home *** CD-ROM | disk | FTP | other *** search
/ Usenet 1994 January / usenetsourcesnewsgroupsinfomagicjanuary1994.iso / sources / std_unix / mod.std.unix.v5 / text0045.txt < prev    next >
Encoding:
Internet Message Format  |  1987-06-30  |  1.1 KB
  1. Date: Mon, 10 Feb 86 11:06:44 MST
  2. >From: thomas%utah-gr@UTAH-CS.ARPA (Spencer W. Thomas)
  3. Organization: University of Utah, Salt Lake City
  4.  
  5. In article <4141@ut-sally.UUCP> pegasus!hansen (Tony Hansen) writes:
  6. >One slight difference is that Vr2 non-root setuid(2) sets the effective uid
  7. >and not the real uid. Only a root setuid(2) will change the real uid as
  8. >well; which can't then be changed back.
  9.  
  10. This seems to me to be a potential security problem.  It means that you
  11. cannot write a program to give a certain set of people access to a
  12. particular uid (ala su) without making it setuid root.  It would be much
  13. safer, it seems to me, to make it setuid to the uid you want to give
  14. access to, and let it do setuid(geteuid()).  This is necessary if, for
  15. example, the program wants to fork a real setuid program with the new
  16. uid.  We have a number of programs that do this.  Yet another reason to
  17. not use SV.
  18.  
  19. [ Please, let's not start up the System V vs. 4BSD argument here.  -mod ]
  20.  
  21. -- 
  22. =Spencer   ({ihnp4,decvax}!utah-cs!thomas, thomas@utah-cs.ARPA)
  23.  
  24. Volume-Number: Volume 5, Number 46
  25.  
  26.