Re: [TECH] devenir root

[Stéphane Adenot <sadenot AT april.org>]

Nicolas George wrote:

> C'est la seule publiquement connue en ce moment, et ce depuis quelques
> années. Ça suffit à en faire une information très importante.

Cert(e), l'information est importante. Mais comme le bug existe depuis
20 mois, je me disais que s'il a "survécu" si longtemps, c'est qu'il
n'est peut-être pas le seul. J'essaye donc de relativiser et de
réfléchir à des moyens complémentaires (c.a.d. autres que de patcher le
noyau après coup) de s'en prémunir.

> Scoop : ils n'ont pas fait exprès de rajouter le trou de sécurité. 

C'est clair, ce genre de bug est et sera toujours possible. Je me posais
donc la question de l'interêt et de la possibilité d'avoir une
politique de sécurité qui ne dépend pas (uniquement) de la présence ou
non de ce type de bug.

> L'appel
> système en question sert à améliorer la performance des copies de données.
> Il n'a, en théorie, aucun impact sur la sécurité, il n'y a donc, toujours a
> priori, aucune raison de l'interdire à qui que ce soit.

Je me suis peut-être mal exprimé. Mon propos n'était pas de vouloir
interdire quoi que ce soit à qui que ce soit. Mais plutôt de poser la
question de savoir si cela pouvait avoir un intérêt, quand cela est
possible, d'appliquer aux appels système le même principe que celui qui,
par exemple, conduit les administrateurs système prudents à fermer les
services réseau inutilisés (default deny).