[ LUGOS ] Varnostna luknja pri uporabi eggdrop IRC botov na strezniku

[byron na eunet.si]

Iztok Heric wrote:
> 
> Pozdrav!
> 
> Pred kratkim sem odkril zelo neprijetno varnostno luknjo v eggdrop
> (vse razlicice) IRC (ro)botih. Mogoce ze veste zanjo, vseeno pa se mi
> je zdelo pametno opozoriti nanjo. Predvsem to velja za upravitelje
> Linux/UN*X streznikov, na katerih je vec uporabnikov (/etc/passwd ni
> za javno razstavo...)
> 
> ** Priporocam vam, da o tem obvestite uporabnike, naj pazijo ! **
> 
> Poleg maksimalnega ogrozanja uporabnikovega accounta ogroza se varnost
> celotnega sistema. Namrec stvar je taka, da lahko vsakdo ki ima
> owner dostop do bota (zal se ponavadi owner-ji razdelijo komurkoli in
> nepoznanim osebam, ki jim ne gre prevec zaupati...) izvede KATERIKOLI
> ukaz.
> Z lahkoto lahko nekdo npr. izvede ukaz rm -rf ~ in uporabniku pocisti
> homedir, z lahkoto se lahko dokoplje do /etc/passwd ali pa zazene
> kak nezazeljen proces.
> Gre takole: .tcl exec ukaz   (v partylineju bota)
> Za sabo si lahko potem tudi pocistijo log datoteko, ki jo dela bot.
> 
> Stvar je seveda resljiva.
> 
> V eggdropovem imeniku src je potreno ustrezno spremeniti datoteko
> hash.h
> In sicer vrstico:
>   { "tcl", 'n', cmd_tcl },
> je le potrebno enostavno remarkati:
> //  { "tcl", 'n', cmd_tcl },
> 
> Nato je treba se ponovno prevesti bota (z  make eggdrop  v njegovem
> osnovnem direktoriju) in ga ponovno zagnati.
> S tem se onemogoci ukaz .tcl, ki pa za samo delovanje in upravljanje
> ni pomemben, saj naj bi sluzil le razhroscevalnim namenom...
> 

Hm... kot kaze EggDrop za NT masine nima tega hrosca...