![[skowronski.tech] tech blog](/img/logo.png){kind=logo}
CVE 2017-1000082
2017
CVE 2017-milion-82 i kilka słów o listach mailingowych security
·458 words·3 mins
blog.dsinf.net
CVE 2017-1000082
security
Fartem bo fartem ale zostałem odnotowany jako osoba zgłaszająca CVE 2017-1000082 które udowadnia że “systemd is not safe to run on a security critical machine. The developers are simply too lax about safety” (~Perry E. Metzger) bowiem kiedy wpadniemy na pomysł utworzenia usługi odpalanej przez zgodnego z POSIX użytkownika o nazwie zaczynającej się cyfrą (lub co odkryto później - zawierającego znak unicode) to systemd zfailbackuje do… roota. Bez zgłasznia tego faktu najmniejszym warningiem. A to już otwarte gwałcenie bezpieczeństwa.