home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #16 / NN_1992_16.iso / spool / comp / security / misc / 754 < prev    next >
Encoding:
Text File  |  1992-07-21  |  1.2 KB  |  30 lines
  1. Newsgroups: comp.security.misc
  2. Path: sparky!uunet!sun-barr!cs.utexas.edu!hellgate.utah.edu!lanl!beta.lanl.gov!jfowler
  3. From: jfowler@beta.lanl.gov (John C. Fowler)
  4. Subject: Re: root-owned world-writable files
  5. Message-ID: <1992Jul21.201056.662@newshost.lanl.gov>
  6. Sender: news@newshost.lanl.gov
  7. Organization: Los Alamos National Laboratory
  8. References: <62524@cup.portal.com>
  9. Date: Tue, 21 Jul 1992 20:10:56 GMT
  10. Lines: 18
  11.  
  12. In article <62524@cup.portal.com> VESOFT@cup.portal.com (Michael D Hensley) writes:
  13. >Agree/disagree/discussion: Any root-owned world-writable file should be
  14. >considered a potential security loophole.
  15. >What do you think?
  16.  
  17. Only if the system trusts the contents of the file, or root executes it,
  18. or the uid or gid bit is set (on those weird variations of UNIX that don't
  19. clear the bits when the file is modified).  Otherwise, what could you
  20. possibly do that would create a security problem, just because the file is
  21. owned by root and not, say, nobody?
  22.  
  23. (I am aware that the file could be used to get around quotas, if applicable,
  24. but I don't really consider that a security loophole.  The worst a user could
  25. do is fill up the file system, but that results in no permanent damage.
  26. Just one less user.  :-))
  27.  
  28. -- 
  29. John C. Fowler, jfowler@lanl.gov
  30.