Persze, hogy nincs rendben, mert baromság, botrányosan ronda taknyolás a csomaggányoló részéről (maintainert nem mondanám rá, ahogy anno az OpenSSL csomag esetében is nagyszerű dolgot alkotó illetőre sem...).
Ez ugye maga a Debian/Gentoo/Whatever disztribúció update processze. Nem a csomag, tehát nincs csomaggányoló, disztribúciógányoló van, illetve jobban mondva a látszatbiztonságra törekvők miatti workaround.
Hiába írod le 123-szor, hogy minden exploit elmegy a noexec-es mindenki által írható /tmp mellett, az a te _véleményed_ lesz - amit meg én láttam, az meg az én tapasztalatom.
Nem, nem az én véleményem, hanem ez a security szakmai konszenzus évek óta, hogy 2.6.39 verzió óta ott egy nagykapu a kernelben a noexec megkerülése kapcsán, amire minimum hét éve van pár soros publikus exploit és
1, használod a noexec-et, amin keresztülgyalogol az összes ma aktív exploit,
2, SELinux és társai megfogják, de akkor nem kell noexec, mert nem használható SELinux és társai esetén értelmesen.
Az 1, irány azt jelenti, hogy évek óta tudatlanságból szarsz a rendszered biztonságára, mert nem használsz SELinux és társait, amelyek meg tudják fogni az utóbb évek támadásait.
A 2, irány azt jelenti, hogy nincs noexec használva a rendszerben, helyette SELinux és társai vannak, tehát nem mondod, hogy legyen noexec, mert tudod, hogy semmit nem ér.
Mivel szerinted kell noexec, az azt jelenti, hogy a rendszered az utóbbi évek támadásaival szemben sebezhető - innen is gratulálok a security team munkájához, gondolom most is mosolyognak. Azt remélem, hogy te valami szakmailag 10 évvel ezelőtt megrekedt vezetőféle vagy, aki nem pofázik bele a mindennapi operatív dolgokba és hagyja dolgozni a szakembereket, akik követik a friss dolgokat, mert te minden jel szerint egy évtizede nagyjából nem követed... ha pedig benne vagy a napi melóban, akkor most kellene abbahagynod, mert túl régi tudásod van a területen.
Akit érdekel - téged gondolom nem, mert volt lehetőséged utánanézni, de leszartad - itt van a legutóbbi thread a téma kapcsán, ami szintén elhalt: https://lore.kernel.org/lkml/202402261650.DE0601F01@keescook/T/
Afterwards exploits appeared started causing drama like [1]. The /proc/*/mem exploits can be rather sophisticated like [2] which installed an arbitrary payload from noexec storage into a running process then exec'd it, which itself could include an ELF loader to run arbitrary code off noexec storage.
A hivatkozott dráma is tanulságos olvasnivaló, 12 éves sztori, azóta van amúgy kihasználható exploit: https://lwn.net/Articles/476947/
Szóval aki még olvassa a szálat: ne használj noexec-et, semmire nem jó évek óta. Használj SELinux és társait, azok valóban védenek.