[ LUGOS ] Varnostna luknja pri uporabi eggdrop IRC botov na strezniku

[Andrej Presern]

David Klasinc wrote:
> 
> On Wed, 8 Oct 1997, Andrej Presern wrote:
> 
> > Drugo je problem administratorja, da ima nonshadowed /etc/passwd
> > fajl - itak lahko vsak uporabnik dobi ta fajl.
> 
> Hm, recimo pri meni tece cca 10 botov... In po mojem to ni edini
> racunalnik, ki poganja toliko botov... In ce je to deset uporabnikov, vsak
> ima enkrat eggdropa instaliranega, potem ima se eggdrop.tar.gz nekje, je
> to ze v bistvu 20 eggdropov ;> Mi grejo lasje kar pokonci... Se je
> dogajalo, da so administratorji instalirali bota v nek direktorij in potem
> je imel vsak samo tisti vitalni del pri sebi v homediru... Kaj ce bi bil
> tak eggdrop instaliran suid root? ;>

Zakaj pa ne bi dal kar bash suid root?

V vsakem primeru je stvar politike posameznega administratorja, ali
dovoli
eggdrope ali ne, in v kaksni obliki jih dovoli. Ce lahko uporabnik dobi
passwd file, to ni problem eggdropa pac pa administratorja. Ce si
uporabnik
na nek port instalira 'rm -rf ~' in daje dostop do tega vsakomur, ki
pride
mimo, je to problem uporabnika in ne administratorja.

Eggdrop nima varnostne luknje. V nasprotnem primeru bi lahko rekli, da
ima
tudi 'rm' varnostno luknjo, skozi katero si lahko uporabnik pobrise vse
fajle v svojem direktoriju, ce ni prebral navodil za komando in jo
napacno
uporablja......

> > doseze, ce ima na voljo komando 'set'. Kako? To naj bo pa domaca
> > naloga za nadobudne uporabnike eggdropov s prevec privilegiji.
> >
> > Torej no, it's not a bug. It's a feature.
> 
> Bug je feature takrat ko je podprt z dokumentacijo... ;>

Da ugotovis, da JE podprt z dokumentacijo, je treba dokumentacijo
PREBRAT,
kar sem ze v prejsnjem sporocilu povedal.

Anyway, to nima nobene veze z Linuxom.

Andrej

oglas: proti placilu instaliram/konfiguriram/administriram eggdrop bote
na unix streznikih. varnost zajamcena.