On 2010.01.22 at 17:19:49 +0300, Alexey Pechnikov wrote: > Hello! > > On Friday 22 January 2010 17:11:38 Victor Wagner wrote: > > У вас что, университестский сервер, куда сотня студентов с шаловливыми > > ручками шелл имеют? Причем эти студенты точно знают когда админ > > соберется aptitude запускать, и нет никакой возможности их на это время > > с машины выгнать? > > > > Если нет, то какая нафиг атака симлинками? > > Покажите ссылку на пункт дебиан-полиси, где указано, что дебиан нельзя > применять для университетского сервера. > > Хинт: имея шелл, увидеть, когда запустился aptitude, проблем не представляет.
А предсказать, как будет называться временный файл в /tmp, чтобы создать симлинку? А теперь посмотрим скрипт, как он файл создает? Может он там с O_CREAT|O_EXCL создается, и симлинки пойдут лесом? -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected]
