home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #26 / NN_1992_26.iso / spool / comp / security / misc / 1663 < prev    next >
Encoding:
Internet Message Format  |  1992-11-07  |  1.2 KB
  1. Path: sparky!uunet!spool.mu.edu!yale.edu!ira.uka.de!math.fu-berlin.de!news.netmbx.de!Germany.EU.net!mcsun!sun4nl!tuegate.tue.nl!svin09!wzv!wietse
  2. From: wietse@wzv.win.tue.nl (Wietse Venema)
  3. Newsgroups: comp.security.misc
  4. Subject: Re: Setuid script - is this unsecure?
  5. Message-ID: <4072@wzv.win.tue.nl>
  6. Date: 6 Nov 92 08:44:16 GMT
  7. References: <1d6fdiINNf5q@bnsgd245.bnr.co.uk>
  8. Organization: Eindhoven University of Technology, The Netherlands
  9. Lines: 19
  10.  
  11. rickt@bnr.co.uk (Rick Tait) writes:
  12.  
  13. >I recently installed these shell scripts on my machine (on which I am root),
  14. >and I'd like to know if I'm compromising it's security. Basically, they
  15. >just allow the users to mount/umount/eject the floppy disk (pcfs).
  16.  
  17. I suggest that you read the FAQ which is posted at regular intervals,
  18. and which can be ftp-ed from many sites (ask archie). 
  19.  
  20. A trivial hole:  the scripts do not set PATH, and /usr/etc/mount relies
  21. on PATH to execute other commands. The non-trivial hole:  switching
  22. files after the kernel has started a root shell, but before that shell
  23. has opened the the shell script file. This, and more, is discussed in
  24. the FAQ document.
  25.  
  26. The alternative: the MTOOLS package that does not require the mounting
  27. of MS-DOS disks.
  28.  
  29.     Wietse
  30.