Linux neni mozno nasadit zakaznikum (LONG)

[Hynek Med]

On Tue, 9 Jun 1998, Miroslav Vacura wrote:

> jejich jmeno a IP adresu. Vis ze ti nejaky GetAdmin bude na nic. I kdybys byl
> nejaky uzivatel u nas v organizaci tak je ti nanic. I kdyz se nejakou nahodou
> dostanes primo do serverovny, bude ti GetAdmin na nic. Pouze pokud budes jeden
> z Administratoru, kteri se mohou na serveru prihlasit lokalne, potom muzes
> GetAdmin pouzit. K cemu ti ale je, kdyz uz Administrator ses.
> GetAdmin muze ohrozit tak mozna ty site, kde maji normalni uzivatele pravo
> prihlasit se na server. A rekni mi, kolik takovych siti znas
> - myslim siti WinNT, nebo treba Novell. Unix pracuje terminalove, tam je to
> samozrejme jinak.

Jde spis o to, ze kdyz se tahle dira spoji s nejakou jinou (viz rada der v
IIS, nebo nejakou zatim neobjevenou -- napr. nalezeni buffer overrunu v
Internetovych sluzbach NT je myslim jen otazka casu), je smrtelna. Na
Unixu taky neni moc der, ktere by z tebe udelaly rovnou superuzivatele z
niceho (pravda s vyjimkami z posledni doby (samba, bind, bootp)). IMHO je
velmi spatne, ze tu _potencialni_ hrozbu Microsoft ignoruje.

> Ale proc ne. Pracuji s WinNT uz od prvni verze, a osobne jsem nezazil
> nejaky bezpecnostni prulom. A ani jsem neslysel o tom, ze by z NT stroje
> nekdo nekde v praxi stahnul nejaka data. Mozna byly nejake afery s tim
> ze nekdo nadalku zaseknul WWW server na NT, nebo kdysi stahnul zdroje
> WWW stranek psanych v ASP.

V nejake reakci Microsoftu na nejakou bezpecnostni diru se psalo, ze je
exploatovatelna, pouze "if the user is malicious". To podle meho rovnez
nesvedci o zodpovednem pristupu k bezpecnosti. :-)

> Jiste, nekde v laboratori nasimulovali nejaky bezpecnostni prulom, za
> predpokladu, ze treba uzivatel ma pravo prilogovat na serveru a podobnych v
> praxi naprosto nesmyslnych predpokladech. Ale neznam jediny pripad z praxe ze
> by nekomu podaril slavny GetAdmin pouzit.

Nejde o jeden konkretni exploit, ale o pritomnost te diry..

Hynek