Problème de sécurité sur setup.log

[lansciac]

Plateforme : Smoothwall <BR>Patch : tous (1-18) <BR>Problème : mots de passe archivés en clair dans setup.log. Utilisation de l'outil setup par n'importe quel utilisateur. <BR>Solution : Effacer setup.log a sa création. Ne pas utiliser setup. <BR> <BR> <BR>Vous noterez que l'emploi de l'outil setup (/usr/local/sbin/setup) génère automatiquement un historique dans le répertoire /root. Le seul hic étant que ce fichier mémorise en clair les mots de passe modifiés (root, admin, setup). Ceci est fort facheux. De plus, ce fichier de log possède les droits 644 (droits pour tous de lire). Bien que le répertoire soit protégé pour "others", il ne l'est pas pour le groupe. Ce qui permet à n'importe quelle personne ayant réussi à obtenir un accès sur la machine (aka grant access root, admin or setup) de consulter se fichier et d'obtenir les mots de passe en clair si ceux-ci ont été changés par cet outil depuis l'installation. <BR> <BR>De plus, l'outil setup est exécutable par n'importe qui (ce qui permet de changer les pass et la configuration sans nécessairement avoir les droits de root). <BR> <BR>Les créateurs de smoothwall ont été prévenu mais ne se sentent concernés que par des clients. Aussi diffuser l'information afin que personne ne soit désagréablement surpris. <BR>

[xjlxx]

c po possible !!!!!!! <BR> <BR>je v grader ma clarkconect <IMG SRC="images/smiles/icon_biggrin.gif">