<div dir="ltr"><div dir="ltr"></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Mar 5, 2020 at 5:35 AM Petr Štetiar <<a href="mailto:ynezz@true.cz">ynezz@true.cz</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Karl Palsson <<a href="mailto:karlp@tweak.net.au" target="_blank">karlp@tweak.net.au</a>> [2020-03-05 11:18:02]:<br>
<br>
> > Commit 432ec292ccc8 ("rpcd: add respawn param") has introduced<br>
> > infinite restarting of the service which could be reached over<br>
> > network. <br>
> <br>
> Didn't we already decide that this wasn't the case?<br>
<br>
< jow> ubus itself has no network transport<br>
< jow> it is reachable via http://.../ubus in case uhttpd-mod-ubus is installed (not the default) or via http://.../cgi-bin/luci/admin/ubus (default)<br>
< jow> the latter emulates uhttpd-mob-ubus in Lua code<br>
< jow> it takes incoming http requests, parses the body json and invokes ubus via libubus<br>
<br>
I understand this as Yes, it is available over network.<br>
<br>
> Sure, now it's a DoS instead :) It's always a tradeoff, but I<br>
> think you're glossing over the tradeoff here.<br>
<br>
Secure by default.<br>
<br>
-- ynezz<br><br></blockquote><div><br></div><div>The flip side here is that rpcd likes to crash a lot.</div><div><br></div><div>By preventing automatic restarts, you're all but ensuring that users will experience denial-of-service, even in the absence of malicious traffic.</div><div><br></div><div>Is rpcd subject to fuzz testing, to discover potential security issues that makes limiting the restarts attractive?</div><div> <br></div></div></div>