home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #27 / NN_1992_27.iso / spool / comp / sys / mac / system / 14300 < prev    next >
Encoding:
Text File  |  1992-11-21  |  2.7 KB  |  52 lines
  1. Newsgroups: comp.sys.mac.system
  2. Path: sparky!uunet!cs.utexas.edu!zaphod.mps.ohio-state.edu!sol.ctr.columbia.edu!destroyer!cs.ubc.ca!unixg.ubc.ca!kakwa.ucs.ualberta.ca!access.usask.ca!mizar.cc.umanitoba.ca!djwiebe
  3. From: djwiebe@ccu.umanitoba.ca (Darren J. Wiebe)
  4. Subject: Re: AppleShare 3.0 security hole
  5. Message-ID: <By3DMC.700@ccu.umanitoba.ca>
  6. Sender: news@ccu.umanitoba.ca
  7. Nntp-Posting-Host: ccu.umanitoba.ca
  8. Organization: University of Manitoba, Winnipeg, Canada
  9. References: <ARIE.92Nov16100809@quip.eecs.umich.edu> <BxtK7G.4o5@news.cso.uiuc.edu>
  10. Date: Sun, 22 Nov 1992 00:34:58 GMT
  11. Lines: 39
  12.  
  13. In <BxtK7G.4o5@news.cso.uiuc.edu> tinsel@uiuc.edu (Thomas Aaron Insel) writes:
  14.  
  15. >arie@eecs.umich.edu (Arie Covrigaru) writes:
  16.  
  17. >> There is a security hole in the AppleShare 3.0 password scheme.
  18. >> Suppose I am a user (or even if I am not) on an AppleShare server,
  19. >> but don't have administrator privileges. The following procedure will
  20. >> enable me to assign them to myself and thus have future access to all
  21. >> folders on the server.
  22.  
  23. >> 1. Turn off the server.
  24. >> 2. Move the Users & Groups Data File file from the Preferences folder
  25. >>    within the system folder to the root level of the system folder.
  26. >> 3. Open the administrator application. The administrator will allow you
  27. >>    to set a new administrator password.
  28.  
  29. >This isn't a security hole in AppleShare, it's a security hole in your
  30. >site.  If everything was layed out correctly, the server would be locked
  31. >in a room where you couldn't get to it.  At the very least, its floppy
  32. >drive should be locked so you can't boot into the Finder and do this sort
  33. >of stuff.
  34. >
  35. No kidding!  If you have access to the System folder of the Server unit why not
  36. snoop through all the files you want on the mounted volumes!  As mentioned aboveit's a security hole in your site.  I use Mac Guardian keyboard locks for sites
  37. were a locked room is impossible.  That at least provides a physical lock of
  38. all server input without the appropriate key.
  39.  
  40. BTW: I did notice this security hole in AShare 3.0, if I take a sledge hammer and bust open the cpu running the server, I can remove the internal Hard Drive andattach it to another cpu thus gaining access to all the files!  tisk tisk tisk
  41.  
  42. :-)
  43.  
  44. (<=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=>)
  45. Darren J. Wiebe                         | Internet:  djwiebe@ccu.umanitoba.ca
  46. Box 141, Station L                      | AppleLink: CDA0010T
  47. Winnipeg, Manitoba, Canada  R3H 0Z4     | Quote: 'scuse me,
  48. Disclaimer:  Disclaimer!  I don't need  |            while I puke and die!
  49.               no stinkin' disclaimer!   |                   -The Dead Milkmen
  50. (<=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=>)
  51.  
  52.