Выпуск системного менеджера systemd 241

14 февраля 2019 года

Опубликован релиз системного менеджера systemd 241, в котором устранены ранее выявленные уязвимости в systemd-journald, позволяющие непривилегированному локальному пользователю получить права root. Для защиты от эксплуатации уязвимостей в systemd-journald и systemd-journal-remote теперь отбрасываются записи со слишком большим числом полей и установлены лимиты на размер данных командной строки.

Среди других изменений в systemd 241:

• Включены по умолчанию sysctl fs.protected_regular и fs.protected_fifos, реализованные в ядре Linux 4.19 и запрещающие в каталогах с флагом sticky (например, /tmp) открытие чужих FIFO-каналов или файлов с флагом O_CREAT (т.е. только владелец может пересоздать свои FIFO и файлы). Активация указанных sysctl позволяет блокировать атаки, в которых злоумышленник создаёт в /tmp подставной fifo или файл, используемый другим процессом. Для отключения в

/etc/sysctl.d/60-protected.conf следует изменить значения fs.protected_regular и fs.protected_fifos на "0";

• В link-файлах реализован новый режим наименования сетевых устройств (NamePolicy) - "keep", который указан по умолчанию в файле 99-default.link (запасной набор настроек для обеспечения обратной совместимости). Указанный режим добавлен для решения проблемы с изменением логики переименования сетевых интерфейсов из-за регрессивного изменения в systemd 240. При использовании режима "keep" или при обнаружении версии настроек (naming-scheme) меньше 240 будет сохранено старое поведение, при котором уже установленные в пространстве пользователя имена (например, через опцию NAME в правилах udev) не будут второй раз переименовываться на автоматически сгенерированные;
• Реализована возможность настройки на этапе компиляции выставляемой по умолчанию локали. Если не менять настройки локаль по умолчанию будет выбрана автоматически (C.UTF-8, en_US.UTF-8 или C);
• Строка с номером версии, показываемая systemd и другими утилитами, при сборке из Git теперь включает хэш коммита. При сборке данное поведение можно переопределить и использовать в номере версии, например, версию пакета из репозитория дистрибутива;
• В утилиту systemd-cat добавлена поддержка фильтрации стандартного ввода (STDIN) и стандартного вывода ошибок (STDERR) на основании уровня приоритета syslog ("--stderr-priority");
• В pam_systemd обеспечено выставление переменной окружения DBUS_SESSION_BUS_ADDRESS;
• Из сборочных опций убран флаг "-fPIE". Для сборки исполняемых файлов в режиме PIE следует использовать в сборочной системе meson параметр "-Db_pie=true";
• В процессе чтения файлов, указанных в настройке EnvironmentFile для unit-файлов, внутри текста в кавычках теперь обрабатываются обратные слэши, в соответствии с поведением POSIX shell;
• Команды "udevadm trigger", "udevadm control", "udevadm settle" и "udevadm monitor" теперь автоматически определяют запуск в chroot-окружении и не выполняют в этом случае никаких действий;
• Строки с флагом "C" в tmpfiles.d/ теперь копируют дерево каталогов не только когда целевой каталог отсутствует, но и когда целевой каталог существует, но не содержит файлов или вложенных каталогов;
• В команду "udevadm control" добавлена опция "--ping" для проверки запуска и работоспособности процесса systemd-udevd.