Gros TROU de sécurité !!!!!!

simon · 20 Octobre 2001

Je sais pas pour vous mais moi j'appelle ça un gros trou de sécurité, à tester:

Launch Terminal
2. type whoami and hit return (this will show you who you are logged in as)
3. Quit Terminal
4. Launch NetInfo Manager
5. Select Apple Menu->Recent Items->Terminal
6. type whoami and hit return ( you will now be root)
7. Quit Terminal (so you don't accidently leave root logged in)

Membre supprimé 2 · 20 Octobre 2001

oui, on en parlait par la hier.

La solution est par ici

c'est plutot genant, quelqu'un a t il esaye sur une 10.0.4?
vite un 10.1.1

LOLOS · 20 Octobre 2001

Peut-être la réponse d'Apple avec la derniere mise à jour ? Security Update 10-19-01 1.0 : "importante mise à jour renforçant la protection offerte par les autorisation d'acces pour les applications".

Membre supprimé 2 · 20 Octobre 2001

<BLOCKQUOTE><font size="1" face="Verdana, Geneva">quote:</font><HR>Posté à l'origine par William:
c'est plutot genant, quelqu'un a t il esaye sur une 10.0.4?
vite un 10.1.1

<HR></BLOCKQUOTE>

L'article de Stepwise dit que toutes les versions 10.x sont vulnérables :
<BLOCKQUOTE><font size="1" face="Verdana, Geneva">quote:</font><HR>A serious security exploit has been found in Mac OS X 10.1 (in fact, as it turns out, it has been present in 10.0.x versions as well).<HR></BLOCKQUOTE>

J'ai essayé de reproduire le bug sur ma config avec divers comptes, et je n'y arrive pas... et pourtant je suis scrupuleusement les instructions données sur Stepwise.

Ma config :
- 10.0.4 (nom d'un chien, il arrive quand ce CD

...)
- compte root doté d'un mot de passe mais désactivé (je l'avais activé à un moment, mais l'ai désactivé après avoir découvert sudo, Pseudo puis Skeleton Key)
- les droits pour NetInfo Manager me semblent tout à fait standard : propriétaire root, groupe admin, setuid root
- idem pour les droits de Terminal : propriétaire root, groupe admin

Je voudrais connaitre vos expériences et avoir quelques hypothèses.

LOLOS · 20 Octobre 2001

Pour le CD Update que j'ai commandé à l'Apple Store le site indiquais 6 semaine de délais.Au moment de passer commande ,l'opératrice m'annonça 3 semaines.Et je l'ai reçu par Jet Service en 3 jours !

DaTa · 20 Octobre 2001

j'ai réussi à reproduire le 'bug', puis j'ai fait la mise à jour Security Update 10-19-01 1.0 et je comfirme que ça corrige effectivement ce problème.

simon · 21 Octobre 2001

C'est ce que j'appelle de la réaction de la part d'Apple, tant mieux

Gros TROU de sécurité !!!!!!

simon

Membre expert

Membre supprimé 2

Invité

LOLOS

Membre actif

Membre supprimé 2

Invité

LOLOS

Membre actif

DaTa

Membre actif

simon

Membre expert

Sujets similaires