Sans commentaires:
http://www.breves.fr/index.php?id_t=article&datetime=901000
http://www.silicon.fr/getarticle.asp?ID=7426
http://www.pcinpact.com/actu/newsg/17857.htm
--
Web Dreamer
Remplacez entre *nospam* par *tiscali*
et ajoutez *NewsGroupPrivateAnswer* dans le corps du message pour répondre.
[suid root sur cdrecord] C'est sûr. Tiens, du coup j'ai tapé exploit cdrecord dans google, et clické sur le deuxième lien, vu que le premier cause de FreeBSD.
Tu as d'excellents réflexes. :-)
Surtout que si tu reagrdes la page en question tu n'y trouves absolument
aucune description d'un exploit cdrecord sur FreeBSD. En fait comme il existe une vulnérabilité de formattage de caractère dans cdrecord (la manipulation de dev=...) cette vulnérabilité est susceptible de marcher partout à peu prés de la même manière que ce soit sous Linux ou FreeBSD.
Quand à la mauvaise foi phénoménale des tenants de certaines distributions, il n'y a qu'à lire le troisième message: http://cert.uni-stuttgart.de/archive/bugtraq/2004/09/msg00187.html pour être fixé. C'est proprement ahurissant.
--
Michel TALON
David MAREC <dmarec.spam@spambox.invalid> wrote:
D'après Manuel Leclerc:
[suid root sur cdrecord]
C'est sûr. Tiens, du coup j'ai tapé exploit cdrecord dans google,
et clické sur le deuxième lien, vu que le premier cause de FreeBSD.
Tu as d'excellents réflexes. :-)
Surtout que si tu reagrdes la page en question tu n'y trouves absolument
aucune description d'un exploit cdrecord sur FreeBSD. En fait comme il
existe une vulnérabilité de formattage de caractère dans cdrecord (la
manipulation de dev=...) cette vulnérabilité est susceptible de marcher
partout à peu prés de la même manière que ce soit sous Linux ou FreeBSD.
Quand à la mauvaise foi phénoménale des tenants de certaines
distributions, il n'y a qu'à lire le troisième message:
http://cert.uni-stuttgart.de/archive/bugtraq/2004/09/msg00187.html
pour être fixé. C'est proprement ahurissant.
[suid root sur cdrecord] C'est sûr. Tiens, du coup j'ai tapé exploit cdrecord dans google, et clické sur le deuxième lien, vu que le premier cause de FreeBSD.
Tu as d'excellents réflexes. :-)
Surtout que si tu reagrdes la page en question tu n'y trouves absolument
aucune description d'un exploit cdrecord sur FreeBSD. En fait comme il existe une vulnérabilité de formattage de caractère dans cdrecord (la manipulation de dev=...) cette vulnérabilité est susceptible de marcher partout à peu prés de la même manière que ce soit sous Linux ou FreeBSD.
Quand à la mauvaise foi phénoménale des tenants de certaines distributions, il n'y a qu'à lire le troisième message: http://cert.uni-stuttgart.de/archive/bugtraq/2004/09/msg00187.html pour être fixé. C'est proprement ahurissant.
--
Michel TALON
Nicolas George
Michel Talon, dans le message <cos3go$do6$, a écrit :
La seule différence c'est que tu peux limiter les utilisateurs ayant le droit de faire sudo.
On peut limiter les utilisateurs ayant le droit de faire cdrecord, il suffit de rendre cdrecord exécutable uniquement par un groupe donné. C'est assez classique, et déjà fait avec d'autres programmes (pppd est un exemple fréquent).
Michel Talon, dans le message <cos3go$do6$4@asmodee.lpthe.jussieu.fr>, a
écrit :
La seule différence c'est que tu peux limiter les utilisateurs ayant le
droit de faire sudo.
On peut limiter les utilisateurs ayant le droit de faire cdrecord, il suffit
de rendre cdrecord exécutable uniquement par un groupe donné. C'est assez
classique, et déjà fait avec d'autres programmes (pppd est un exemple
fréquent).
Michel Talon, dans le message <cos3go$do6$, a écrit :
La seule différence c'est que tu peux limiter les utilisateurs ayant le droit de faire sudo.
On peut limiter les utilisateurs ayant le droit de faire cdrecord, il suffit de rendre cdrecord exécutable uniquement par un groupe donné. C'est assez classique, et déjà fait avec d'autres programmes (pppd est un exemple fréquent).
talon
Nicolas George <nicolas$ wrote:
Michel Talon, dans le message <cos3go$do6$, a écrit :
La seule différence c'est que tu peux limiter les utilisateurs ayant le droit de faire sudo.
On peut limiter les utilisateurs ayant le droit de faire cdrecord, il suffit de rendre cdrecord exécutable uniquement par un groupe donné. C'est assez classique, et déjà fait avec d'autres programmes (pppd est un exemple fréquent).
Tu as parfaitement raison.
--
Michel TALON
Nicolas George <nicolas$george@salle-s.org> wrote:
Michel Talon, dans le message <cos3go$do6$4@asmodee.lpthe.jussieu.fr>, a
écrit :
La seule différence c'est que tu peux limiter les utilisateurs ayant le
droit de faire sudo.
On peut limiter les utilisateurs ayant le droit de faire cdrecord, il suffit
de rendre cdrecord exécutable uniquement par un groupe donné. C'est assez
classique, et déjà fait avec d'autres programmes (pppd est un exemple
fréquent).
Michel Talon, dans le message <cos3go$do6$, a écrit :
La seule différence c'est que tu peux limiter les utilisateurs ayant le droit de faire sudo.
On peut limiter les utilisateurs ayant le droit de faire cdrecord, il suffit de rendre cdrecord exécutable uniquement par un groupe donné. C'est assez classique, et déjà fait avec d'autres programmes (pppd est un exemple fréquent).
Tu as parfaitement raison.
--
Michel TALON
FAb
(Romuald Brunet) writes:
Ce que tu peux parfaitement faire sous Windows en utilisant le "Run as ..." qui te permet de lancer un soft qui aura les droits d'un autre utilisateur.
Depuis un user lambda ? sous quelle version de windows ? Curieux, ai pas vu ça.
FAb
nospam@chivil.com (Romuald Brunet) writes:
Ce que tu peux parfaitement faire sous Windows en utilisant le "Run as
..." qui te permet de lancer un soft qui aura les droits d'un autre
utilisateur.
Depuis un user lambda ? sous quelle version de windows ?
Curieux, ai pas vu ça.
Ce que tu peux parfaitement faire sous Windows en utilisant le "Run as ..." qui te permet de lancer un soft qui aura les droits d'un autre utilisateur.
Depuis un user lambda ? sous quelle version de windows ? Curieux, ai pas vu ça.
FAb
nicolas vigier
On 2004-12-03, Manuel Leclerc wrote:
Je trouve ça assez dificile à expliquer, mais pour moi, ça fait une différence gigantesque!
C'est sûr. Tiens, du coup j'ai tapé exploit cdrecord dans google, et clické sur le deuxième lien, vu que le premier cause de FreeBSD.
Oui, mais lancant de temps en temps une update des packages installes, y a pas de probleme.
FAb () à écrit le Samedi 4 Décembre 2004 13:31 dans sur fr.comp.os.linux.debats:
(Romuald Brunet) writes:
Ce que tu peux parfaitement faire sous Windows en utilisant le "Run as ..." qui te permet de lancer un soft qui aura les droits d'un autre utilisateur.
Depuis un user lambda ? sous quelle version de windows ? Curieux, ai pas vu ça.
Sous XP tu peux, mais ça marche pas bien. J'ai lancé un "windows update" avec "runas", et ben il a pas marché! J'ai été obligé de recommencer en me loguant en administarteur.
Le "runas" de XP ne marche pas aussi bien qu'un "sudo" "su -c" ou "suid root".
Certaines applis fonctionnent avec "runas", mais pas toutes.
-- Web Dreamer, Linux Registered User #313652 at http://counter.li.org/ Remplacer *nospam* par *tiscali* dans l'adresse, et ajouter *NewsGroupPrivateAnswer* dans le corps du message pour répondre.
Quand une mouche se pose sur un plafond, fait-elle un demi-tonneau ou un demi-looping ?
FAb (g0up1l.at.yahoo.fr@yahoo.fr) à écrit le Samedi 4 Décembre 2004 13:31
dans <m24qj2meif.fsf@localhost.localdomain> sur fr.comp.os.linux.debats:
nospam@chivil.com (Romuald Brunet) writes:
Ce que tu peux parfaitement faire sous Windows en utilisant le "Run as
..." qui te permet de lancer un soft qui aura les droits d'un autre
utilisateur.
Depuis un user lambda ? sous quelle version de windows ?
Curieux, ai pas vu ça.
Sous XP tu peux, mais ça marche pas bien.
J'ai lancé un "windows update" avec "runas", et ben il a pas marché!
J'ai été obligé de recommencer en me loguant en administarteur.
Le "runas" de XP ne marche pas aussi bien qu'un "sudo" "su -c" ou "suid
root".
Certaines applis fonctionnent avec "runas", mais pas toutes.
--
Web Dreamer, Linux Registered User #313652 at http://counter.li.org/
Remplacer *nospam* par *tiscali* dans l'adresse,
et ajouter *NewsGroupPrivateAnswer* dans le corps du message pour répondre.
Quand une mouche se pose sur un plafond,
fait-elle un demi-tonneau ou un demi-looping ?
FAb () à écrit le Samedi 4 Décembre 2004 13:31 dans sur fr.comp.os.linux.debats:
(Romuald Brunet) writes:
Ce que tu peux parfaitement faire sous Windows en utilisant le "Run as ..." qui te permet de lancer un soft qui aura les droits d'un autre utilisateur.
Depuis un user lambda ? sous quelle version de windows ? Curieux, ai pas vu ça.
Sous XP tu peux, mais ça marche pas bien. J'ai lancé un "windows update" avec "runas", et ben il a pas marché! J'ai été obligé de recommencer en me loguant en administarteur.
Le "runas" de XP ne marche pas aussi bien qu'un "sudo" "su -c" ou "suid root".
Certaines applis fonctionnent avec "runas", mais pas toutes.
-- Web Dreamer, Linux Registered User #313652 at http://counter.li.org/ Remplacer *nospam* par *tiscali* dans l'adresse, et ajouter *NewsGroupPrivateAnswer* dans le corps du message pour répondre.
Quand une mouche se pose sur un plafond, fait-elle un demi-tonneau ou un demi-looping ?
Web Dreamer
Michel Talon () à écrit le Samedi 4 Décembre 2004 12:40 dans <cos7o8$fbq$ sur fr.comp.os.linux.debats:
Nicolas George <nicolas$ wrote:
Michel Talon, dans le message <cos3go$do6$, a
La seule différence c'est que tu peux limiter les utilisateurs ayant le droit de faire sudo.
On peut limiter les utilisateurs ayant le droit de faire cdrecord, il suffit de rendre cdrecord exécutable uniquement par un groupe donné. C'est assez classique, et déjà fait avec d'autres programmes (pppd est un exemple fréquent).
Tu as parfaitement raison.
Et c'est mon cas : $ ls -l /usr/bin/cdr* -rws--x--- 1 root cdwriter 539176 oct 20 2002 /usr/bin/cdrdao* -rws--x--- 1 root cdwriter 277932 mai 16 2003 /usr/bin/cdrecord*
C'est plus facile que "sudo", seuls les membres du groupe "cdwriter" (gens de confiance) ont accès à la gravure.
J'ai pour politique que si une appli doit être "suid root" je lui fait un "chmod o-x" systématiquement, et je crées un groupe pour cette appli, et mets en membre du groupe uniquement les personnes que je désire.
Ça marche donc comme sudo. Je fais une erreur?
-- Web Dreamer, Linux Registered User #313652 at http://counter.li.org/ Remplacer *nospam* par *tiscali* dans l'adresse, et ajouter *NewsGroupPrivateAnswer* dans le corps du message pour répondre.
Pourquoi ne met-on pas de paniers dans les piscines ? Parce que la corbeille a pas pied.
Michel Talon (talon@lpthe.jussieu.fr) à écrit le Samedi 4 Décembre 2004
12:40 dans <cos7o8$fbq$1@asmodee.lpthe.jussieu.fr> sur
fr.comp.os.linux.debats:
Nicolas George <nicolas$george@salle-s.org> wrote:
Michel Talon, dans le message <cos3go$do6$4@asmodee.lpthe.jussieu.fr>, a
La seule différence c'est que tu peux limiter les utilisateurs ayant le
droit de faire sudo.
On peut limiter les utilisateurs ayant le droit de faire cdrecord, il
suffit de rendre cdrecord exécutable uniquement par un groupe donné.
C'est assez classique, et déjà fait avec d'autres programmes (pppd est un
exemple fréquent).
Tu as parfaitement raison.
Et c'est mon cas :
$ ls -l /usr/bin/cdr*
-rws--x--- 1 root cdwriter 539176 oct 20 2002 /usr/bin/cdrdao*
-rws--x--- 1 root cdwriter 277932 mai 16 2003 /usr/bin/cdrecord*
C'est plus facile que "sudo", seuls les membres du groupe "cdwriter" (gens
de confiance) ont accès à la gravure.
J'ai pour politique que si une appli doit être "suid root" je lui fait un
"chmod o-x" systématiquement, et je crées un groupe pour cette appli, et
mets en membre du groupe uniquement les personnes que je désire.
Ça marche donc comme sudo.
Je fais une erreur?
--
Web Dreamer, Linux Registered User #313652 at http://counter.li.org/
Remplacer *nospam* par *tiscali* dans l'adresse,
et ajouter *NewsGroupPrivateAnswer* dans le corps du message pour répondre.
Pourquoi ne met-on pas de paniers dans les piscines ?
Parce que la corbeille a pas pied.
Michel Talon () à écrit le Samedi 4 Décembre 2004 12:40 dans <cos7o8$fbq$ sur fr.comp.os.linux.debats:
Nicolas George <nicolas$ wrote:
Michel Talon, dans le message <cos3go$do6$, a
La seule différence c'est que tu peux limiter les utilisateurs ayant le droit de faire sudo.
On peut limiter les utilisateurs ayant le droit de faire cdrecord, il suffit de rendre cdrecord exécutable uniquement par un groupe donné. C'est assez classique, et déjà fait avec d'autres programmes (pppd est un exemple fréquent).
Tu as parfaitement raison.
Et c'est mon cas : $ ls -l /usr/bin/cdr* -rws--x--- 1 root cdwriter 539176 oct 20 2002 /usr/bin/cdrdao* -rws--x--- 1 root cdwriter 277932 mai 16 2003 /usr/bin/cdrecord*
C'est plus facile que "sudo", seuls les membres du groupe "cdwriter" (gens de confiance) ont accès à la gravure.
J'ai pour politique que si une appli doit être "suid root" je lui fait un "chmod o-x" systématiquement, et je crées un groupe pour cette appli, et mets en membre du groupe uniquement les personnes que je désire.
Ça marche donc comme sudo. Je fais une erreur?
-- Web Dreamer, Linux Registered User #313652 at http://counter.li.org/ Remplacer *nospam* par *tiscali* dans l'adresse, et ajouter *NewsGroupPrivateAnswer* dans le corps du message pour répondre.
Pourquoi ne met-on pas de paniers dans les piscines ? Parce que la corbeille a pas pied.
talon
Web Dreamer wrote:
Ça marche donc comme sudo. Je fais une erreur?
L'autre argument qu'on donne pour sudo est qu'il permet de logger tous
les gens qui en font usage. Si ça a une importance pour toi ...
--
Michel TALON
Web Dreamer <webdreamer@nospam.fr> wrote:
Ça marche donc comme sudo.
Je fais une erreur?
L'autre argument qu'on donne pour sudo est qu'il permet de logger tous
les gens qui en font usage. Si ça a une importance pour toi ...
L'autre argument qu'on donne pour sudo est qu'il permet de logger tous
les gens qui en font usage. Si ça a une importance pour toi ...
--
Michel TALON
Vincent Bernat
OoO En ce doux début de matinée du dimanche 05 décembre 2004, vers 08:24, Web Dreamer disait:
Ça marche donc comme sudo. Je fais une erreur?
Oui, un programme exécuté par sudo sera entièrement exécuté en root. Un programme setuid sera plus à même d'abandonner rapidement des privilèges pour que la majeure partie tourne sous le nom de l'utilisateur réel. -- /* James M doesn't say fuck enough. */ 2.4.3 linux/net/core/netfilter.c
OoO En ce doux début de matinée du dimanche 05 décembre 2004, vers
08:24, Web Dreamer <webdreamer@nospam.fr> disait:
Ça marche donc comme sudo.
Je fais une erreur?
Oui, un programme exécuté par sudo sera entièrement exécuté en
root. Un programme setuid sera plus à même d'abandonner rapidement des
privilèges pour que la majeure partie tourne sous le nom de
l'utilisateur réel.
--
/* James M doesn't say fuck enough. */
2.4.3 linux/net/core/netfilter.c
OoO En ce doux début de matinée du dimanche 05 décembre 2004, vers 08:24, Web Dreamer disait:
Ça marche donc comme sudo. Je fais une erreur?
Oui, un programme exécuté par sudo sera entièrement exécuté en root. Un programme setuid sera plus à même d'abandonner rapidement des privilèges pour que la majeure partie tourne sous le nom de l'utilisateur réel. -- /* James M doesn't say fuck enough. */ 2.4.3 linux/net/core/netfilter.c
Web Dreamer
Michel Talon () à écrit le Dimanche 5 Décembre 2004 09:48 dans <coui1f$1k7a$ sur fr.comp.os.linux.debats:
Web Dreamer wrote:
Ça marche donc comme sudo. Je fais une erreur?
L'autre argument qu'on donne pour sudo est qu'il permet de logger tous
les gens qui en font usage. Si ça a une importance pour toi ...
Dans une entreprise, effectivement le log est utile. Mais chez moi... en utilisation perso je n'en ai franchement pas besoin!
L'argument est effectivement bon pour une entreprise, mais pour un particulier? j'en doute!
-- Web Dreamer, Linux Registered User #313652 at http://counter.li.org/ Remplacer *nospam* par *tiscali* dans l'adresse, et ajouter *NewsGroupPrivateAnswer* dans le corps du message pour répondre.
L'erreur est humaine mais un veritable desastre necessite un ordinateur !
Michel Talon (talon@lpthe.jussieu.fr) à écrit le Dimanche 5 Décembre 2004
09:48 dans <coui1f$1k7a$2@asmodee.lpthe.jussieu.fr> sur
fr.comp.os.linux.debats:
Web Dreamer <webdreamer@nospam.fr> wrote:
Ça marche donc comme sudo.
Je fais une erreur?
L'autre argument qu'on donne pour sudo est qu'il permet de logger tous
les gens qui en font usage. Si ça a une importance pour toi ...
Dans une entreprise, effectivement le log est utile.
Mais chez moi... en utilisation perso je n'en ai franchement pas besoin!
L'argument est effectivement bon pour une entreprise, mais pour un
particulier? j'en doute!
--
Web Dreamer, Linux Registered User #313652 at http://counter.li.org/
Remplacer *nospam* par *tiscali* dans l'adresse,
et ajouter *NewsGroupPrivateAnswer* dans le corps du message pour répondre.
L'erreur est humaine mais un veritable desastre necessite un ordinateur !
Michel Talon () à écrit le Dimanche 5 Décembre 2004 09:48 dans <coui1f$1k7a$ sur fr.comp.os.linux.debats:
Web Dreamer wrote:
Ça marche donc comme sudo. Je fais une erreur?
L'autre argument qu'on donne pour sudo est qu'il permet de logger tous
les gens qui en font usage. Si ça a une importance pour toi ...
Dans une entreprise, effectivement le log est utile. Mais chez moi... en utilisation perso je n'en ai franchement pas besoin!
L'argument est effectivement bon pour une entreprise, mais pour un particulier? j'en doute!
-- Web Dreamer, Linux Registered User #313652 at http://counter.li.org/ Remplacer *nospam* par *tiscali* dans l'adresse, et ajouter *NewsGroupPrivateAnswer* dans le corps du message pour répondre.
L'erreur est humaine mais un veritable desastre necessite un ordinateur !
