Bug 41418

Summary: Выключает userns_restrict даже в режиме suid
Product: Sisyphus Reporter: Anton V. Boyarshinov <boyarsh>
Component: bubblewrapAssignee: Yuri N. Sedunov <aris>
Status: CLOSED FIXED QA Contact: qa-sisyphus
Severity: critical    
Priority: P5 CC: aen, aris, lav, ldv, sem, zerg
Version: unstable   
Hardware: all   
OS: Linux   
See Also: https://bugzilla.altlinux.org/show_bug.cgi?id=29497
https://bugzilla.altlinux.org/show_bug.cgi?id=51517

Description Anton V. Boyarshinov 2021-11-23 16:37:49 MSK
Пакет зачем-то выключает userns_restrict даже когда собирается в режиме setuid.

Setuid-ному бинарнику положение userns_restrict по идее безразлично и не надо вносить потенциальные уязвимости во всю систему, выставляя этот переключатель в 0

Так как через libgnome-desktop3->gnome-settings-daemon пакет вытягивается практически в любую десктопную систему, проблема является блокером для дистрибутивов.
Comment 1 Dmitry V. Levin 2021-11-23 16:46:55 MSK
А для suid-root executable, по хорошему, нужен control и/или ограничение доступа по группе, но это всё-таки отдельный вопрос.
Comment 2 Repository Robot 2021-11-23 18:02:19 MSK
bubblewrap-0.5.0-alt2 -> sisyphus:

 Tue Nov 23 2021 Yuri N. Sedunov <aris@altlinux> 0.5.0-alt2
 - disabled user namespaces in a setuid mode (ALT #41418)