[devel] sandman на cvs.altlinux.org
Dmitry V. Levin
=?iso-8859-1?q?ldv_=CE=C1_altlinux=2Eorg?=
Вт Авг 5 22:01:55 MSD 2003
On Tue, Aug 05, 2003 at 08:56:50PM +0300, Sergey Bolshakov wrote:
> >> > >>Сборку все-таки лучше через hasher проводить.
> >> > >Чем лучше?
> >> > Тем, что incoming разгребается hasher'ом .
> >> Нет, а чем это лучше, чем родной sandman'овский пересборщик?
>
> > Он слишком сильно доверяет собираемым пакетам.
>
> > C помощью исходных пакетов специального вида потенциальный
> > злоумышленник, имеющий доступ к сборочному механизму sandman'а, может
> > получить права root'а в host-системе.
>
> > Это не ошибка реализации, это выбор архитектора, который предназначал
> > sandman для решения других задач (тех, которые в своём письме описал
> > Саша).
>
> > По этой причине для обработки incoming'а sandman использовать нельзя.
>
> Позволю себе небольшое уточнение:
> sandman не использует установку src.rpm нигде и никак, эскалация
> прав возможна при условии, что на момент сборки в репозитарии
> уже существует некий _бинарный_ пакет с 'закладкой'.
Разумеется, но и этого достаточно.
Причём репозитарием с 'закладкой' может быть даже не Sisyphus, а
вспомогательный, который необходим для последовательной сборки нескольких
пакетов.
--
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип : application/pgp-signature
Размер : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url : <http://lists.altlinux.org/pipermail/devel/attachments/20030805/01c81c99/attachment-0001.bin>
Подробная информация о списке рассылки Devel