Greetings!

Вкратце суть вопроса:
/var/lock - традиционное место для размещения lock-файлов разной природы.
Разные программы создают такие файлы как непосредственно в /var/lock, так
и в его подкаталогах. По исторически сложившейся традиции, права доступа
на этот каталог сделаны такими (%attr(root,uucp,775)), чтобы разные
утилиты, осуществляющие доступ к последовательным портам, могли создавать
и удалять блокировки (как свои, так и чужие) в этом каталоге. Однако эта
схема является потенциально опасной: уязвимость в одной из компонент
системы, которая имеет доступ по записи к каталогу /var/lock, может быть
использована для манипулирования другими lock-файлами с целью взлома
системы в целом (подобная проблема в свое время привела к переработке
скриптов /etc/cron.*/makewhatis и выкладыванию пакета man в updates).

Предлагаемое решение:
Вместо /var/lock использовать для блокировки последовательных портов
каталог /var/lock/serial (%attr(root,serial,770)), вернув /var/lock
нормальное значение (%attr(root,root,755)). Для этого необходимо
пересобрать и протестировать работу всех пакетов, работающих с
последовательными портами. По памяти, это pppd, wvdial, minicom, uucp,
mgetty, hylafax; уверен, что этот список неполон.
Просьба всем maintainer'ам проверить свои пакеты на предмет того,
требуется ли их пересобирать с lockdir=/var/lock/serial или нет.
Если Вы чувствуете, что не можете этого сделать - обязательно напишите мне
об том; один "забытый" пакет может нарушить нормальное функционирование
других пакетов, работающих с последовательными портами.


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@alt-linux.org
ALT Linux Team      http://www.altlinux.ru/
Fandra Project      http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.