Dziury w obecnym RH (z naniesionymi poprawkami z updates) (fwd)

[Marcin Bohosiewicz]

On Sun, 30 Aug 1998, Krzysztof G. Baranowski wrote:

> On Sat, 29 Aug 1998, Marcin Bohosiewicz wrote:
> > Zajrze, dodatkowo chyba gdzies na ftp.kernel.org jak dobrze pamietam lezaly
> > patche do ACL'i pod Linuxa, a to by bylo bardzo przydatne. 
> No wlasnie dobrze, ze mi przypomniales. Wojtku, skoro w 2.1.x sa
> capabilities (a ext2 jeszcze ich nie wspiera), to trzeba by do
> dytrybucji wrzucic libcap-a z <ftp://ftp.kernel.org/pub/linux/libs/
> security/linux-privs/kernel-2.1/>. Najnowszy pakiet dostepny jest
> jako tar.gz, ale AFAIR to lezaly tam gdzies takze jakies rpmy.
> 
> > Swoja droga suid na xtermie powinien odejsc do przeszlosci - wystarczy
> > utworzyc grupe utmp i dac mu SGID'a na nia - mam nadzieje ze xterm prawa
> > SGID oddaje tak jak SUID czyli user nie bedzie mial przez uruchomionego
> > xterma dostepu do utmp. 
> Analogicznie powinno sie rozwiazac kwestie dostepu do shadow-a.
Kweste dostepu do shadowa dosc dobrze rozwiazuje PAM, choc dla takiego chfn
i chsh moznaby tez grupe shadow zalozyc zamiast tego SUID root.
Natomiast nie widze potrzeby by np. takie xlock mal jakiegokolwiek SUID'a.
> 
> >A wlasnosc /dev/tty* - patchem do kernela.
> Masz na mysli ten modul o ktorym pisales, tj. ttyperm ?
Tak, nalezaloby to przetestwac i zapytac sie autora czy mozemy to wlozyc do
dystrybucji jakby sie ow modul zachowycwal prawidlowo.
> 
> Btw, czy jestes zapisany na liste ? (nie wiem czy slac Cc do
> Ciebie).
Na liscie jestem (na security tez)

Pozdrawiam,

M.

PS. Sorry ze tak pozno, ale najepierw mnie 2 dni w Krakowie nie bylo, a
dzisiaj wymienialem obudowe w swoim komputerze.


-- 
-| == Marcin Bohosiewicz            marcus w venus.wis.pk.edu.pl == |-
-| == tel. +48 (0-601) 48-50-97     marcus w krakow.linux.org.pl == |-
-| == Strona Domowa    -    http://venus.wis.pk.edu.pl/marcus/ == |-
-| == PLUG - Komisja Rewizyjna    -   http://www.linux.org.pl/ == |-