home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #19 / NN_1992_19.iso / spool / comp / unix / sysv386 / 13969 < prev    next >
Encoding:
Internet Message Format  |  1992-09-02  |  4.7 KB
  1. Path: sparky!uunet!haven.umd.edu!darwin.sura.net!tulane!mgse!marks
  2. From: marks@mgse.UUCP (Mark Seiffert)
  3. Newsgroups: comp.unix.sysv386
  4. Subject: Re: Questions about MAS90 from SOA
  5. Message-ID: <1500@mgse.UUCP>
  6. Date: 3 Sep 92 04:50:00 GMT
  7. References: <Bt7stA.1o3@mudos.ann-arbor.mi.us> <1992Aug26.150511.3758@crd.ge.com>
  8. Organization: mgse
  9. Lines: 97
  10.  
  11. In article <1992Aug26.150511.3758@crd.ge.com> davidsen@crd.ge.com (bill davidsen) writes:
  12. >In article <Bt7stA.1o3@mudos.ann-arbor.mi.us>, mju@mudos.ann-arbor.mi.us (Marc Unangst) writes:
  13. >
  14. >| 2. The BBx interpreter, which is used to run MAS90, is installed owned
  15. >| by root and with the SUID bit set.
  16.  
  17. It sounds like your system installed wrong. /usr/mas90/HOME/bbx2 should
  18. be 644, owned by mas90, group mas90. /usr/mas90/HOME/bbx2run should be
  19. chmod 4755, owned by root, group of mas90. bbx2run should be the program
  20. that is exec'd by the .profile in /usr/mas90/HOME which was exec'd by
  21. /bin/mas90. Users logging in and typing 'soa' at the shell prompt
  22. will run /bin/mas90, which will exec /usr/mas90/HOME/.profile
  23. which will suid to the real id and then exec /usr/mas90/HOME/bbx2.
  24.  
  25. >| 
  26. >| 3. MAS90, as installed, allows the user to run /bin/sh through an
  27. >| undocumented shell command.  Because of point (2) above, this means
  28. >| that any MAS90 user can get a root shell.
  29.  
  30. Sentence one is true, sentence two is true, but only if you have bbx2
  31. suid root instead of bbx2run.
  32.  
  33. >
  34. >  That would let it out in my book, unless every user has the root
  35. >password.
  36.  
  37. That is correct, bbx2 might need to be ran suid root for a special
  38. application, but not MAS90.
  39.  
  40. >
  41. >
  42. >| 5. MAS90 is written with the assumption that a user will always be
  43. >| logging in from the same port.  This assumption does not hold if you
  44. >| are running it in an environment like ours, with users accessing the
  45. >| Unix system over a TCP/IP network with telnet.
  46.  
  47.  
  48. I think I know what you mean, you may want to look up the info on
  49. setting the BBTERM environment variable to override the terminal type,
  50. or set the terminal type to 'term' in the config.bbx file.
  51.  
  52. >
  53. >  Therefore it seems that it just won't work, why go on with it?
  54. >
  55. >| 6. MAS90 pretends to use the standard Unix termcap format, but has
  56. >| made several proprietary and incompatible extensions to it that force
  57. >| you to use a separate termcap file.  (For example, it uses MA and MB
  58. >| to turn on and off high-intensity mode.  What was wrong with so and
  59. >| se?)
  60. >
  61. >  So what? It's dumb but doesn't really impact much.
  62.  
  63. and it does not use /etc/termcap, as far as I know, it ships with
  64. HOME/soaterm, with extensions.
  65.  
  66. >
  67. >| 7. MAS90 is run by logging in as "mas90", and then giving MAS90 your
  68. >| MAS90 usercode and password.  This is very inconvenient, since all of
  69. >| our other applications are run by logging in as a normal user.  In
  70. >| addition, all of our users have their own login-id; if they are all
  71. >| logged in as MAS90, it becomes impossible to find out who's logged in.
  72. >
  73. >  That one is easy, have a command which executes "su - mas90" and let the
  74. >users type that to start the session.
  75.  
  76. There is already a mas90 command.
  77.  
  78. >
  79. >  The security aspects sound a lot worse than any of the other problems.
  80. >You *could* have a trusted program start mas90 with chroot, which will
  81. >keep it from doing damage to the rest of the system when people use the
  82. >shell escape to become root.
  83.  
  84. This is not as bad as it all sounds, this system is not installed right.
  85. The installation procedure is pretty automatic, and I for awhile there
  86. was a shipment of MAS90 that went out without the suid set on bbx2run. If
  87. Marc or any others has questions about MAS90, please feel free to write to
  88. me and I will do what I can. bbx2 is not supposed to be suid for MAS90,
  89. setting /bin/vi suid root when it is not supposed to would create a few
  90. security holes. MAS90 is supposed to be sold by trained people, and as it
  91. may be, CPAs. Your dealer should be able to provide you with all the 
  92. answers to your above problems and if they are not able to, a call to SOA
  93. may help straighten things out.
  94.  
  95. Mark Seiffert
  96.  
  97. Disclaimer: I work for a company that developes MAS90 modules for the 
  98. eyewear market, video rental, POS, vehicle management and others. I 
  99. do not like bbx, but it does a good job and I feel that MAS90 is a 
  100. solid product even if it is written in an advanced form of business
  101. basic. So there, I said it, I program in BASIC, but not often.
  102.  
  103.  
  104. >
  105. >-- 
  106. >bill davidsen, GE Corp. R&D Center; Box 8; Schenectady NY 12345
  107. >    I admit that when I was in school I wrote COBOL. But I didn't compile.
  108.  
  109. Yeah, and I don't run my BASIC programs.
  110.  
  111. -- 
  112. Mark Seiffert,  Metairie, LA.
  113. uucp:           rex.cs.tulane.edu!mgse!marks or rex!mgse!marks
  114. bitnet:         marks%mgse@REX.CS.TULANE.EDU
  115. internet:       marks%mgse@rex.cs.tulane.edu or marks@mgse.UUCP
  116.