Problème de sécurité sur setup.log

Forum de discution sur la distribution smoothwall de linux, dédiée à la mise en place de passerelles sécurisées.

Modérateur: modos Ixus

Messagepar lansciac » 15 Oct 2002 14:25

Plateforme : Smoothwall <BR>Patch : tous (1-18) <BR>Problème : mots de passe archivés en clair dans setup.log. Utilisation de l'outil setup par n'importe quel utilisateur. <BR>Solution : Effacer setup.log a sa création. Ne pas utiliser setup. <BR> <BR> <BR>Vous noterez que l'emploi de l'outil setup (/usr/local/sbin/setup) génère automatiquement un historique dans le répertoire /root. Le seul hic étant que ce fichier mémorise en clair les mots de passe modifiés (root, admin, setup). Ceci est fort facheux. De plus, ce fichier de log possède les droits 644 (droits pour tous de lire). Bien que le répertoire soit protégé pour "others", il ne l'est pas pour le groupe. Ce qui permet à n'importe quelle personne ayant réussi à obtenir un accès sur la machine (aka grant access root, admin or setup) de consulter se fichier et d'obtenir les mots de passe en clair si ceux-ci ont été changés par cet outil depuis l'installation. <BR> <BR>De plus, l'outil setup est exécutable par n'importe qui (ce qui permet de changer les pass et la configuration sans nécessairement avoir les droits de root). <BR> <BR>Les créateurs de smoothwall ont été prévenu mais ne se sentent concernés que par des clients. Aussi diffuser l'information afin que personne ne soit désagréablement surpris. <BR>
Avatar de l’utilisateur
lansciac
Matelot
Matelot
 
Messages: 1
Inscrit le: 15 Oct 2002 00:00

Messagepar xjlxx » 15 Oct 2002 15:13

c po possible !!!!!!! <BR> <BR>je v grader ma clarkconect <IMG SRC="images/smiles/icon_biggrin.gif">
Avatar de l’utilisateur
xjlxx
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 315
Inscrit le: 02 Oct 2002 00:00


Retour vers Smoothwall

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron