Path: csiph.com!fu-berlin.de!uni-berlin.de!individual.net!not-for-mail From: Stefan Reuther Newsgroups: de.comp.os.unix.linux.misc Subject: Re: Security Date: Tue, 21 Mar 2023 19:08:25 +0100 Lines: 26 Message-ID: References: <1t640ee625i27e3can3e8%sfroehli@Froehlich.Priv.at> <1t640f941ai2948fdn3e8%sfroehli@Froehlich.Priv.at> <7t640fa040i2948fdn3e8%sfroehli@Froehlich.Priv.at> Mime-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Transfer-Encoding: 8bit X-Trace: individual.net uUBpLEcUFkSDOTatj5yBMQPOlg7CiCfU9fDWq9bGVkZutRyOSm Cancel-Lock: sha1:p59iRPcqkdIOPHhQfTtPuKzJMns= User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:68.0) Gecko/20100101 Thunderbird/68.12.1 Hamster/2.1.0.1538 In-Reply-To: Xref: csiph.com de.comp.os.unix.linux.misc:129580 Am 21.03.2023 um 17:39 schrieb Martin Vaeth: > Stefan Reuther wrote: >> Für amorphes Gemurmel "hmmm Angriffsfläche hmmm" > > Das ist u.a. eben das Zusammenspiel mit den vielen Komponenten. > >> sieht die Datenlage >> schlecht aus. Wenn systemd wirklich so katastrophal wäre, wäre seine >> CVE-Liste länger. > > Schaun wir mal: https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=polkit > Alleine letztes Jahr 2 vom genannten Typ, und im Jahr davor ebenfalls. > Nein, danke. *Ein* Bug von dieser Sorte in jüngerer Zeit zeigt bereits > wie richtig meine Argumentation war. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23220 sieht ja für mich aus wie "usbview bringt eine dämliche Default-Config mit", nicht wie ein Problem mit polkit. Das sähe ganz genauso aus, wenn usbview eine dämliche Default-Config für sudo mitbrächte. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-29934 hat keine Details, sieht aber auch wie dämliche Config oder fehlende Features aus ("lacks Polkit authentication"). Stefan