Plemya-x/alr-repo
2
0
Fork 1
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

0 Releases 1 Tag

RSS Feed
  • v0.0.11 dc277c49e9
    Compare

    v0.0.11

    xpamych released this 2025-04-26 12:39:54 +00:00 | 224 commits to master since this release

    ALR устанавливается с использованием cap_setuid и cap_setgid. Для его работы необходим bindfs, который используется только в команде build.

    Кроме того:

    cat /etc/passwd | grep alr
alr:x:967:929::/var/cache/alr:/bin/bash
ls -lda /var/cache/alr
drwxr-xr-x 1 alr alr 24 апр 15 22:17 /var/cache/alr
ls -lda /etc/alr
drwxr-xr-x 1 root root 16 апр 12 15:05 /etc/alr

    • Команды rootCmd больше нет, так как alr сам управляет правами.

    • Команды, требующие запись (addrepo, install и т.д.), требуют прав root. Исключением на данный момент являются команды refresh и fix.

    • Команды для чтения (info, ls и т.д.) этих прав не требуют.

    • Команда build, считающаяся наиболее сомнительной с точки зрения безопасности (так как она, как минимум, читает текущий каталог пользователя), требует принадлежности к группе wheel.

    • Пользовательский конфигурационный файл в локальной директории в настоящее время не используется, но может быть добавлен в будущем.

    P.S.: Для сохранения (а возможно и улучшения) безопасности используются различные меры, такие как понижение привилегий настолько рано, насколько это возможно, no_new_privs, проверки на права root и другие меры. Для работы с fakeroot и возможности установки в процессе сборки эти части запускаются отдельными процессами, которые соединяются через hashicorp/go-plugin.

    • fix(i18n): передача переменных LANG во внутренние команды

    • исправление неинтерактивной установки и добавление резервного механизма в HandleExitCoder

    • добавление полей для групп и сводки (закрывает #61)

    • обновление зависимостей с CVE

    • исправление некоторых e2e тестов

    • исправление команды поиска

    Уязвимости, обнаруженные Trivy scan:

    • github.com/go-git/go-git/v5 (CVE-2025-21613)

    • github.com/go-git/go-git/v5 (CVE-2025-21614)

    • golang.org/x/crypto (CVE-2025-22869)

    • golang.org/x/net (CVE-2025-22870)

    • golang.org/x/net (CVE-2025-22872)

    Максим Слипенко:

    • c51d1d9 добавление полей для групп и сводки

    • b46dd41 исправление тестов

    • f623cba использование fakeroot из gitea.plemya-x.ru/Plemya-x/fakeroot
    Downloads