Gros TROU de sécurité !!!!!!

simon

Membre d’élite
Club MacG
18 Juin 2000
3 669
16
Singapore
www.simonganiere.ch
Je sais pas pour vous mais moi j'appelle ça un gros trou de sécurité, à tester:

Launch Terminal
2. type whoami and hit return (this will show you who you are logged in as)
3. Quit Terminal
4. Launch NetInfo Manager
5. Select Apple Menu->Recent Items->Terminal
6. type whoami and hit return ( you will now be root)
7. Quit Terminal (so you don't accidently leave root logged in)
 

-anonyme-

Légende
26 Février 2001
66 286
2 670
oui, on en parlait par la hier.

La solution est par ici

c'est plutot genant, quelqu'un a t il esaye sur une 10.0.4?
vite un 10.1.1
 

LOLOS

Membre confirmé
3 Décembre 2000
136
0
Peut-être la réponse d'Apple avec la derniere mise à jour ? Security Update 10-19-01 1.0 : "importante mise à jour renforçant la protection offerte par les autorisation d'acces pour les applications".
 

-anonyme-

Légende
26 Février 2001
66 286
2 670
<BLOCKQUOTE><font size="1" face="Verdana, Geneva">quote:</font><HR>Posté à l'origine par William:
c'est plutot genant, quelqu'un a t il esaye sur une 10.0.4?
vite un 10.1.1
<HR></BLOCKQUOTE>

L'article de Stepwise dit que toutes les versions 10.x sont vulnérables :
<BLOCKQUOTE><font size="1" face="Verdana, Geneva">quote:</font><HR>A serious security exploit has been found in Mac OS X 10.1 (in fact, as it turns out, it has been present in 10.0.x versions as well).<HR></BLOCKQUOTE>

J'ai essayé de reproduire le bug sur ma config avec divers comptes, et je n'y arrive pas... et pourtant je suis scrupuleusement les instructions données sur Stepwise.

Ma config :
- 10.0.4 (nom d'un chien, il arrive quand ce CD
...)
- compte root doté d'un mot de passe mais désactivé (je l'avais activé à un moment, mais l'ai désactivé après avoir découvert sudo, Pseudo puis Skeleton Key)
- les droits pour NetInfo Manager me semblent tout à fait standard : propriétaire root, groupe admin, setuid root
- idem pour les droits de Terminal : propriétaire root, groupe admin

Je voudrais connaitre vos expériences et avoir quelques hypothèses.
 

LOLOS

Membre confirmé
3 Décembre 2000
136
0
Pour le CD Update que j'ai commandé à l'Apple Store le site indiquais 6 semaine de délais.Au moment de passer commande ,l'opératrice m'annonça 3 semaines.Et je l'ai reçu par Jet Service en 3 jours !
 

DaTa

Membre confirmé
1 Février 2001
148
0
j'ai réussi à reproduire le 'bug', puis j'ai fait la mise à jour Security Update 10-19-01 1.0 et je comfirme que ça corrige effectivement ce problème.