Après avoir appliqué le dernier update de panther
(on pouvais le faire avant) je me suis apercu d'un
trou de sécurité.
1 - Prenez un compte user ( pas admin)
2 - Ouvrez un terminal.
3 - Taper su d'un compte admin.
4 - Entrer le mot de passe.
5 - Entrer exit.
6 - Entrer exit
7 - Quitter l'application terminal.
8 - Ouvrez system preference.
9 - Allez dans comptes ou energie.
10 - Vous voyez le cadenas ouvert par su et PAS fermé par Exit.
11 - Votre mac est vulnerable.
Après avoir appliqué le dernier update de panther (on pouvais le faire avant) je me suis apercu d'un trou de sécurité.
Quoi que l'on fasse j'ai le sentiment que la sécurité c'est de l'Emmenthal:-)
-- Philippe
gerald.coyot
Philippe Di Valentin wrote:
Le 18/09/04 13:45, Stephane Leon écrivait:
Bonjours messieurs, mesdames
Après avoir appliqué le dernier update de panther (on pouvais le faire avant) je me suis apercu d'un trou de sécurité.
Quoi que l'on fasse j'ai le sentiment que la sécurité c'est de l'Emmenthal:-)
Plus ya d'Emmenthal, plus ya de trous. Plus ya de trous, moins ya d'Emmenthal. C'est ça ?
-- 'Si tu dis une parole et que l'on ne t'écoute pas, tu perds une parole. Si un Homme te parle et que tu ne l'écoutes pas, tu perds un Homme.' Kongfuzi http://perso.wanadoo.fr/gerard.cojot/
Philippe Di Valentin <Philippe.Divalentin@wanadoo.fr> wrote:
Le 18/09/04 13:45, Stephane Leon écrivait:
Bonjours messieurs, mesdames
Après avoir appliqué le dernier update de panther
(on pouvais le faire avant) je me suis apercu d'un
trou de sécurité.
Quoi que l'on fasse j'ai le sentiment que la sécurité c'est de
l'Emmenthal:-)
Plus ya d'Emmenthal, plus ya de trous.
Plus ya de trous, moins ya d'Emmenthal.
C'est ça ?
--
'Si tu dis une parole et que l'on ne t'écoute pas, tu perds une parole.
Si un Homme te parle et que tu ne l'écoutes pas, tu perds un Homme.'
Kongfuzi
http://perso.wanadoo.fr/gerard.cojot/
Après avoir appliqué le dernier update de panther (on pouvais le faire avant) je me suis apercu d'un trou de sécurité.
Quoi que l'on fasse j'ai le sentiment que la sécurité c'est de l'Emmenthal:-)
Plus ya d'Emmenthal, plus ya de trous. Plus ya de trous, moins ya d'Emmenthal. C'est ça ?
-- 'Si tu dis une parole et que l'on ne t'écoute pas, tu perds une parole. Si un Homme te parle et que tu ne l'écoutes pas, tu perds un Homme.' Kongfuzi http://perso.wanadoo.fr/gerard.cojot/
1 - Prenez un compte user ( pas admin) 2 - Ouvrez un terminal. 3 - Taper su d'un compte admin. 4 - Entrer le mot de passe. 5 - Entrer exit. 6 - Entrer exit 7 - Quitter l'application terminal.
8 - Ouvrez system preference. 9 - Allez dans comptes ou energie. 10 - Vous voyez le cadenas ouvert par su et PAS fermé par Exit. 11 - Votre mac est vulnerable.
Exactement comme quand tu fais une installation avec un installateur qui te demandes des privilèges admin, demande à modifier des privilèges dans le Finder avec transgression "administrative",... ou met à la poubelle un fichier sur lequel tu n'as pas de privilèges suffisants.
Je ne sais pas si des gens l'on déjà vu.
-- Jacques PERROCHEAU ______________________________________________________________ e-mail: mailto:
Stephane Leon <StephaneLeon@mac.com> wrote:
1 - Prenez un compte user ( pas admin)
2 - Ouvrez un terminal.
3 - Taper su d'un compte admin.
4 - Entrer le mot de passe.
5 - Entrer exit.
6 - Entrer exit
7 - Quitter l'application terminal.
8 - Ouvrez system preference.
9 - Allez dans comptes ou energie.
10 - Vous voyez le cadenas ouvert par su et PAS fermé par Exit.
11 - Votre mac est vulnerable.
Exactement comme quand tu fais une installation avec un installateur qui
te demandes des privilèges admin, demande à modifier des privilèges dans
le Finder avec transgression "administrative",... ou met à la poubelle
un fichier sur lequel tu n'as pas de privilèges suffisants.
Je ne sais pas si des gens l'on déjà vu.
--
Jacques PERROCHEAU
______________________________________________________________
e-mail: mailto:jperrocheau@mac.com
1 - Prenez un compte user ( pas admin) 2 - Ouvrez un terminal. 3 - Taper su d'un compte admin. 4 - Entrer le mot de passe. 5 - Entrer exit. 6 - Entrer exit 7 - Quitter l'application terminal.
8 - Ouvrez system preference. 9 - Allez dans comptes ou energie. 10 - Vous voyez le cadenas ouvert par su et PAS fermé par Exit. 11 - Votre mac est vulnerable.
Exactement comme quand tu fais une installation avec un installateur qui te demandes des privilèges admin, demande à modifier des privilèges dans le Finder avec transgression "administrative",... ou met à la poubelle un fichier sur lequel tu n'as pas de privilèges suffisants.
Je ne sais pas si des gens l'on déjà vu.
-- Jacques PERROCHEAU ______________________________________________________________ e-mail: mailto:
Stephane Leon
Jacques Perrocheau wrote:
Exactement comme quand tu fais une installation avec un installateur qui te demandes des privilèges admin, demande à modifier des privilèges dans le Finder avec transgression "administrative",... ou met à la poubelle un fichier sur lequel tu n'as pas de privilèges suffisants.
Ca fait ca depuis Panther, pour le cas que j'ai donné. Ya un timeout dans etc/autorization, le compte admin doit se fermer après ce laps de temps. Ca le fait pas. Peut-être que "root enabled" influe j'ai pas tésté. Mais visiblement ca coince dans l'interaction entre les privilèges du shell de terminal et le statut du cadenas dans systeme preferences. Avant c'était pas le cas.(Jaguar) L'un n'agissait pas l'autre.
Je savais pas qu'on pouvait aussi faire ce que tu dis. Décidement :(
-- Stephane
Jacques Perrocheau wrote:
Exactement comme quand tu fais une installation avec un installateur
qui te demandes des privilèges admin, demande à modifier des
privilèges dans le Finder avec transgression "administrative",... ou
met à la poubelle un fichier sur lequel tu n'as pas de privilèges
suffisants.
Ca fait ca depuis Panther, pour le cas que j'ai donné.
Ya un timeout dans etc/autorization, le compte
admin doit se fermer après ce laps de temps.
Ca le fait pas.
Peut-être que "root enabled" influe j'ai pas tésté.
Mais visiblement ca coince dans l'interaction
entre les privilèges du shell de terminal et
le statut du cadenas dans systeme preferences.
Avant c'était pas le cas.(Jaguar)
L'un n'agissait pas l'autre.
Je savais pas qu'on pouvait aussi faire ce que tu dis.
Décidement :(
Exactement comme quand tu fais une installation avec un installateur qui te demandes des privilèges admin, demande à modifier des privilèges dans le Finder avec transgression "administrative",... ou met à la poubelle un fichier sur lequel tu n'as pas de privilèges suffisants.
Ca fait ca depuis Panther, pour le cas que j'ai donné. Ya un timeout dans etc/autorization, le compte admin doit se fermer après ce laps de temps. Ca le fait pas. Peut-être que "root enabled" influe j'ai pas tésté. Mais visiblement ca coince dans l'interaction entre les privilèges du shell de terminal et le statut du cadenas dans systeme preferences. Avant c'était pas le cas.(Jaguar) L'un n'agissait pas l'autre.
Je savais pas qu'on pouvait aussi faire ce que tu dis. Décidement :(
-- Stephane
jperrocheau
Stephane Leon wrote:
Ca fait ca depuis Panther, pour le cas que j'ai donné. Ya un timeout dans etc/autorization, le compte admin doit se fermer après ce laps de temps. Ca le fait pas.
AMA si,... vérifie. Mais les cadenas des TdB de "System Preferences" ne se ferment pas. Je crois que c'est comme cela depuis le début. Si c'est dans le compte admin ce n'est pas très grave, un utilisateur admin conséquent soit ferme sa session soit la verrouille quand il s'en va. Et je crois bien que personne ne verrouille les TdB quand il est dans son compte admin.
Ce serait plus embêtant dans un compte "normal"... dans ce cas les TdB concernés sont verrouillés par défaut. Ce serait embêtant si ta manip les dévérouille sans qu'ils se revérouillent automatiquement.
Peut-être que "root enabled" influe j'ai pas tésté.
Moi non plus, mais je n'ai jamais activé root et je ne le ferai pas. ;)
Mais visiblement ca coince dans l'interaction entre les privilèges du shell de terminal et le statut du cadenas dans systeme preferences.
En tous cas dans ta manip le Trousseau ne se déverouille pas.
Avant c'était pas le cas.(Jaguar) L'un n'agissait pas l'autre.
Humm! faudrait vérifier.
Je savais pas qu'on pouvait aussi faire ce que tu dis. Décidement :(
Ben...
-- Jacques PERROCHEAU ______________________________________________________________ e-mail: mailto:
Stephane Leon <StephaneLeon@mac.com> wrote:
Ca fait ca depuis Panther, pour le cas que j'ai donné. Ya un timeout dans
etc/autorization, le compte admin doit se fermer après ce laps de temps.
Ca le fait pas.
AMA si,... vérifie. Mais les cadenas des TdB de "System Preferences" ne
se ferment pas. Je crois que c'est comme cela depuis le début. Si c'est
dans le compte admin ce n'est pas très grave, un utilisateur admin
conséquent soit ferme sa session soit la verrouille quand il s'en va. Et
je crois bien que personne ne verrouille les TdB quand il est dans son
compte admin.
Ce serait plus embêtant dans un compte "normal"... dans ce cas les TdB
concernés sont verrouillés par défaut. Ce serait embêtant si ta manip
les dévérouille sans qu'ils se revérouillent automatiquement.
Peut-être que "root enabled" influe j'ai pas tésté.
Moi non plus, mais je n'ai jamais activé root et je ne le ferai pas. ;)
Mais visiblement ca coince dans l'interaction entre les privilèges du
shell de terminal et le statut du cadenas dans systeme preferences.
En tous cas dans ta manip le Trousseau ne se déverouille pas.
Avant c'était pas le cas.(Jaguar) L'un n'agissait pas l'autre.
Humm! faudrait vérifier.
Je savais pas qu'on pouvait aussi faire ce que tu dis.
Décidement :(
Ben...
--
Jacques PERROCHEAU
______________________________________________________________
e-mail: mailto:jperrocheau@mac.com
Ca fait ca depuis Panther, pour le cas que j'ai donné. Ya un timeout dans etc/autorization, le compte admin doit se fermer après ce laps de temps. Ca le fait pas.
AMA si,... vérifie. Mais les cadenas des TdB de "System Preferences" ne se ferment pas. Je crois que c'est comme cela depuis le début. Si c'est dans le compte admin ce n'est pas très grave, un utilisateur admin conséquent soit ferme sa session soit la verrouille quand il s'en va. Et je crois bien que personne ne verrouille les TdB quand il est dans son compte admin.
Ce serait plus embêtant dans un compte "normal"... dans ce cas les TdB concernés sont verrouillés par défaut. Ce serait embêtant si ta manip les dévérouille sans qu'ils se revérouillent automatiquement.
Peut-être que "root enabled" influe j'ai pas tésté.
Moi non plus, mais je n'ai jamais activé root et je ne le ferai pas. ;)
Mais visiblement ca coince dans l'interaction entre les privilèges du shell de terminal et le statut du cadenas dans systeme preferences.
En tous cas dans ta manip le Trousseau ne se déverouille pas.
Avant c'était pas le cas.(Jaguar) L'un n'agissait pas l'autre.
Humm! faudrait vérifier.
Je savais pas qu'on pouvait aussi faire ce que tu dis. Décidement :(
Ben...
-- Jacques PERROCHEAU ______________________________________________________________ e-mail: mailto:
Stephane Leon
Jacques Perrocheau wrote:
Ce serait plus embêtant dans un compte "normal"... dans ce cas les TdB concernés sont verrouillés par défaut. Ce serait embêtant si ta manip les dévérouille sans qu'ils se revérouillent automatiquement.
C'est le cas.:(
-- Stephane
Jacques Perrocheau wrote:
Ce serait plus embêtant dans un compte "normal"... dans ce cas les TdB
concernés sont verrouillés par défaut. Ce serait embêtant si ta manip
les dévérouille sans qu'ils se revérouillent automatiquement.
Ce serait plus embêtant dans un compte "normal"... dans ce cas les TdB concernés sont verrouillés par défaut. Ce serait embêtant si ta manip les dévérouille sans qu'ils se revérouillent automatiquement.
