True,  that is also an issue for host based attacks against the local provider. zk is listening on the bridge address so its not accessible remotely but the randomized open port provides no protection against a malicious local attacker. i agree the reality check is local provider isn't safe for a multi-user host if there is malicious intent.<div>
<div><br></div><div>cheers,</div><div><br></div><div>Kapil<br><div>
<br><div class="gmail_quote">On Fri, Jun 22, 2012 at 3:32 PM, Clint Byrum <span dir="ltr"><<a href="mailto:clint@ubuntu.com" target="_blank">clint@ubuntu.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Excerpts from Kapil Thangavelu's message of 2012-06-22 10:20:55 -0700:<br>
<div><div>> On Fri, Jun 22, 2012 at 10:53 AM, Robbie Williamson <<a href="mailto:robbie@ubuntu.com" target="_blank">robbie@ubuntu.com</a>>wrote:<br>
><br>
> > (cross-posting to main juju list)<br>
> ><br>
> > On 06/22/2012 03:44 AM, Thomas Leonard wrote:<br>
> > > Hi all,<br>
> > ><br>
> > > I'm evaluating Juju as a way to deploy and manage some of our services.<br>
> > > From the About page, it sounds like just what we're looking for. I read<br>
> > > quite a bit of the documentation and made a test installation, but I<br>
> > > have a few questions:<br>
> > ><br>
> > > - I deployed using the "local" LXC type (using Juju from 12.04). This<br>
> > > uses virbr0, which means the services aren't accessible from other<br>
> > > machines. Is there a way to change this? I had a look at the code, but<br>
> > > it was also hard-coding 192.168.122 in various places.<br>
> > ><br>
> > > - Juju doesn't say much about security. I found an interesting issue.<br>
> > > Can security bugs be discussed here on the list, or should they be<br>
> > > reported privately?<br>
> > We prefer you report them via our launchpad tool. Assuming you are<br>
> > running 12.04 (Precise Pangolin), you can open a bug here:<br>
> >  <a href="https://bugs.launchpad.net/ubuntu/precise/+source/juju/+filebug" target="_blank">https://bugs.launchpad.net/ubuntu/precise/+source/juju/+filebug</a><br>
> > After filling in the description, there is a section where you can<br>
> > change the bug from "Public" to "Embargoed Security" (right above the<br>
> > Submit button).  This will keep the info open to only you and our juju<br>
> > development and security teams.<br>
><br>
><br>
> Thanks for reporting the issue. Its been fixed on trunk and packages are<br>
> rolling out to respective releases over the next few days. Its specific to<br>
> the local provider and not remotely accessible. The only applicable<br>
> scenario where its a problem is a multi-user system using local provider.<br>
<br>
</div></div>Which isn't really a problem at all because these systems are also<br>
vulnerable to attack via the Zookeeper port which, while randomized,<br>
has no authentication.<br>
<div><div><br>
--<br>
Juju-dev mailing list<br>
<a href="mailto:Juju-dev@lists.ubuntu.com" target="_blank">Juju-dev@lists.ubuntu.com</a><br>
Modify settings or unsubscribe at: <a href="https://lists.ubuntu.com/mailman/listinfo/juju-dev" target="_blank">https://lists.ubuntu.com/mailman/listinfo/juju-dev</a><br>
</div></div></blockquote></div><br></div>
</div></div>