| Summary: | [Fix 21] wireshark fix start as root | ||
|---|---|---|---|
| Product: | [ROSA-based products] ROSA Fresh | Reporter: | VictorR2007 <victorr2007> |
| Component: | Packages from Main | Assignee: | VictorR2007 <victorr2007> |
| Status: | VERIFIED FIXED | QA Contact: | ROSA Linux Bugs <bugs> |
| Severity: | normal | ||
| Priority: | Normal | CC: | m.novosyolov, pastordidi, v.potapov, victorr2007 |
| Version: | All | Flags: | v.potapov:
qa_verified+
m.novosyolov: published- |
| Target Milestone: | --- | ||
| Hardware: | All | ||
| OS: | Linux | ||
| Whiteboard: | |||
| Platform: | --- | ROSA Vulnerability identifier: | |
| RPM Package: | ISO-related: | ||
| Bad POT generating: | Upstream: | ||
|
Description
VictorR2007
2023-10-31 05:16:42 MSK
***************************** Обновление отослано в Тестинг wireshark-4.0.10-2 https://abf.rosalinux.ru/build_lists/4810323 https://abf.rosalinux.ru/build_lists/4810324 https://abf.rosalinux.ru/build_lists/4810325 https://abf.rosalinux.ru/build_lists/4810326 https://abf.rosalinux.ru/build_lists/4810327 ***************************** Advisory ****************************** Root execute fix ********************************************************************* QA Verified Ужасно! Что за костыли и куда смотрит QA? Снимаю с публикации. 1) добавленный в desktop-файл xdg-su не добавлен в Requires 2) xdg-su дырявый и кривой копролит мамонта, мы везде используем polkit для запуска от рута. Пример в https://abf.io/import/rosa-users-quota 3) весьма своеобразно запускать wireshark от рута по умолчанию: он очень часто используется для просмотра снятых где-либо еще дампов трафика. Не все же снимают дампы только со своего компа от рута. Часто снимают на сервере или еще где-то и рассматривают на компе. Запускать wireshark от рута банально опасно для такого, т.к. в нем могут быть уязвимости, из-за которых при открытии дампа с трафиком выполнится код, а получится, что он выполнится от рута. Можно сделать отдельный desktop-файла для его запуска от root. Виктор, поправь, пожалуйста, хотя бы частично. (In reply to Mikhail Novosyolov from comment #3) > Ужасно! Что за костыли и куда смотрит QA? Снимаю с публикации. > 1) добавленный в desktop-файл xdg-su не добавлен в Requires > 2) xdg-su дырявый и кривой копролит мамонта, мы везде используем polkit для > запуска от рута. Пример в https://abf.io/import/rosa-users-quota xdg-su у нас еще где-то используется. > 3) весьма своеобразно запускать wireshark от рута по умолчанию: он очень > часто используется для просмотра снятых где-либо еще дампов трафика. Не все > же снимают дампы только со своего компа от рута. Часто снимают на сервере > или еще где-то и рассматривают на компе. Запускать wireshark от рута > банально опасно для такого, т.к. в нем могут быть уязвимости, из-за которых > при открытии дампа с трафиком выполнится код, а получится, что он выполнится > от рута. Можно сделать отдельный desktop-файла для его запуска от root. Ну тут с одной стороны так, с другой так. Не понятно, что лучше. Если ты залез в wireshark, то мозги имей там разбираться. Значит и понятно, что человек имеет понятие о безопасности. Но могут и домоходяйки поставить, чисто потыркать, им рут права не нужны будут. Хотя, может действительно сделать 2 файла .desktop. Один под юзером, второй запуск из под root'а. У Krusader'a вроде так сделано. Представил домохозяйку, с умным видом смотрящую в wireshark)) Кстати, посмотрел cat /usr/bin/xdg-su, это просто обертка над другими утилитами. polkit адекватнее выглядит. |