<div dir="ltr">On Tue, May 14, 2013 at 9:25 AM, Mac Innes, Kiall <span dir="ltr"><<a href="mailto:kiall@hp.com" target="_blank">kiall@hp.com</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="HOEnZb"><div class="h5">On 14/05/13 12:02, Stanislav Pugachev wrote:<br>
Hi,<br>
I've added a blueprint <a href="https://blueprints.launchpad.net/hacking/+spec/absolute-paths-of-os-binaries" target="_blank">https://blueprints.launchpad.net/hacking/+spec/absolute-paths-of-os-binaries</a><br>
Please, take a look and let's discuss it if it makes sense.<br>
Thank you<br>
Stas.<br>
<br>
<br>
</div></div>Am I correct in thinking that, if the attacker is able to modify $PATH in the environment under which nova etc runs, you've already lost?<br></blockquote><div><br></div><div style>Yep.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

I would argue this is at worst a packaging bug, assuming packagers are not explicitly defining the $PATH variable as part of the init scripts.<br></blockquote><div><br></div><div style>That and the PATH that any user with the rights to run nova services and commands -- the general best practice is to make sure that all the entries in $PATH are absolute paths, and that nothing in $PATH is world-writable.</div>
<div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
P.S. the openstack-dev mailing list is generally where blueprint discussion happens :)<br>
<br>
Thanks,<br>
Kiall<br>
<div class="HOEnZb"><div class="h5"><br>
_______________________________________________<br>
Mailing list: <a href="https://launchpad.net/~openstack" target="_blank">https://launchpad.net/~openstack</a><br>
Post to     : <a href="mailto:openstack@lists.launchpad.net">openstack@lists.launchpad.net</a><br>
Unsubscribe : <a href="https://launchpad.net/~openstack" target="_blank">https://launchpad.net/~openstack</a><br>
More help   : <a href="https://help.launchpad.net/ListHelp" target="_blank">https://help.launchpad.net/ListHelp</a><br>
</div></div></blockquote></div><br></div></div>