home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #27 / NN_1992_27.iso / spool / comp / sys / mac / system / 14117 < prev    next >
Encoding:
Text File  |  1992-11-16  |  1.5 KB  |  36 lines
  1. Newsgroups: comp.sys.mac.system
  2. Path: sparky!uunet!ukma!wupost!uwm.edu!ux1.cso.uiuc.edu!news.cso.uiuc.edu!uxa.cso.uiuc.edu!tai50080
  3. From: tinsel@uiuc.edu (Thomas Aaron Insel)
  4. Subject: Re: AppleShare 3.0 security hole
  5. References: <ARIE.92Nov16100809@quip.eecs.umich.edu>
  6. Message-ID: <BxtK7G.4o5@news.cso.uiuc.edu>
  7. Originator: tai50080@uxa.cso.uiuc.edu
  8. Sender: usenet@news.cso.uiuc.edu (Net Noise owner)
  9. Reply-To: tinsel@uiuc.edu
  10. Organization: Masticating Illini
  11. Date: Mon, 16 Nov 1992 17:21:13 GMT
  12. Lines: 22
  13.  
  14. arie@eecs.umich.edu (Arie Covrigaru) writes:
  15.  
  16. > There is a security hole in the AppleShare 3.0 password scheme.
  17. > Suppose I am a user (or even if I am not) on an AppleShare server,
  18. > but don't have administrator privileges. The following procedure will
  19. > enable me to assign them to myself and thus have future access to all
  20. > folders on the server.
  21.  
  22. > 1. Turn off the server.
  23. > 2. Move the Users & Groups Data File file from the Preferences folder
  24. >    within the system folder to the root level of the system folder.
  25. > 3. Open the administrator application. The administrator will allow you
  26. >    to set a new administrator password.
  27.  
  28. This isn't a security hole in AppleShare, it's a security hole in your
  29. site.  If everything was layed out correctly, the server would be locked
  30. in a room where you couldn't get to it.  At the very least, its floppy
  31. drive should be locked so you can't boot into the Finder and do this sort
  32. of stuff.
  33. -- 
  34. Thomas Insel (tinsel@uiuc.edu)
  35.   s-mail: 208 Saunders, 906 West College Court, Urbana IL 61801
  36.