BEDRIFTSTEKNOLOGI

- Ikke et sikkerhetshull

rm -Rf er ikke et sikkerhetshull, skriver Gisle Hannemyr i en kommentar til digi:s dekning av Telenor Nextel-innbruddet.

Gisle Hannemyr
8. apr. 1997 - 08:49

Takk for bransjens beste og mest velinformerte sider om Telenor Nextel-innbruddet:

Litt pirk. Jeg synes ikke det er riktig å betegne dette som et "Unix sikkerhetshull". Riktignok er "rm -Rf" en Unix-komando, men sikkerhetshullet her må være:

1) At det Telenor-utviklede scriptet i søkemaskinen ikke sjekker om det "følger med" brukerinnlagte shell-kommandoer "på lasset" før den sender argumentstrengen videre for tolking av shellet.

2) At dette scriptet kjører setuid med så utstrakte privilegier at det kan gjøre slikt som å slette filer.

Dersom en har en dør av panserstål -- men setter den åpen på vid gap, så betyr ikke det at panserstål er et uegnet materiale til å lage sikre dører av.

Gisle Hannemyr

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
En tjeneste fra