Automagiczny builder
undefine at aramin.one.pl
undefine at aramin.one.pl
Sun Nov 17 18:59:15 CET 2002
On Sun, Nov 17, 2002 at 04:31:49PM +0100, Witold Filipczyk wrote:
> Nie rozumiem.
> Skrypt cvsowy wykrywa podbicia Release, robi touch na pilku-nazwie pakietu
> do przebudowania, do którego to katalogu ma prawo zapisu dla grupy.
> Oddzielny proces pracuje w nieskończonej pętli z prawami root-a (niekoniecznie)
> i przebudowywuje pakiety.
> Gdzie tu są zagrożenia bezpieczeństwa ?
hm...
podczas budowania pakietu wykonują się normalne polecenia.
co przeszkodzi np w uruchomieniu jakiegoś backdora z speca?
pozwalającego na wejscie na takie konto?
teraz też jest to mozliwe oczywiście, ale jak ktoś te spece/patche
przegląda takie zagrożenie jest zminimalizowane...
można oczwiście powiedzieć że taki developer straciłby potem konto...
ale wtedy byłoby już po fakcie.
Andrzej
More information about the pld-devel-pl
mailing list