Am Donnerstag, den 03.02.2005, 17:18 +0100 schrieb Manuel Reimer: > Wolfgang Jeltsch schrieb: > > Au�erdem ist das im 2.6er Kernel meines Wissens kein Bug, sondern ein > > bewusst > > eingebrachtes Feature. Bei fr�heren Kernelversionen war es m�glich, dass > > jeder, der Schreibzugriff auf eine CD-Brenner-Ger�tedatei hatte, die > > Firmware > > ver�ndern konnte oder so was in der Art. Es handelte sich bei der �nderung > > also um die Beseitigung eines Sicherheitsproblems. Da die Brennprogramme > > anscheinend von dieser Sicherheitsl�cke abhingen, mussten sie sich �ndern. > > Dann w�re das aber ein komisches Feature... Die ganze Zeit konnte man > aus dem Grund als User brennen, da man durch suid-root das > Brennprogramm mit Root-Rechten laufen lassen konnte. Jetzt geht das > nicht mehr. Folglich ist in aktuellen Kernelversionen das "suid-bit" > kaputt, denn wenn ich ein Programm mit suid-root als User ausf�hre, > dann kann ich nicht brennen. Wenn ich aber als Root angemeldet bin, > dann geht alles wie gew�nscht... suid funktionierte nach wie vor korrekt, das Problem lag eigentlich an cdrecord.
Wenn cdrecord mit suid-Bit von einem user ausgef�hrt wird, l�uft es initial als root, holt sich �ber sog. capabilities die n�tigen Rechte vom Kernel und startet sich selbst nochmals als der user, der cdrecord urspr�nglich gestartet hat. Der eigentliche Brennprozess l�uft also als user. Im konkreten Fall h�tte sich cdrecord eine einzige capability mehr holen und diese an den Kindprozess weitergeben m�ssen. Der patch, der das behoben h�tte, war afair 4 Zeilen lang, welchen J�rg Schilling aber afair nicht akzeptierte. > CU > Manuel Gru� Flo -- FrankPrivat -- http://home.frankprivat.de PingoS - Linux-User helfen Schulen -- http://www.pingos.org SelfLinux - Online-Tutorial f�r Linux-User -- http://www.selflinux.org
