多くのLinuxディストリビューションで採用されているシステム管理ソフトウェア「systemd」で、複数の不具合が確認されています。1つは、ユーザー名を指定する個所で数字で始まるユーザー名を指定すると、そのユーザーの代わりに「root」が指定されたことになってしまうというもの
ということで結構批判されている。
議論は以下でされていて、結局修正は却下されたようだ。
CentOS7のような主要なディストリビューションでも0dayのような名前は許容されているし、POSIXでも許容されているので許可してもいいのではという気がするが、仕様と言われてしまうとまあそうかなと思う。普通に0dayというユーザがいた場合はそのユーザで起動できなくなりかわいそうではあるが、system serviceの場合は通常apacheとかmysqlとかシステムユーザを設定するし、user serviceの場合はrootしか指定できないので、そこまで問題にはならなそう。
セキュリティ的に攻撃できるかという点では、こちらの人が指摘するように、system serviceのunit設定ファイルを修正する必要があるので、root権限がそもそも必要で、システム管理者がミスするように仕向けるか、unit設定ファイルを修正するようなwebサービスが攻撃されるかもぐらいな話なので、これも可能性はかなり低そうだな。
まあ、最終的にはOSSなんで使いたくなければ使わなければ良いだけな気がするが。