Y dada la coincidencia ayer me entero la de nueva killer feature de Fedora 12: Cualquier usuario del sistema sin privilegios de administrador, ni clave de root puede instalar paquetes sin necesidad de una contraseña, lo cual es tremendo problema. Ahora muchos me diran que no hay problema porque necesitas paquetes firmados por los repositorios, los cuales tienen un alto grado de confiabilidad, pero aca algunos de los peores vectores de ataque para este nuevo “Feature”:

DoS (Defeat of Service)
Un usuario puede ser engañado para ejecutar con comando equivalente a “instalar todo”, lo que se lograria con esto directamente seria que el disco duro del sistema sea tomado por completo no permitiendo mas informacion y hasta la ejecucion de ciertos procesos que necesitan espacio en disco o escribir a disco. Esto se puede hacer tambien con clave la clave de administrador, pero hay una razon para la cual algunas personas NO tienen esa clave, paso de ser algo posible a ser algo completamente trivial.

Escala de privilegios
Otro problema que presenta con esta nueva configuracion por defecto es que hecha por la borda todo el esfuerzo del equipo de seguridad de Fedora. Con esto se vuelve trivial que un usuario con privilegios restringidos descargue un paquete que contenga una vulnerabilidad de escala de privilegios (incluso de versiones anteriores de fedora) y luego instale este en el sistema para luego explotarlo y poder escalar privilegios (mas informacion y comandos detallados). Es cierto que si un paquete con vulnerabilidades esta en el archivo de por si ya es un problema, pero esto es completamente comun, para eso existen equipos de seguridad que preparan actualizaciones para el sistema.

Como veran esto fue una pesima idea por parte del equipo de fedora, aunque segun lei en los ultimos commentarios en el Bug que se reporto sobre esto, posiblemente pase muy poco tiempo antes de que la reviertan

Actualizacion (20/11/09):
Por fin alguien con 2 dedos de frente: https://admin.fedoraproject.org/updates/PackageKit-0.5.4-0.4.20091029git.fc12

Here is a photo of me after doing sandboard in the desert around the Huacachina oasis, Ica – Peru.

No se puede negar que Fedora esta aportando mucho a Linux y el software libre en general con desarrollos pagados y auspiciados por RedHat, quieres cuentan con una fuerza de ingeniería que no deja de impresionar, pero en este caso particular me pregunto: ¿Pudo alguien traducir mal lo que leyó y le están haciendo eco sin leer?

El proyecto intenta reemplazar rhgb y pasar de la secuencia actual:

A esta nueva secuencia:

¿Alguien ya encontró el problema? Pues bien, rhgb es el sistema gráfico de arranque utilizado actualmente, es decir se esta trabajando en agilizar, lo que hasta hace algunos años, cuando la secuencia de arranque ya era lenta, no existía, reemplazándolo por un equivalente más ligero. Pero bueno ¿entonces si se agilizará? En realidad si, si sera menos lento, pero aun no sera “casi automático” hay algo que aun no están tomando en cuenta: init.

Init es quien lleva la mayor carga en la secuencia de arranque, es donde se levantan cada uno de los runlevels necesarios para que nuestro sistema, por diseño, levante cada una de sus capaz manteniendo la dependencia entre ellas, ahora mi pregunta para esos bloggers expertos que postean sobre las nuevas maravillas y secuencias de booteo casi inmediato: ¿Agilizar el sistema gráfico de booteo realmente agilizara también init?

Antes que comiencen a ponerme adjetivos e insultarme, quiero dejar en claro que no tengo nada contra el proyecto fedora, es más, como dije lineas más arriba es un proyecto realmente loable que esta dando mucho de ingeniería para el desarrollo del software libre y linux en especial, incluso estoy bastante cercano a uno de ellos. Tampoco tengo nada contra Plymouth, por el contrario, me parece un proyecto excelente y me muero por verlo andar. Pero si van a empezar a hacer eco de una noticia por lo menos tomense el trabajo de leer la fuente original.