On Tue, 19 Feb 2002 10:59:08 +0000 Filipe Maia <[EMAIL PROTECTED]> wrote:
> Eu estive a ver e parece-me bem. Mas como o programa não é setuid não tem por > natureza falhas de segurança. Só programas setuid é que podem potecialmente hmmm, eu acho isso um engano muito grande... um programa setuid certamente tem mais possibilidades de receber um ataque, mas... levando em conta o meu programa se alguém conseguir um buffer overflow na variável "command" e colocar algo como "/home/hacker/meuscriptmau.sh" e no meuscriptmau.sh tiver um "chmod u+s /bin/sh".... ou ainda, se o cara conseguir obter o conteúdo da variável "password"... lá se foi minha senha desconhecida de root =) é esse tipo de falha que eu quero evitar, o pzn já me deu umas dicas sobre fazer free na variável em que está a senha pra não deixar ela no /dev/mem > pode construir e correr. Se calhar o problema que encontrou no gnome-sudo não > dá acesso a root, ou então encontrou um problema no sudo. o problema que eu encontrei no gnome-sudo é muito simples =)... para rodar ele você precisa coonfigurar o sudo para permitir a execução de um script (/usr/lib/gnome-sudo/gnome-sudo-helper), esse script simplesmente permite que você rode qualquer outro comando... ou seja, é o mesmo que dar permissão para o sudo rodar o /bin/sh como root http://bugs.debian.org/gnome-sudo o bug já foi reportado =) []s! -- Gustavo Noronha Silva - kov <http://www.metainfo.org/kov> *---------* -+-+--+-+--+-+--+-+--+-+--+-+--+-+--+-+--+-+--+-+-+ | .''`. | Debian GNU/Linux: <http://www.debian.org> | | : :' : + Debian BR.......: <http://debian-br.cipsga.org.br>+ | `. `'` + Q: "Why did the chicken cross the road?" + | `- | A: "Upstream's decision." -- hmh | *---------* -+-+--+-+--+-+--+-+--+-+--+-+--+-+--+-+--+-+--+-+-+
