home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #26 / NN_1992_26.iso / spool / comp / unix / programm / 5202 < prev    next >
Encoding:
Internet Message Format  |  1992-11-08  |  2.0 KB
  1. Xref: sparky comp.unix.programmer:5202 comp.mail.mh:1265
  2. Path: sparky!uunet!spool.mu.edu!umn.edu!msus1.msus.edu!gacvx2.gac.edu!noc.msc.net!news.stolaf.edu!guenther
  3. Newsgroups: comp.unix.programmer,comp.mail.mh
  4. Subject: Re: setuid programs and calls...
  5. Message-ID: <GUENTHER.92Nov6154622@spectre.stolaf.edu>
  6. From: guenther@stolaf.edu (Philip A Guenther)
  7. Date: 6 Nov 92 15:46:22
  8. Sender: news@news.stolaf.edu
  9. References: <1992Nov5.220832.3217@spectrum.xerox.com>
  10. Organization: Academic Computing Center, St. Olaf College
  11. In-Reply-To: leisner@wrc.xerox.com's message of Thu, 5 Nov 1992 22:08:32 GMT
  12. Lines: 29
  13.  
  14. In article <1992Nov5.220832.3217@spectrum.xerox.com> leisner@wrc.xerox.com ( Marty Leisner) writes:
  15.  
  16. <text showing that a program that worked normally, couldn't find a
  17. library when made setuid root>
  18.  
  19.    I don't understand why it can't find the shared library doing
  20.    setruid instead of setuid (I see nothing else different (except for
  21.    the i).  
  22.  
  23.    What am I missing?  This doesn't make sense to me...
  24.  
  25. ld.so is the name of the runtime linker.  It is invoked before main()
  26. to finish linking in any unresolved symbols.  There is a danger
  27. inherent in runtime linking.  If someone runs a dynamically linked
  28. program with LDLIBRARYPATH set to have ~/lib first, he make his own
  29. insecure version of libc.so.  By then running a setuid root program,
  30. he could do *anything*.  To prevent this, ld.so doesn't even look at
  31. LDLIBRARYPATH when ivoked by a setuid program.  It will only use those
  32. libraries in /usr/lib /usr/local/lib and those specified by -L on the
  33. compilation command line.  The exact set of directories it will always
  34. look in is system dependent, so check the manpage on your system for
  35. ld.so for the *full* story.
  36.  
  37. Philip Guenther
  38. --
  39. guenther@stolaf.edu (Philip Guenther)       | The ACC might agree with me,
  40. Student Sys Prog, Academic Computing Center | but with that bunch, (and me)
  41. St Olaf College, Northfield, MN 55057-1001  | you never know... :-) :-| :-(
  42. "Life makes sense?  LIFE MAKES SENSE!!?  Where do people get these ideas?"-me
  43.