minissdpdはavahi-daemonと同じレベルのセキュリティ監査に合格しましたか?

minissdpdはavahi-daemonと同じレベルのセキュリティ監査に合格しましたか?

Ubuntuは時々、次のように説明されている努力をしてきました。オープンポートなし基本インストール用。

DHCPクライアントとAvahi(すべての人のネットワークを損傷する可能性があります)は除外されます。 Avahiの正式な理由の中で最も「目立つ」理由は、最後の理由である「[発見] ZeroConfプリンタ」です。高いレベルのセキュリティを維持するために、UbuntuはまずAvahiに感謝します。 https://wiki.ubuntu.com/ZeroConfPolicySpec

(関連するメモでは、avahi-daemonはデフォルトでchroot刑務所で実行されます。)

Debian はそのような努力をしません。 Debian 9 Desktop(またはDebian 8 Desktop)をインストールすると、Avahiと同じレベルのレビューが適用されtransmission-gtkますか?minissdpd


[アップデート: minissdpd は Debian 10 Desktop に導入されなくなりました。 Digikamをインストールしたときにまだ動作していることがわかりましたが、minidlna実行中ですminidlnad。]

答え1

習慣。 Debian 10.0minissdpdのパッケージはセキュリティ監査に合格しません。

minissdpdroot ユーザーとして実行します。使用するように定義されたsystemdサービス以外には含まれませんPrivateTmp。 「権限を放棄」できるテストコードがあります。#if 0ブロックとTODOコメントで無効

デーモンはCで書かれています。バッファオーバーフローのための母国語

(注:テストコードのメソッドでは十分ではありません。デーモンはまだファイルシステムにアクセスしようとする可能性があります。のためにハードコーディングされていますnobody. より多くのソフトウェア「権限を放棄」することで、同じ「誰も」ユーザーになることはいわゆる「誰も」ユーザーがより多くのダメージを与える可能性があり、一部の個人データにアクセスする可能性が高いことを意味します。)

関連情報