- Mandriva Enterprise Server
- Mandriva Linux
- Red Hat Enterprise Linux
- Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
La directive "runas_default" du fichier /etc/sudoers permet d’utiliser sudo sans
avoir à préciser de nom d’utilisateur. Par exemple, si le fichier contient :
Defaults runas_default=test alors, l’utilisateur peut simplement entrer : sudo
commande au lieu de : sudo -u test commande
Cependant, lorsque cette option est utilisée, l’utilisateur reste membre des
groupes de root (root, bin, daemon, sys, adm, disk, wheel), au lieu de devenir
membre des groupes de l’utilisateur "test".
Lorsque le fichier /etc/sudoers contient "runas_default", un attaquant local
peut donc exécuter une commande avec les privilèges des groupes de root.
Quel est le rapport avec fcsv? Il ne s'agit en aucun cas de virus ou assimilé... Bref essaye de comprendre ce que tu lis avant de poster pour faire ton intéressant.
++
On 03/03/2010 09:26, I N F O R A D I O wrote:
[plein de choses qu'il n'a pas compris]
Quel est le rapport avec fcsv? Il ne s'agit en aucun cas de virus ou
assimilé...
Bref essaye de comprendre ce que tu lis avant de poster pour faire ton
intéressant.
Quel est le rapport avec fcsv? Il ne s'agit en aucun cas de virus ou assimilé... Bref essaye de comprendre ce que tu lis avant de poster pour faire ton intéressant.
++
Ludo
Le Wed, 03 Mar 2010 09:58:20 +0100, duss a écrit :
Bla bla
Oui, cause toujours...
Le Wed, 03 Mar 2010 09:58:20 +0100, duss <duss69@aretirergmail.com> a écrit :
Le Wed, 03 Mar 2010 09:58:20 +0100, duss a écrit :
Bla bla
Oui, cause toujours...
Roland Garcia
Ludo a écrit :
Le Wed, 03 Mar 2010 09:58:20 +0100, duss a écrit :
Bla bla
Oui, cause toujours...
Dites ? ça vous amuse la tentative de buffer overfow dans votre adresse email de 256 caractères ?
Pour info, article 323-2 Code Pénal: Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de 75000 euros d'amende.
-- Roland Garcia
Ludo a écrit :
Le Wed, 03 Mar 2010 09:58:20 +0100, duss <duss69@aretirergmail.com> a écrit :
Bla bla
Oui, cause toujours...
Dites ? ça vous amuse la tentative de buffer overfow dans votre adresse
email de 256 caractères ?
Pour info, article 323-2 Code Pénal: Le fait d'entraver ou de fausser
le fonctionnement d'un système de traitement automatisé de données est
puni de cinq ans d'emprisonnement et de 75000 euros d'amende.
Le Wed, 03 Mar 2010 09:58:20 +0100, duss a écrit :
Bla bla
Oui, cause toujours...
Dites ? ça vous amuse la tentative de buffer overfow dans votre adresse email de 256 caractères ?
Pour info, article 323-2 Code Pénal: Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de 75000 euros d'amende.
-- Roland Garcia
DePassage
Le 03/03/2010 19:17, Ludo a écrit :
Le Wed, 03 Mar 2010 09:58:20 +0100, duss a écrit :
Bla bla
Oui, cause toujours...
Il a raison
Quel est le rapport avec l'objet du forum ?
En quoi un utilisateur local peut il etre comparé avec une attaque à distance dans le but d'infecter (puisqu'objet du forum)
Les rapports de sécu il y en a des dizaines par jour concernant tous les OS, les programmes, matériels,... et tous ne sont pas accessibles via une page web C'est bien tu viens de découvrir que cela existe, reste à toi ensuite de les comprendre.
Le 03/03/2010 19:17, Ludo a écrit :
Le Wed, 03 Mar 2010 09:58:20 +0100, duss<duss69@aretirergmail.com> a écrit :
Bla bla
Oui, cause toujours...
Il a raison
Quel est le rapport avec l'objet du forum ?
En quoi un utilisateur local peut il etre comparé avec une attaque à
distance dans le but d'infecter (puisqu'objet du forum)
Les rapports de sécu il y en a des dizaines par jour concernant tous les
OS, les programmes, matériels,... et tous ne sont pas accessibles via
une page web
C'est bien tu viens de découvrir que cela existe, reste à toi ensuite de
les comprendre.
Le Wed, 03 Mar 2010 09:58:20 +0100, duss a écrit :
Bla bla
Oui, cause toujours...
Il a raison
Quel est le rapport avec l'objet du forum ?
En quoi un utilisateur local peut il etre comparé avec une attaque à distance dans le but d'infecter (puisqu'objet du forum)
Les rapports de sécu il y en a des dizaines par jour concernant tous les OS, les programmes, matériels,... et tous ne sont pas accessibles via une page web C'est bien tu viens de découvrir que cela existe, reste à toi ensuite de les comprendre.
Roland Garcia
I N F O R A D I O a écrit :
La directive "runas_default" du fichier /etc/sudoers permet d’utiliser sudo sans avoir à préciser de nom d’utilisateur. Par exemple, si le fichier contient : Defaults runas_default=test alors, l’utilisateur peut simplement entrer : sudo commande au lieu de : sudo -u test commande
Cependant, lorsque cette option est utilisée, l’utilisateur reste membre des groupes de root (root, bin, daemon, sys, adm, disk, wheel), au lieu de devenir membre des groupes de l’utilisateur "test".
Oui et alors ? Quand j'utilise sudo c'est pour justement être root car la première chose que je fais est de restreindre les accès aux consoles et désactiver la connexion de root par réseau. Il me parait alors idiot et suicidaire de donner des droits sudo à n'importe quoi ou n'importe qui.
Ceci dit, le rapport avec les virus ? on vous écoute.
-- Roland Garcia
I N F O R A D I O a écrit :
La directive "runas_default" du fichier /etc/sudoers permet d’utiliser sudo sans
avoir à préciser de nom d’utilisateur. Par exemple, si le fichier contient :
Defaults runas_default=test alors, l’utilisateur peut simplement entrer : sudo
commande au lieu de : sudo -u test commande
Cependant, lorsque cette option est utilisée, l’utilisateur reste membre des
groupes de root (root, bin, daemon, sys, adm, disk, wheel), au lieu de devenir
membre des groupes de l’utilisateur "test".
Oui et alors ? Quand j'utilise sudo c'est pour justement être root car
la première chose que je fais est de restreindre les accès aux consoles
et désactiver la connexion de root par réseau. Il me parait alors idiot
et suicidaire de donner des droits sudo à n'importe quoi ou n'importe
qui.
Ceci dit, le rapport avec les virus ? on vous écoute.
La directive "runas_default" du fichier /etc/sudoers permet d’utiliser sudo sans avoir à préciser de nom d’utilisateur. Par exemple, si le fichier contient : Defaults runas_default=test alors, l’utilisateur peut simplement entrer : sudo commande au lieu de : sudo -u test commande
Cependant, lorsque cette option est utilisée, l’utilisateur reste membre des groupes de root (root, bin, daemon, sys, adm, disk, wheel), au lieu de devenir membre des groupes de l’utilisateur "test".
Oui et alors ? Quand j'utilise sudo c'est pour justement être root car la première chose que je fais est de restreindre les accès aux consoles et désactiver la connexion de root par réseau. Il me parait alors idiot et suicidaire de donner des droits sudo à n'importe quoi ou n'importe qui.
Ceci dit, le rapport avec les virus ? on vous écoute.
"I N F O R A D I O" < .> a écrit dans le message de news:
Cessez de dire des âneries RG.
c'est cela ouiiiii
--
x-no-lulu: ouiiiiii
Roland Garcia
I N F O R A D I O a écrit :
Cessez de dire des âneries RG. Vous relirez l'envoi sinon.
Relisez votre from, vous avez déjà fait le coup sur fcs.
Je répète: article 323-2 Code Pénal: Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de 75000 euros d'amende.
D'autre part, si le sujet ne vous intéresse pas, passez votre chemin vous et vos comparses.
Continuez, avec moi ce ne sera pas un abuse mais bien des poursuites.
-- Roland Garcia
I N F O R A D I O a écrit :
Cessez de dire des âneries RG.
Vous relirez l'envoi sinon.
Relisez votre from, vous avez déjà fait le coup sur fcs.
Je répète: article 323-2 Code Pénal: Le fait d'entraver ou de fausser
le fonctionnement d'un système de traitement automatisé de données est
puni de cinq ans d'emprisonnement et de 75000 euros d'amende.
D'autre part, si le sujet ne vous intéresse pas, passez
votre chemin vous et vos comparses.
Continuez, avec moi ce ne sera pas un abuse mais bien des poursuites.
Cessez de dire des âneries RG. Vous relirez l'envoi sinon.
Relisez votre from, vous avez déjà fait le coup sur fcs.
Je répète: article 323-2 Code Pénal: Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de 75000 euros d'amende.
D'autre part, si le sujet ne vous intéresse pas, passez votre chemin vous et vos comparses.
Continuez, avec moi ce ne sera pas un abuse mais bien des poursuites.
-- Roland Garcia
DePassage
Le 03/03/2010 23:15, I N F O R A D I O a écrit :
Cessez de dire des âneries RG. Vous relirez l'envoi sinon.
Franchement entre R GARCIA et toi, n'importe quel lecteur de ce forum trouveras facilement qui est suceptible de sortir des aneries
D'autre part, si le sujet ne vous intéresse pas, passez votre chemin vous et vos comparses.
J'ai une recette de crepes je peux la poster ?
Le 03/03/2010 23:15, I N F O R A D I O a écrit :
Cessez de dire des âneries RG.
Vous relirez l'envoi sinon.
Franchement entre R GARCIA et toi, n'importe quel lecteur de ce forum
trouveras facilement qui est suceptible de sortir des aneries
D'autre part, si le sujet ne vous intéresse pas, passez
votre chemin vous et vos comparses.