры, как "root". Таким образом, сервис тихонько стартует с максимальными правами в системе, и если окажется удалённо взломанным через remote code execution, то вы узнаете об этом лишь постфактум, когда уже будет "поздно пить Боржоми".

Изначальный замысел авторов systemd был в том, чтобы в этом контексте допускать UIDы наряду с именами пользователей. Замысел неправильный — стандарт POSIX не запрещает имена пользователей, начинающиеся с цифры, в том числе — состоящие из одних лишь цифр (IEEE Std 1003.1-2001, пункт 3.426). Например, можно создать пользователя с именем 1234 и UIDом 4321.

Продолжая рассматривать этот вопрос в условиях допущения "Linux это уже давно не POSIX", логично предположить, что имена пользователей, начинающиеся с цифры, но не являющиеся числами, должны порождать ошибку при разборе конфигурационного файла.

Пока шла дискуссия о том, один баг это или два (первый — необходимость выдачи внятного сообщения об ошибке вместо тихой элевации до прав рута, второй — необходимость поддержки имён пользователей, начинающихся с цифры), внезапно появился Поттеринг и закрыл этот баг как not-a-bug. Лолшто?
https://github.com/systemd/systemd/issues/6237

systemd is a symptom of the memetic cancer that has probably irredeemably destroyed UNIX in the Linux ecosystem — травят FreeBSD'шники:
https://twitter.com/matthewjweaver/status/881307929349160960

Ещё: https://twitter.com/Xof/status/881305418080804864
https://twitter.com/SwiftOnSecurity/status/881936783482777600
From:
Anonymous( )Anonymous This account has disabled anonymous posting.
OpenID( )OpenID You can comment on this post while signed in with an account from many other sites, once you have confirmed your email address. Sign in using OpenID.
User
Account name:
Password:
If you don't have an account you can create one now.
Subject:
HTML doesn't work in the subject.

Message:

 
Links will be displayed as unclickable URLs to help prevent spam.

September 2017

S M T W T F S
     12
34567 89
10111213141516
17181920212223
24252627282930

Автор стиля

Развернуть

No cut tags
Page generated 2017-09-21 03:24 am
Powered by Dreamwidth Studios