- Ikke et sikkerhetshull

rm -Rf er ikke et sikkerhetshull, skriver Gisle Hannemyr i en kommentar til digi:s dekning av Telenor Nextel-innbruddet.

Takk for bransjens beste og mest velinformerte sider om Telenor Nextel-innbruddet:

Litt pirk. Jeg synes ikke det er riktig å betegne dette som et "Unix sikkerhetshull". Riktignok er "rm -Rf" en Unix-komando, men sikkerhetshullet her må være:

1) At det Telenor-utviklede scriptet i søkemaskinen ikke sjekker om det "følger med" brukerinnlagte shell-kommandoer "på lasset" før den sender argumentstrengen videre for tolking av shellet.

2) At dette scriptet kjører setuid med så utstrakte privilegier at det kan gjøre slikt som å slette filer.

Dersom en har en dør av panserstål -- men setter den åpen på vid gap, så betyr ikke det at panserstål er et uegnet materiale til å lage sikre dører av.

Gisle Hannemyr

Til toppen