Embora o curl e a biblioteca cURL sejam mais comumente usados para uso de HTTP(S) e FTP, esse software muito usado também suporta uma infinidade de outros protocolos de rede. A fim de economizar espaço em disco por padrão e também expor seus pacotes cURL a menos bugs de segurança por padrão, o Fedora Linux deve focar no envio de versões “mínimas” por padrão de seus pacotes cURL.
Uma proposta de mudança foi enviada para o Fedora 37 que usaria os pacotes libcurl-minimal e curl-minimal por padrão. Os pacotes cURL “mínimos” possuem apenas suporte HTTP, HTTPS, FTP, enquanto aqueles que precisam de outro suporte a protocolo de rede podem instalar libcurl-full e curl-full para todo o conjunto de suporte.
Fedora deve implementar melhorias nos pacotes Curl por padrão
Existem duas motivações distintas para essas melhorias serem implementadas no Fedora.
Esses protocolos usados com pouca frequência são menos testados do que os comuns e são uma fonte de bugs de segurança. A maioria dos usuários não está usando esses protocolos de qualquer maneira, portanto, desativá-los reduz o bug e a superfície de ataque. (Na verdade, muitos aplicativos já chamam curl_easy_setopt(c, CURLOPT_PROTOCOLS, …) para limitar internamente quais protocolos são suportados. Portanto, mesmo que libcurl seja trocado libcurl-minimalpara muitos usos, isso não será uma diferença.).
Os pacotes para as variantes mínimas são menores: uma instalação trivial com curl-minimal+ libcurl+minimal tem 18 MB de download, 57 MB de tamanho instalado, 50 pacotes; o mesmo com curl-fulle libcurl-full tem 21 MB de download, 65 tamanho instalado, 62 pacotes. Assim economizamos 8 MB, reduzindo o tamanho inicial em 12%.
Mais detalhes sobre essa mudança planejada para o Fedora 37 no final do ano podem ser encontrados no Fedora Wiki.
Fedora 37 deve tornar o pkexec opcional para dar maior segurança
Após a desagradável vulnerabilidade de escalonamento de privilégios locais que foi divulgada no mês passado para o pkexec do Polkit, os desenvolvedores do Fedora esperam tornar o pkexec opcional ainda este ano com a chegada do Fedora Linux 37.
Uma nova proposta de mudança foi enviada na semana passada para separar o Pkexec do pacote Polkit e também mover polkit-pkla-compat em seu próprio sub-pacote também. Assim, para usuários de desktop do Fedora 37 que não precisam do Pkexec, isso pode ser evitado.
Divida pkexeco polkit e torne-o um subpacote recomendado apenas. Da mesma forma, faça do pacote polkit-pkla-compat um pacote recomendado também. Isso permitirá que usuários e desktops não dependam mais desses recursos para evitar instalá-los.
Essa mudança ocorre após a divulgação do PwnKit de janeiro para o Pkexec, permitindo o escalonamento de privilégios locais. O problema pode ser facilmente explorado e permite que usuários sem privilégios obtenham privilégios totais de root.
O Pkexec pode ser usado para executar um comando como outro usuário. No entanto, para programas que precisam de acesso root, existem maneiras melhores de lidar com isso, em vez de executar o programa inteiro como root.
A proposta de mudança do Fedora tornaria o pkexec um sub-pacote opcional do Polkit. Atualmente, o Pkexec não é necessário para a funcionalidade correta na maioria dos servidores e desktops. Embora existam patches desde janeiro para o Pkexec, uma vez que é menos necessário nos dias de hoje, a esperança é simplesmente evitá-lo sempre que possível daqui para frente.
A pkexec é uma ferramenta opcional que não é mais necessária para o funcionamento correto da maioria dos ambientes de servidor e desktop. Este também é um binário SetUID.
Via Phoronix
