Gros TROU de sécurité !!!!!!

simon

Membre expert
Club iGen
18 Juin 2000
3 669
16
Singapore
www.simonganiere.ch
Je sais pas pour vous mais moi j'appelle ça un gros trou de sécurité, à tester:

Launch Terminal
2. type whoami and hit return (this will show you who you are logged in as)
3. Quit Terminal
4. Launch NetInfo Manager
5. Select Apple Menu->Recent Items->Terminal
6. type whoami and hit return ( you will now be root)
7. Quit Terminal (so you don't accidently leave root logged in)
 
oui, on en parlait par la hier.

La solution est par ici

c'est plutot genant, quelqu'un a t il esaye sur une 10.0.4?
vite un 10.1.1
smile.gif
 
Peut-être la réponse d'Apple avec la derniere mise à jour ? Security Update 10-19-01 1.0 : "importante mise à jour renforçant la protection offerte par les autorisation d'acces pour les applications".
 
<BLOCKQUOTE><font size="1" face="Verdana, Geneva">quote:</font><HR>Posté à l'origine par William:
c'est plutot genant, quelqu'un a t il esaye sur une 10.0.4?
vite un 10.1.1
smile.gif
<HR></BLOCKQUOTE>

L'article de Stepwise dit que toutes les versions 10.x sont vulnérables :
<BLOCKQUOTE><font size="1" face="Verdana, Geneva">quote:</font><HR>A serious security exploit has been found in Mac OS X 10.1 (in fact, as it turns out, it has been present in 10.0.x versions as well).<HR></BLOCKQUOTE>

J'ai essayé de reproduire le bug sur ma config avec divers comptes, et je n'y arrive pas... et pourtant je suis scrupuleusement les instructions données sur Stepwise.

Ma config :
- 10.0.4 (nom d'un chien, il arrive quand ce CD
wink.gif
...)
- compte root doté d'un mot de passe mais désactivé (je l'avais activé à un moment, mais l'ai désactivé après avoir découvert sudo, Pseudo puis Skeleton Key)
- les droits pour NetInfo Manager me semblent tout à fait standard : propriétaire root, groupe admin, setuid root
- idem pour les droits de Terminal : propriétaire root, groupe admin

Je voudrais connaitre vos expériences et avoir quelques hypothèses.
 
Pour le CD Update que j'ai commandé à l'Apple Store le site indiquais 6 semaine de délais.Au moment de passer commande ,l'opératrice m'annonça 3 semaines.Et je l'ai reçu par Jet Service en 3 jours !