<html>
    <head>
      <base href="https://bugs.freedesktop.org/" />
    </head>
    <body>
      <p>
        <div>
            <b><a class="bz_bug_link 
          bz_status_NEW "
   title="NEW - systemd-coredump can run elfutils as root"
   href="https://bugs.freedesktop.org/show_bug.cgi?id=87354#c5">Comment # 5</a>
              on <a class="bz_bug_link 
          bz_status_NEW "
   title="NEW - systemd-coredump can run elfutils as root"
   href="https://bugs.freedesktop.org/show_bug.cgi?id=87354">bug 87354</a>
              from <span class="vcard"><a class="email" href="mailto:zbyszek@in.waw.pl" title="Zbigniew Jedrzejewski-Szmek <zbyszek@in.waw.pl>"> <span class="fn">Zbigniew Jedrzejewski-Szmek</span></a>
</span></b>
        <pre>Triggering an assert or segmentation fault can often be done relatively easy. I
don't know what kind of bugs elfutils might have, but I image that something
like an overlong function argument could lead to some issue. Both of those
things can imaginably be under attacker control. It is a basic security in
depth thing — we should try to make it harder to escalate. Running elfutils as
root with privileges should be avoided.</pre>
        </div>
      </p>
      <hr>
      <span>You are receiving this mail because:</span>
      
      <ul>
          <li>You are the QA Contact for the bug.</li>
          <li>You are the assignee for the bug.</li>
      </ul>
    </body>
</html>