Bug 15830

Summary: ALT Linux Security packaging Policy violation
Product: Sisyphus Reporter: Vladimir V. Kamarzin <vvk>
Component: mpdAssignee: led
Status: CLOSED FIXED QA Contact: qa-sisyphus
Severity: normal    
Priority: P2 CC: erthad, evg, gns, lakostis, ldv, php-coder, wrar
Version: unstable   
Hardware: all   
OS: Linux   
URL: http://docs.altlinux.ru/alt/devel/ch01s03.html
Bug Depends on:    
Bug Blocks: 15831    

Description Vladimir V. Kamarzin 2008-05-29 13:58:06 MSD
%attr(755,%mpd_user,%mpd_group) %dir %_localstatedir/%name
%attr(755,%mpd_user,%mpd_group) %dir %_localstatedir/%name/playlists
%attr(755,%mpd_user,%mpd_group) %dir /var/run/%name
%attr(755,%mpd_user,%mpd_group) %dir %_logdir/%name

http://docs.altlinux.ru/alt/devel/ch01s03.html :

Пакеты НЕ ДОЛЖНЫ содержать каталоги, принадлежащие псевдо-пользователям. Вместо
этого следует использовать каталоги, принадлежащие root, с установленным sticky
bit и доступом группы по записи.

Обоснование: Псевдо-пользователь не должен иметь право изменять атрибуты
каталогов, а также файлы и каталоги, созданные другими пользователями; нарушение
этого правила, как правило приводит к возможности осуществления pseudouser/root
compromise.
Comment 1 Vladimir V. Kamarzin 2008-05-29 13:58:44 MSD
reassign на текущего сборщика
Comment 2 led 2008-05-31 00:33:13 MSD
(In reply to comment #0)

> Вместо
> этого следует использовать каталоги, принадлежащие root, с установленным 
sticky
> bit и доступом группы по записи.

Городить костыли согласно вышеприведённому желания у меня нет.
Кому из подписавшихся на багу передать пакет?
Comment 3 Andrey Rahmatullin 2008-05-31 12:46:59 MSD
(In reply to comment #2)
> Городить костыли согласно вышеприведённому желания у меня нет.

"Соблюдать ключевое полиси ALT желания у меня нет". Может, проанонсируешь эжто 
более официально?
Comment 4 led 2008-06-02 00:13:41 MSD
(In reply to comment #3)
> (In reply to comment #2)
> > Городить костыли согласно вышеприведённому желания у меня нет.
> 
> "Соблюдать ключевое полиси ALT желания у меня нет". Может, проанонсируешь 
эжто 
> более официально?

"Кому из подписавшихся на багу передать пакет?" - это было официально (а не то, 
что ты придумал)
Comment 5 led 2008-07-06 04:11:40 MSD
fixed in mpd-0.13.2-alt1