[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[plamo:34429] screen 4.9.1 B2 package
-
From:KATOH Yasufumi
-
Date:Tue, 13 May 2025 22:31:51 +0900 (JST)
- Subject: [plamo:34429] screen 4.9.1 B2 package
- From: KATOH Yasufumi <karma@xxxxxxxxxxxxxxxx>
- Date: Tue, 13 May 2025 22:31:23 +0900
加藤です。
screen に脆弱性が発見されていたので、パッチを当てて 4.9.1 B2 をリリー
スしています。
screen 使ってる方いますかね?
2025-05-13 KATOH Yasufumi <karma@xxxxxxxxxxxxxxxx>
* screen 4.9.1 B2
Security fix
(plamo/01_minimum/screen-4.9.1-x86_64-B2.tzst)
脆弱性の内容はこちら。
https://security.opensuse.org/2025/05/12/screen-security-issues.html
せっかくだから 5.0.0 にしようかと思ったのですが、軽く試しただけでも、
* screenrc の hardstatus 行のフォーマットが変わっている
* screen 起動したあとに less で検索を行うと、強調表示が反転からイタリッ
クに変わっている
など、個人的になんか変わりすぎってことで、4.9.1 にパッチを当ててパッケー
ジ化しました。
作った 5.0.0 については、
Plamo-test/for-8.x/screen-5.0.0-x86_64-B1.tzst
としておいてあります。
Plamo 付属のデフォルト(/etc/template以下でadduserで$HOMEにコピーされ
るやつ)の .screenrc の hardstatus 行は
hardstatus alwayslastline "%{.255;4}%-w%{.255;1}%n %t%{-}%+w
%=%{.120;4}%H %Y-%m-%d %c"
ってやると大体同じになりそうです。強調表示の方はよくわかりません。もし、
5.0.0 で使ってみようという方はぜひお試しください(設定教えてw)。
--
もうひとつ、screen って /usr/bin のバイナリが setuid されていて、これっ
て、
* マルチユーザーモードで使う場合
* /run/screen へのソケットファイル作成
に使ってるのかなと思います。マルチユーザーで使う人ってそんなにいるとは
思えないので(そんなことない?)、ふたつ目の理由だけのために setuid す
るのも危険だなと思ったりします。
Ubuntu/Debian などは、setuid してなくて、/run/screen は systemd の機能
を使って 1777 で起動時に作成して回避してる感じです。
Plamo の場合、このようなテンポラリーのディレクトリーを作るにはどうやる
のがスマートなんでしょうね。
--
==============================================
(((( 加藤泰文
○-○ karma @ jazz.email.ne.jp
==============================================
(Web Page) http://www.ten-forward.ws/
==============================================
- Follow-Ups
-
- [plamo:34430] Re: screen 4.9.1 B2 package, Takahiro Yoshizawa
[検索ページ]
[メール一覧]
Plamo ML 公開システム