Sans commentaires:
http://www.breves.fr/index.php?id_t=article&datetime=901000
http://www.silicon.fr/getarticle.asp?ID=7426
http://www.pcinpact.com/actu/newsg/17857.htm
--
Web Dreamer
Remplacez entre *nospam* par *tiscali*
et ajoutez *NewsGroupPrivateAnswer* dans le corps du message pour répondre.
Non. Si l'utilisateur a les droits sur les devices nécessaires, il n'y a pas besoin des droits de root. Si cdrecord a les droits de root, il s'en sert uniquement pour passer en priorité plus élevée, ce qui est d'utilité limitée avec les machines bourrines actuelles et le burn-proof.
Benjamin FRANCOIS , dans le message
<slrncr0slk.tm3.kwyxz@grumpf.kwyxz.org>, a écrit :
Avec cdrecord suid root, quand même.
Non. Si l'utilisateur a les droits sur les devices nécessaires, il n'y a pas
besoin des droits de root. Si cdrecord a les droits de root, il s'en sert
uniquement pour passer en priorité plus élevée, ce qui est d'utilité limitée
avec les machines bourrines actuelles et le burn-proof.
Non. Si l'utilisateur a les droits sur les devices nécessaires, il n'y a pas besoin des droits de root. Si cdrecord a les droits de root, il s'en sert uniquement pour passer en priorité plus élevée, ce qui est d'utilité limitée avec les machines bourrines actuelles et le burn-proof.
Benjamin FRANCOIS
Nicolas George s'est exprimé en ces termes:
Non. Si l'utilisateur a les droits sur les devices nécessaires, il n'y a pas besoin des droits de root. Si cdrecord a les droits de root, il s'en sert uniquement pour passer en priorité plus élevée, ce qui est d'utilité limitée avec les machines bourrines actuelles et le burn-proof.
Si à la base j'ai fait cette remarque,c'est qu'il n'y a quasiment que Debian qui demande à l'install si on veut suid root le binaire. La plupart des autres distribs le font sans demander ton avis.
Pour ce qui est du besoin des droits root pour cdrecord, la chose est discutée régulièrement, notamment ici : http://cert.uni-stuttgart.de/archive/bugtraq/2004/09/msg00198.html
La manpage de cdrecord le dit : In order to be able to use the SCSI transport subsystem of the OS, run at highest priority and lock itself into core cdrecord either needs to be run as root, needs to be installed suid root or must be called via RBACs pfexec mechanism.
-- La domotique et l'intelligence artificielle sont les principaux atouts de MultideskOS. C'est pour cette raison qu'il a été conçu sur une plateforme interpréteur et non compilateur. -- Jayce - Mais on ne vous a rien appris à l'école ? --
Nicolas George s'est exprimé en ces termes:
Non. Si l'utilisateur a les droits sur les devices nécessaires, il n'y a pas
besoin des droits de root. Si cdrecord a les droits de root, il s'en sert
uniquement pour passer en priorité plus élevée, ce qui est d'utilité limitée
avec les machines bourrines actuelles et le burn-proof.
Si à la base j'ai fait cette remarque,c'est qu'il n'y a quasiment que
Debian qui demande à l'install si on veut suid root le binaire. La
plupart des autres distribs le font sans demander ton avis.
Pour ce qui est du besoin des droits root pour cdrecord, la chose est
discutée régulièrement, notamment ici :
http://cert.uni-stuttgart.de/archive/bugtraq/2004/09/msg00198.html
La manpage de cdrecord le dit :
In order to be able to use the SCSI transport subsystem of the OS, run
at highest priority and lock itself into core cdrecord either needs to
be run as root, needs to be installed suid root or must be called via
RBACs pfexec mechanism.
--
La domotique et l'intelligence artificielle sont les principaux atouts de
MultideskOS. C'est pour cette raison qu'il a été conçu sur une plateforme
interpréteur et non compilateur.
-- Jayce - Mais on ne vous a rien appris à l'école ? --
Non. Si l'utilisateur a les droits sur les devices nécessaires, il n'y a pas besoin des droits de root. Si cdrecord a les droits de root, il s'en sert uniquement pour passer en priorité plus élevée, ce qui est d'utilité limitée avec les machines bourrines actuelles et le burn-proof.
Si à la base j'ai fait cette remarque,c'est qu'il n'y a quasiment que Debian qui demande à l'install si on veut suid root le binaire. La plupart des autres distribs le font sans demander ton avis.
Pour ce qui est du besoin des droits root pour cdrecord, la chose est discutée régulièrement, notamment ici : http://cert.uni-stuttgart.de/archive/bugtraq/2004/09/msg00198.html
La manpage de cdrecord le dit : In order to be able to use the SCSI transport subsystem of the OS, run at highest priority and lock itself into core cdrecord either needs to be run as root, needs to be installed suid root or must be called via RBACs pfexec mechanism.
-- La domotique et l'intelligence artificielle sont les principaux atouts de MultideskOS. C'est pour cette raison qu'il a été conçu sur une plateforme interpréteur et non compilateur. -- Jayce - Mais on ne vous a rien appris à l'école ? --
Web Dreamer
Benjamin FRANCOIS () à écrit le Vendredi 3 Décembre 2004 17:41 dans sur fr.comp.os.linux.debats:
Manuel Leclerc s'est exprimé en ces termes:
C'est sûr. Tiens, du coup j'ai tapé exploit cdrecord dans google, et clické sur le deuxième lien, vu que le premier cause de FreeBSD.
Alors que sous windows il suffit de faire "format c:" directement! ben oui, pas besoin d'exploit pour être admin si on peut graver, celui qui peut graver peut faire un "format c:" alors que le code si dessus n'est pas à la portée de la simple ménagère qui va graver des sauvegardes de ses doccuments et ses CDs de Patrick bruel!
Pour exploiter la faille de cdrecord, il faut un user avec les droits d'execution de cdrecord, et pas un neuneu, il doit quand même écrire un peut de code non?
Mais bon, avec suid root vous avez raison, mais j'ai bien dit qu'on est pas à l'abris d'une faille! Mais il faut une faille + un exploit, alors qu'en root (ou admin sous win) pas besoin de faille + exploit, n'importe quel neuneu casse tout!
sous windows, si je veux un shell root et que je peut graver, je tape : cmd un peu facile la faille windows non? ;-)
Mais bon, ok, cdrecord suid root est pas sûre, mais je laisse pas cdrecord accéssible à tout le monde, et il y a toujours ça de possible:
With that said, the safest way to run cdrecord seems like the following:
http://seclists.org/lists/bugtraq/2004/Sep/0461.html - create a user (e.g., cdrecord) and a group (e.g., cdrecord-user) - give the cdrecord user (_not_ the group) permission to access any resources necessary to run cdrecord - chown cdrecord:cdrecord-user cdrecord - chmod 4550 cdrecord
mieux non?
-- Web Dreamer, Linux Registered User #313652 at http://counter.li.org/ Remplacer *nospam* par *tiscali* dans l'adresse, et ajouter *NewsGroupPrivateAnswer* dans le corps du message pour répondre.
FG : Moi, j'ai un : Server error CB : Et t'en es content ? -+- in: Guide du Cabaliste Usenet - Cabale: no such file in directory -+-
Benjamin FRANCOIS (kwyxz@kwyxz.org) à écrit le Vendredi 3 Décembre 2004
17:41 dans <slrncr15qe.tq3.kwyxz@grumpf.kwyxz.org> sur
fr.comp.os.linux.debats:
Manuel Leclerc s'est exprimé en ces termes:
C'est sûr. Tiens, du coup j'ai tapé exploit cdrecord dans google,
et clické sur le deuxième lien, vu que le premier cause de FreeBSD.
Alors que sous windows il suffit de faire "format c:" directement! ben oui,
pas besoin d'exploit pour être admin si on peut graver, celui qui peut
graver peut faire un "format c:" alors que le code si dessus n'est pas à la
portée de la simple ménagère qui va graver des sauvegardes de ses
doccuments et ses CDs de Patrick bruel!
Pour exploiter la faille de cdrecord, il faut un user avec les droits
d'execution de cdrecord, et pas un neuneu, il doit quand même écrire un
peut de code non?
Mais bon, avec suid root vous avez raison, mais j'ai bien dit qu'on est pas
à l'abris d'une faille! Mais il faut une faille + un exploit, alors qu'en
root (ou admin sous win) pas besoin de faille + exploit, n'importe quel
neuneu casse tout!
sous windows, si je veux un shell root et que je peut graver, je tape :
cmd
un peu facile la faille windows non?
;-)
Mais bon, ok, cdrecord suid root est pas sûre, mais je laisse pas cdrecord
accéssible à tout le monde, et il y a toujours ça de possible:
With that said, the safest way to run cdrecord seems like the following:
http://seclists.org/lists/bugtraq/2004/Sep/0461.html
- create a user (e.g., cdrecord) and a group (e.g., cdrecord-user)
- give the cdrecord user (_not_ the group) permission to access any
resources necessary to run cdrecord
- chown cdrecord:cdrecord-user cdrecord
- chmod 4550 cdrecord
mieux non?
--
Web Dreamer, Linux Registered User #313652 at http://counter.li.org/
Remplacer *nospam* par *tiscali* dans l'adresse,
et ajouter *NewsGroupPrivateAnswer* dans le corps du message pour répondre.
FG : Moi, j'ai un : Server error
CB : Et t'en es content ?
-+- in: Guide du Cabaliste Usenet - Cabale: no such file in directory -+-
Alors que sous windows il suffit de faire "format c:" directement! ben oui, pas besoin d'exploit pour être admin si on peut graver, celui qui peut graver peut faire un "format c:" alors que le code si dessus n'est pas à la portée de la simple ménagère qui va graver des sauvegardes de ses doccuments et ses CDs de Patrick bruel!
Pour exploiter la faille de cdrecord, il faut un user avec les droits d'execution de cdrecord, et pas un neuneu, il doit quand même écrire un peut de code non?
Mais bon, avec suid root vous avez raison, mais j'ai bien dit qu'on est pas à l'abris d'une faille! Mais il faut une faille + un exploit, alors qu'en root (ou admin sous win) pas besoin de faille + exploit, n'importe quel neuneu casse tout!
sous windows, si je veux un shell root et que je peut graver, je tape : cmd un peu facile la faille windows non? ;-)
Mais bon, ok, cdrecord suid root est pas sûre, mais je laisse pas cdrecord accéssible à tout le monde, et il y a toujours ça de possible:
With that said, the safest way to run cdrecord seems like the following:
http://seclists.org/lists/bugtraq/2004/Sep/0461.html - create a user (e.g., cdrecord) and a group (e.g., cdrecord-user) - give the cdrecord user (_not_ the group) permission to access any resources necessary to run cdrecord - chown cdrecord:cdrecord-user cdrecord - chmod 4550 cdrecord
mieux non?
-- Web Dreamer, Linux Registered User #313652 at http://counter.li.org/ Remplacer *nospam* par *tiscali* dans l'adresse, et ajouter *NewsGroupPrivateAnswer* dans le corps du message pour répondre.
FG : Moi, j'ai un : Server error CB : Et t'en es content ? -+- in: Guide du Cabaliste Usenet - Cabale: no such file in directory -+-
talon
Web Dreamer wrote:
Pour exploiter la faille de cdrecord, il faut un user avec les droits d'execution de cdrecord, et pas un neuneu, il doit quand même écrire un peut de code non?
Tu as déjà vu la trace d'une intrusion sur une machine? Les gens downloadent des tas de scripts qui sont tout à fait capables de compiler des programmes comme ci-dessus, etc. Il ne faut pas croire que le mec a besoin de savoir programmer, il lui suffit d'aller chercher les scripts là où il faut. Le résultat, c'est que qui dit faille permettant de devenir utilisateur local dit presque inéluctablement faille qui permet de devenir root.
--
Michel TALON
Web Dreamer <webdreamer@nospam.fr> wrote:
Pour exploiter la faille de cdrecord, il faut un user avec les droits
d'execution de cdrecord, et pas un neuneu, il doit quand même écrire un
peut de code non?
Tu as déjà vu la trace d'une intrusion sur une machine? Les gens
downloadent des tas de scripts qui sont tout à fait capables de compiler
des programmes comme ci-dessus, etc. Il ne faut pas croire que le mec a
besoin de savoir programmer, il lui suffit d'aller chercher les scripts
là où il faut. Le résultat, c'est que qui dit faille permettant de
devenir utilisateur local dit presque inéluctablement faille qui permet
de devenir root.
Pour exploiter la faille de cdrecord, il faut un user avec les droits d'execution de cdrecord, et pas un neuneu, il doit quand même écrire un peut de code non?
Tu as déjà vu la trace d'une intrusion sur une machine? Les gens downloadent des tas de scripts qui sont tout à fait capables de compiler des programmes comme ci-dessus, etc. Il ne faut pas croire que le mec a besoin de savoir programmer, il lui suffit d'aller chercher les scripts là où il faut. Le résultat, c'est que qui dit faille permettant de devenir utilisateur local dit presque inéluctablement faille qui permet de devenir root.
--
Michel TALON
Nicolas George
"Manuel Leclerc" , dans le message <41b09684$, a écrit :
C'est sûr. Tiens, du coup j'ai tapé exploit cdrecord dans google, et clické sur le deuxième lien, vu que le premier cause de FreeBSD.
Je trouve qu'il y a une différence fondamentale entre une situation où l'utilisateur a par essence les droits complets et une situation où il ne les a que par accident.
"Manuel Leclerc" , dans le message <41b09684$1@neottia.net>, a écrit :
C'est sûr. Tiens, du coup j'ai tapé exploit cdrecord dans google,
et clické sur le deuxième lien, vu que le premier cause de FreeBSD.
Je trouve qu'il y a une différence fondamentale entre une situation où
l'utilisateur a par essence les droits complets et une situation où il ne
les a que par accident.
Je trouve qu'il y a une différence fondamentale entre une situation où l'utilisateur a par essence les droits complets et une situation où il ne les a que par accident.
Irvin Probst
On 2004-12-03, Michel Talon wrote:
Tu as déjà vu la trace d'une intrusion sur une machine? Les gens downloadent des tas de scripts qui sont tout à fait capables de compiler des programmes comme ci-dessus, etc. Il ne faut pas croire que le mec a besoin de savoir programmer, il lui suffit d'aller chercher les scripts là où il faut.
D'ailleurs c'est toujours très amusant de voir un neuneu tenter de compiler/executer un exploit linux/x86 sur du linux/sparc par exemple. Heureusement les indiens veillent.
-- Irvin Probst There are 10 types of people in the world... those who understand binary and those who don't.
On 2004-12-03, Michel Talon <talon@lpthe.jussieu.fr> wrote:
Tu as déjà vu la trace d'une intrusion sur une machine? Les gens
downloadent des tas de scripts qui sont tout à fait capables de compiler
des programmes comme ci-dessus, etc. Il ne faut pas croire que le mec a
besoin de savoir programmer, il lui suffit d'aller chercher les scripts
là où il faut.
D'ailleurs c'est toujours très amusant de voir un neuneu tenter
de compiler/executer un exploit linux/x86 sur du linux/sparc par
exemple.
Heureusement les indiens veillent.
--
Irvin Probst
There are 10 types of people in the world... those who understand binary
and those who don't.
Tu as déjà vu la trace d'une intrusion sur une machine? Les gens downloadent des tas de scripts qui sont tout à fait capables de compiler des programmes comme ci-dessus, etc. Il ne faut pas croire que le mec a besoin de savoir programmer, il lui suffit d'aller chercher les scripts là où il faut.
D'ailleurs c'est toujours très amusant de voir un neuneu tenter de compiler/executer un exploit linux/x86 sur du linux/sparc par exemple. Heureusement les indiens veillent.
-- Irvin Probst There are 10 types of people in the world... those who understand binary and those who don't.
Web Dreamer
Michel Talon () à écrit le Vendredi 3 Décembre 2004 21:59 dans <coqk3p$2i02$ sur fr.comp.os.linux.debats:
Web Dreamer wrote:
Pour exploiter la faille de cdrecord, il faut un user avec les droits d'execution de cdrecord, et pas un neuneu, il doit quand même écrire un peut de code non?
Tu as déjà vu la trace d'une intrusion sur une machine? Les gens downloadent des tas de scripts qui sont tout à fait capables de compiler des programmes comme ci-dessus, etc. Il ne faut pas croire que le mec a besoin de savoir programmer, il lui suffit d'aller chercher les scripts là où il faut. Le résultat, c'est que qui dit faille permettant de devenir utilisateur local dit presque inéluctablement faille qui permet de devenir root.
Effectivement, mais pour une utilisation chez soi, cdrecord en suid root ça va? Pour une entreprise sur postes sécurisés, ok, ça le fait pas, mais pour moi, bobonne et fiston, ça craint pas ce genre de trucs?
Parceque je vois pas en quoi sudo est mieux? Ben oui, il exécute cdrecord en tant que "root"? ça fait une différence?
Pourquoi sudo serait'il plus sûre que suid root pour cdrecord?
Merci.
-- Web Dreamer, Linux Registered User #313652 at http://counter.li.org/ Remplacer *nospam* par *tiscali* dans l'adresse, et ajouter *NewsGroupPrivateAnswer* dans le corps du message pour répondre.
Internet, ça rend con et ça abime les yeux. Feriez mieux de regarder la télé. -+- DM in: Guide du Cabaliste Usenet - Quelques évidences -+-
Michel Talon (talon@lpthe.jussieu.fr) à écrit le Vendredi 3 Décembre 2004
21:59 dans <coqk3p$2i02$1@asmodee.lpthe.jussieu.fr> sur
fr.comp.os.linux.debats:
Web Dreamer <webdreamer@nospam.fr> wrote:
Pour exploiter la faille de cdrecord, il faut un user avec les droits
d'execution de cdrecord, et pas un neuneu, il doit quand même écrire un
peut de code non?
Tu as déjà vu la trace d'une intrusion sur une machine? Les gens
downloadent des tas de scripts qui sont tout à fait capables de compiler
des programmes comme ci-dessus, etc. Il ne faut pas croire que le mec a
besoin de savoir programmer, il lui suffit d'aller chercher les scripts
là où il faut. Le résultat, c'est que qui dit faille permettant de
devenir utilisateur local dit presque inéluctablement faille qui permet
de devenir root.
Effectivement, mais pour une utilisation chez soi, cdrecord en suid root ça
va?
Pour une entreprise sur postes sécurisés, ok, ça le fait pas, mais pour moi,
bobonne et fiston, ça craint pas ce genre de trucs?
Parceque je vois pas en quoi sudo est mieux? Ben oui, il exécute cdrecord en
tant que "root"? ça fait une différence?
Pourquoi sudo serait'il plus sûre que suid root pour cdrecord?
Merci.
--
Web Dreamer, Linux Registered User #313652 at http://counter.li.org/
Remplacer *nospam* par *tiscali* dans l'adresse,
et ajouter *NewsGroupPrivateAnswer* dans le corps du message pour répondre.
Internet, ça rend con et ça abime les yeux.
Feriez mieux de regarder la télé.
-+- DM in: Guide du Cabaliste Usenet - Quelques évidences -+-
Michel Talon () à écrit le Vendredi 3 Décembre 2004 21:59 dans <coqk3p$2i02$ sur fr.comp.os.linux.debats:
Web Dreamer wrote:
Pour exploiter la faille de cdrecord, il faut un user avec les droits d'execution de cdrecord, et pas un neuneu, il doit quand même écrire un peut de code non?
Tu as déjà vu la trace d'une intrusion sur une machine? Les gens downloadent des tas de scripts qui sont tout à fait capables de compiler des programmes comme ci-dessus, etc. Il ne faut pas croire que le mec a besoin de savoir programmer, il lui suffit d'aller chercher les scripts là où il faut. Le résultat, c'est que qui dit faille permettant de devenir utilisateur local dit presque inéluctablement faille qui permet de devenir root.
Effectivement, mais pour une utilisation chez soi, cdrecord en suid root ça va? Pour une entreprise sur postes sécurisés, ok, ça le fait pas, mais pour moi, bobonne et fiston, ça craint pas ce genre de trucs?
Parceque je vois pas en quoi sudo est mieux? Ben oui, il exécute cdrecord en tant que "root"? ça fait une différence?
Pourquoi sudo serait'il plus sûre que suid root pour cdrecord?
Merci.
-- Web Dreamer, Linux Registered User #313652 at http://counter.li.org/ Remplacer *nospam* par *tiscali* dans l'adresse, et ajouter *NewsGroupPrivateAnswer* dans le corps du message pour répondre.
Internet, ça rend con et ça abime les yeux. Feriez mieux de regarder la télé. -+- DM in: Guide du Cabaliste Usenet - Quelques évidences -+-
David MAREC
D'après Manuel Leclerc:
[suid root sur cdrecord] C'est sûr. Tiens, du coup j'ai tapé exploit cdrecord dans google, et clické sur le deuxième lien, vu que le premier cause de FreeBSD.
Tu as d'excellents réflexes. :-)
D'après Manuel Leclerc:
[suid root sur cdrecord]
C'est sûr. Tiens, du coup j'ai tapé exploit cdrecord dans google,
et clické sur le deuxième lien, vu que le premier cause de FreeBSD.
[suid root sur cdrecord] C'est sûr. Tiens, du coup j'ai tapé exploit cdrecord dans google, et clické sur le deuxième lien, vu que le premier cause de FreeBSD.
Tu as d'excellents réflexes. :-)
nospam
gWeb Dreamer wrote:
Donc je rectifie en disant _non_ je ne _me_ fait pas passer pour root, c'est uniquement et seulement le petit programme binaire cdrecord qui se lance avec des droits root.
Ce que tu peux parfaitement faire sous Windows en utilisant le "Run as ..." qui te permet de lancer un soft qui aura les droits d'un autre utilisateur.
Remplacez nospam par mon prénom pour me contacter par email
gWeb Dreamer <webdreamer@nospam.fr> wrote:
Donc je rectifie en disant _non_ je ne _me_ fait pas passer pour root, c'est
uniquement et seulement le petit programme binaire cdrecord qui se lance
avec des droits root.
Ce que tu peux parfaitement faire sous Windows en utilisant le "Run as
..." qui te permet de lancer un soft qui aura les droits d'un autre
utilisateur.
Donc je rectifie en disant _non_ je ne _me_ fait pas passer pour root, c'est uniquement et seulement le petit programme binaire cdrecord qui se lance avec des droits root.
Ce que tu peux parfaitement faire sous Windows en utilisant le "Run as ..." qui te permet de lancer un soft qui aura les droits d'un autre utilisateur.
