home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #26 / NN_1992_26.iso / spool / comp / security / misc / 1651 < prev    next >
Encoding:
Text File  |  1992-11-06  |  1.9 KB  |  39 lines
  1. Newsgroups: comp.security.misc
  2. Path: sparky!uunet!charon.amdahl.com!pacbell.com!ames!sun-barr!cs.utexas.edu!csc.ti.com!tilde.csc.ti.com!mksol!mccall
  3. From: mccall@mksol.dseg.ti.com (fred j mccall 575-3539)
  4. Subject: Re: Forging E-mail from root to get users to change passwords
  5. Message-ID: <1992Nov5.174213.2370@mksol.dseg.ti.com>
  6. Organization: Texas Instruments Inc
  7. References: <82930@ut-emx.uucp> <ratner.720811773@ficus.cs.ucla.edu> <92309.193737CXF111@psuvm.psu.edu>
  8. Date: Thu, 5 Nov 1992 17:42:13 GMT
  9. Lines: 28
  10.  
  11. In <92309.193737CXF111@psuvm.psu.edu> Charles Fee <CXF111@psuvm.psu.edu> writes:
  12.  
  13. >Why would a hacker (who apparently has root access) need to tell users to
  14. >change their password?  On my system (Linux) all root has to do is wipe out
  15. >the users' old password and then the account is free.  You could then log in
  16. >as that user without a password and run the passwd program to change it to
  17. >whatever the cracker feels like doing.  Similarly, couldn't this also be
  18. >done to the root password as well?  This is all assuming that there is a
  19. >normal /etc/passwd file.  I don't know what the story is with Yellow Pages..
  20. >If a user has access to the passwd file, he can change the users group Id to
  21. >0, too no?
  22.  
  23. You don't even have to go through all this, if you already have root
  24. access.  Just use passwd from root with the username argument and you
  25. can change it directly from root.
  26.  
  27. >I'm curious as to (if the above is correct) what can be done to cut down the
  28. >chances of such an attack..
  29.  
  30. Mail forgery is a problem inherent in the non-encrypted non-verified
  31. SMTP mail world.  Tell your users not to do certain things when you
  32. give them the account.
  33.  
  34. -- 
  35. "Insisting on perfect safety is for people who don't have the balls to live
  36.  in the real world."   -- Mary Shafer, NASA Ames Dryden
  37. ------------------------------------------------------------------------------
  38. Fred.McCall@dseg.ti.com - I don't speak for others and they don't speak for me.
  39.