[vz-users] Zielkonflikt vzlogger: exec vs. so
Daniel Lauckner
vz at jahp.de
Mo Jan 11 14:29:16 CET 2021
Hallo,
am Sonntag, 10. Januar 2021 um 20:03 hat joekokker at epios.eu geschrieben:
> Welche Probleme siehst du konkret mit dieser Lösung?
Es ist ein generelles Risiko jedem Stück Software ohne weitere
Kontrolle root Rechte zu geben. Da genügen kleine Tippfehler und
du ruinierst dir mal eben das ganze System.
Die Hürden die sowas an der Shell verursacht sind vor allem dazu da
den Anwendunger nochmal eine Denkanstoß zu geben. Deswegen ist die
Überprüfung halt auch im Code eincompiliert.
Mit vzloggger kannst du nix kaputt machen. Wenn vzlogger aber als root
ein Script aufruft vielleicht schon.
https://pubs.opengroup.org/onlinepubs/009695399/functions/popen.html
> The popen() function should not be used by programs that have set
> user (or group) ID privileges. The fork() and exec family of
> functions (except execlp() and execvp()), should be used instead.
> This prevents any unforeseen manipulation of the environment of the
> user that could cause execution of commands not anticipated by the
> calling program.
mfg Daniel
Mehr Informationen über die Mailingliste volkszaehler-users