On Fri, Jan 20, 2006 at 12:10:34AM +0100, Iñaki wrote: > El Jueves, 19 de Enero de 2006 23:59, Ricardo Araoz escribió: > > El Jueves 19 Enero 2006 14:03, Iñaki escribió: > > > El Jueves, 19 de Enero de 2006 17:42, Antonio Montana escribió: > > > > On Thu, 19 Jan 2006 10:58:39 -0300 > > > > > > > > "Ricardo Frydman Eureka!" <[EMAIL PROTECTED]> wrote: > > > > > Es cierto! tienes razon en eso, de todas maneras Iñaki, no es dificil > > > > > conseguir la clave del usuario que ya eres, es cuestion de tiempo... > > > > > > > > Así rápidamente se me ocurre un script que simule un su y lo metas como > > > > alias al propio su en el fichero de inicializacion de la propia shell > > > > del usuario (si es bash , en su ~/.bashrc) , y te envie lo introducido > > > > por correo , lo guarde en otro fichero , etc.... > > > > > > Tú eres malo pero malo malo, ¿eh? > > > > Si, es verdaderamente malo ;c) > > Pero lo que no me queda claro es qué diferencia habría si no uso sudo..... > > O sea, estoy en mi máquina como usuario normal, quiero hacer algo como > > root, entonces.... su..... pongo mi contraseña de root y..... voilá, el > > eureka se hizo con mi máquina! > > Ahora me vas a decir que tampoco hay que hacer su! jajaja... Yo digo lo > > mismo y le prohibo a mi hija salir a la calle en absoluto, ni al colegio. > > Será analfabeta... pero estará segura! > > ¡ Estás en todo ! y encima tienes razón. > > Concluyendo, viva "sudo" para los usuarios mortales. >
Los que usuais sudo deberiais ir actualizando ;) -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 - -------------------------------------------------------------------------- Debian Security Advisory DSA 946-1 [EMAIL PROTECTED] http://www.debian.org/security/ Martin Schulze January 20th, 2006 http://www.debian.org/security/faq - -------------------------------------------------------------------------- Package : sudo Vulnerability : missing input sanitising Problem type : local Debian-specific: no CVE IDs : CVE-2005-4158 CVE-2006-0151 Debian Bug : 342948 It has been discovered that sudo, a privileged program, that provides limited super user privileges to specific users, passes several environment variables to the program that runs with elevated privileges. In the case of include paths (e.g. for Perl, Python, Ruby or other scripting languages) this can cause arbitrary code to be executed as privileged user if the attacker points to a manipulated version of a system library. This update alters the former behaviour of sudo and limits the number of supported environment variables to LC_*, LANG, LANGUAGE and TERM. Additional variables are only passed through when set as env_check in /etc/sudoers, which might be required for some scripts to continue to work. [...] -- Las autoridades sanitarias advierten que usar software propietario es perjudicial para su maquina. Sé libre. Usa GNU/Linux. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
