home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #27 / NN_1992_27.iso / spool / comp / sys / mac / system / 14214 < prev    next >
Encoding:
Internet Message Format  |  1992-11-19  |  2.4 KB
  1. Path: sparky!uunet!mcsun!sunic!corax.udac.uu.se!news.uu.se!zot
  2. From: zot@groucho.csd.uu.se (Thomas Ljungberg)
  3. Newsgroups: comp.sys.mac.system
  4. Subject: Re: AppleShare 3.0 security hole
  5. Date: 18 Nov 92 11:51:40
  6. Organization: Computing Science Dept, Univ. of Uppsala, Sweden
  7. Lines: 40
  8. Message-ID: <ZOT.92Nov18115140@groucho.csd.uu.se>
  9. References: <ARIE.92Nov16100809@quip.eecs.umich.edu> <BxtK7G.4o5@news.cso.uiuc.edu>
  10. NNTP-Posting-Host: groucho.csd.uu.se
  11. In-reply-to: tinsel@uiuc.edu's message of Mon, 16 Nov 1992 17:21:13 GMT
  12.  
  13. In article <BxtK7G.4o5@news.cso.uiuc.edu> tinsel@uiuc.edu (Thomas Aaron Insel) writes:
  14. &
  15. &  arie@eecs.umich.edu (Arie Covrigaru) writes:
  16. &  > There is a security hole in the AppleShare 3.0 password scheme.
  17. &  > Suppose I am a user (or even if I am not) on an AppleShare server,
  18. &  > but don't have administrator privileges. The following procedure will
  19. &  > enable me to assign them to myself and thus have future access to all
  20. &  > folders on the server.
  21.  
  22. &  > 1. Turn off the server.
  23. &  > 2. Move the Users & Groups Data File file from the Preferences folder
  24. &  >&   within the system folder to the root level of the system folder.
  25. &  > 3. Open the administrator application. The administrator will allow you
  26. &  >&   to set a new administrator password.
  27. &
  28. &  This isn't a security hole in AppleShare, it's a security hole in your
  29. &  site.  If everything was layed out correctly, the server would be locked
  30. &  in a room where you couldn't get to it.
  31.  
  32. Indeed physical access to the server should be resticted, but the Admin
  33. password is an extra security measure. Without it, a user who managed to
  34. get physical access to the server for just a few minutes could change
  35. his/her privileges permanently. If the procedure descibed above actually
  36. works, the purpose of having an Admin password is lost.
  37.  
  38. &                                           At the very least, its floppy
  39. &  drive should be locked so you can't boot into the Finder and do this sort
  40. &  of stuff.
  41. That will have no effect for AppleShare version 3.0. You don't need a
  42. floppy to get to the Finder there. Just click on the desktop...
  43.  
  44. --
  45.  
  46. ---------------------------------------------------------------------------
  47. ,-----,      !    Thomas Ljungberg,
  48.      /      -+-   Computing Science Dept.,
  49.     /  .--.  !    Uppsala University,            Phone: +46-18-181035
  50.    /   !  !  !    Box 311,
  51.   /    '--'  !    S-751 05 Uppsala,              zot@csd.uu.se
  52.  '-----------'    SWEDEN
  53.