[ LUGOS ] Varnostna luknja pri uporabi eggdrop IRC botov na strezniku

[Iztok Heric]

Pozdrav!

Pred kratkim sem odkril zelo neprijetno varnostno luknjo v eggdrop
(vse razlicice) IRC (ro)botih. Mogoce ze veste zanjo, vseeno pa se mi
je zdelo pametno opozoriti nanjo. Predvsem to velja za upravitelje
Linux/UN*X streznikov, na katerih je vec uporabnikov (/etc/passwd ni
za javno razstavo...)

** Priporocam vam, da o tem obvestite uporabnike, naj pazijo ! **

Poleg maksimalnega ogrozanja uporabnikovega accounta ogroza se varnost
celotnega sistema. Namrec stvar je taka, da lahko vsakdo ki ima 
owner dostop do bota (zal se ponavadi owner-ji razdelijo komurkoli in
nepoznanim osebam, ki jim ne gre prevec zaupati...) izvede KATERIKOLI
ukaz.
Z lahkoto lahko nekdo npr. izvede ukaz rm -rf ~ in uporabniku pocisti
homedir, z lahkoto se lahko dokoplje do /etc/passwd ali pa zazene
kak nezazeljen proces.
Gre takole: .tcl exec ukaz   (v partylineju bota)
Za sabo si lahko potem tudi pocistijo log datoteko, ki jo dela bot.

Stvar je seveda resljiva.

V eggdropovem imeniku src je potreno ustrezno spremeniti datoteko
hash.h
In sicer vrstico:
  { "tcl", 'n', cmd_tcl },
je le potrebno enostavno remarkati:
//  { "tcl", 'n', cmd_tcl },

Nato je treba se ponovno prevesti bota (z  make eggdrop  v njegovem
osnovnem direktoriju) in ga ponovno zagnati.
S tem se onemogoci ukaz .tcl, ki pa za samo delovanje in upravljanje
ni pomemben, saj naj bi sluzil le razhroscevalnim namenom...

lp,
-- 
  /-----------------------------------------------\
  | Iztok Heric                                   |
  | e-mail: Iztok.Heric na creativ.si                |
  | WWW:    http://www2.s-gms.ms.edus.si/~iztokh/ |
  |         http://www.creativ.si/bs/smiley/      |
  \-----------------------------------------------/