Problema X en debian

Carlos Manuel Duclos Vergara carlos en embedded.cl
Sab Jun 3 04:10:26 CLT 2006 

Holas,

> Me extraña su respuesta Sr. profesor.
> Si nadie reporta este tipo de cosas, como hacer que avance el proyecto?
>

se supone que el proyecto existe para brindar un cierto nivel de 
"tranquilidad" a los usuarios. Sobretodo si estaba en stable, o en testing 
(que se supone ahora que tambien tiene updates desde security).

> Es una pequeñez esto que toco, pero precisamente aqui es donde va el
> caracter principal del software libre, en la colaboracion de la comunidad.
> Me imagino que Ud. lo tiene muy claro...espero.

lo cual no excluye la responsabilidad del autor. No porque sea un proyecto 
open source se te van a filtrar ranas por todos lados

> Cada uno ciertamente tiene sus preferencias. No por un comentario me voy a
> alejar del proyecto que creo, a mi parecer, es uno de los mejores.
> Es normal cometer errores. Y arreglarlos a tiempo es la gracia de
> cualquier proyecto. No veo irresponsabilidad alguna con la seguridad como
> usted afirma.

el problema es que no es un tema menor el del sticky bit. Puede llevar a 
serias complicaciones para el usuario. Sobretodo si el pobre angelito 
encuentra en google soluciones como:

"chmod ugo+w /tmp"

que claramente pueden llevar a problemas serios. Un solo ejemplo (inventado, 
apliquenlo a la situacion que se les ocurra):

1. /tmp con permisos ugo+w
2. Un servicio establece un socket para comunicacion con procesos ayudantes en 
el directorio tmp.
3. Un usuario "avanzado" se percata de la situacion, y se percata de que no 
hay sticky bit y procede a borrar el socket y cambiarlo por un nuevo socket 
adaptado a sus necesidades.
4. El "usuario avanzado" espera que uno de los procesos ayudantes se contacte 
con el socket y voila!

Probablemente tomara unas 100 iteraciones dar con el momento exacto para 
borrar el socket y cambiarlo por otro, pero no es nada que un script y un par 
de cervezas no solucionen.

Pregunta: Que pasa si el proceso que abrio el socket, era un proceso de 
autentificacion de usuarios?

En cambio, el sticky bit existe para garantizar que esa situacion no se de. A 
no ser (y eso depende del sistema en cuestion, si utiliza sistemas mas 
avanzados como SELinux), que seas root con lo cual el sticky bit puede ser 
pasado a llevar.
Esa clase de cosas, debiera ser revisada antes de que salga a la luz publica o 
de lo contrario mas de un dolor de cabeza te vas a llevar.

A todo esto, no tengo ninguna intencion de criticar al mentado proyecto. Solo 
quiero resaltar que lo que parece una "pequennez" puede convertirse en la 
piedra angular de muchos problemas.

Xhau

-- 
http://toolchains.com/personal/blog

Más información sobre la lista de distribución Linux