security, informacyjnie
Witek Krecicki
adasi w grubno.da.ru
Czw, 1 Sie 2002, 00:57:28 CEST
On Thu, 1 Aug 2002, [ISO-8859-2] Tomasz K=B3oczko wrote:
> On Thu, 1 Aug 2002, Jacek Konieczny wrote:
>=20
> > On Thu, Aug 01, 2002 at 12:42:50PM +0200, Marcin Bohosiewicz wrote:
> > > On Thu, 1 Aug 2002, Jacek Konieczny wrote:
> > > > Przecie=BF wszyscy i tak znaj=B1 wyniki takiego autdytu: bezpiecze=
=F1stwa=20
> > > > u nas to praktycznie nie ma. A pewnie niewielu chcia=B3oby zmieni=
=E6 obecny
> > > > styl pracy.
> > > A czemu zakladasz ze nie ma?
> > > Podaj 3 przyklady :>
> >=20
> > 1. has=B3o do CVS mo=BFna wysniffowa=E6 i wten spos=F3b dosta=E6 dost=
=EAp rw do CVS
>=20
> Spr=F3buj zrobi=E6 zmiane kt=F3ra przejdzie neizauw=B1=BFona. Przeja=E6 k=
onto mo=BFna=20
> cho=E6by medod=B1 "gumowej pa=B3y".
> Pzrej=EAcie konta nie oznacza =BFe cs jest nie tak z bezpiecze=F1stwem se=
rwisu=20
> jako takiego.
>=20
> > 2. ka=BFdy kto ma dost=EAp rw mo=BFe podmienia=E6 skrypty w module CVSR=
OOT,
> > kt=F3re wykonuj=B1 si=EA np. przy ka=BFdym commicie. W ten spos=F3b mo=
=BFna uzyska=E6
> > dost=EAp przynajmniej do konta "cvs" na serwerzez z repo. Mam nadziej=
=EA, =BFe
> > przynajmniej makelog.sh (kt=F3ry podobno wymaga roota do dzia=B3ania) n=
ie
> > jest uruchammiany wprost z repo.
>=20
> Nie ka=BFdy ma RW. Ka=BFdy kto to zrobi jezlei zostanei to wykryte liczy=
=E6 si=EA=20
> musi z konsekwencjami tego co zrobi=B3. KOnsekwencje benad daleko dalsze=
=20
> poza zabranie mu RW. Mozan tu m=F3wi=E6 o swego rodzaju "samob=F3jstwie=
=20
> zawodowym" (administratorom si=EA ufa i ufa=E6 tzreba .. po czym=B6 takim=
=20
> komukolwiek kto to zrobi zauwaf=B1 ju=BF nikt nie b=EAdzi=EA m=F3g=B3).
O to chodzi ze 1+2 moze to sprawic... watpie czy ktokolwiek majacy dostep=
=20
do CVS jest na tyle glupi/zlosliwy zeby to zrobic. Ale ktos kto zdobyl ten=
=20
dostep nielegalnie a na dodatek uznaje sie za 'chakiera' przez duze 'ch'=20
moze to zrobic... Pozatym IMHO mamy troche za duzo kont w CVS'ie, trudno=20
to kontrolowac... przydalo by sie oczyszczenie passwd/writers/users w=20
CVSROOT. Sytuacja bylaby jasniejsza
WK
Więcej informacji o liście dyskusyjnej pld-devel-pl