Bug 41418 - Выключает userns_restrict даже в режиме suid
Summary: Выключает userns_restrict даже в режиме suid
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: bubblewrap (show other bugs)
Version: unstable
Hardware: all Linux
: P5 critical
Assignee: Yuri N. Sedunov
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2021-11-23 16:37 MSK by Anton V. Boyarshinov
Modified: 2024-10-11 09:05 MSK (History)
6 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Anton V. Boyarshinov 2021-11-23 16:37:49 MSK 
Пакет зачем-то выключает userns_restrict даже когда собирается в режиме setuid.

Setuid-ному бинарнику положение userns_restrict по идее безразлично и не надо вносить потенциальные уязвимости во всю систему, выставляя этот переключатель в 0

Так как через libgnome-desktop3->gnome-settings-daemon пакет вытягивается практически в любую десктопную систему, проблема является блокером для дистрибутивов.
Comment 1 Dmitry V. Levin 2021-11-23 16:46:55 MSK 
А для suid-root executable, по хорошему, нужен control и/или ограничение доступа по группе, но это всё-таки отдельный вопрос.
Comment 2 Repository Robot 2021-11-23 18:02:19 MSK 
bubblewrap-0.5.0-alt2 -> sisyphus:

 Tue Nov 23 2021 Yuri N. Sedunov <aris@altlinux> 0.5.0-alt2
 - disabled user namespaces in a setuid mode (ALT #41418)