[PLUTO-security] Domande sui dialer (parte seconda)
Gian Uberto Lauri
GianUberto.Lauri a eng.it
Gio 5 Gen 2006 17:56:53 CET
>>>>> "fs" == f sophia <f_sophia a libero.it> writes:
fs> Questo mi ha dato da pensare... infatti chi usa KDE (e quindi
fs> KPPP) imposta il modem e il numero di telefono... come utente
fs> comune!
Molto probabilmente c'è di mezzo uno script setuid.
fs> Ed ecco rinascere il tormento intellettuale :-) Allora chi usa
fs> KPPP e' vulnerabile? Come potrebbe "difendersi"?
Potenzialmente, se l'utente ha la possibilità di alterare i parametri.
fs> Il mauale di KPPP da solo soluzioni per restingere l'accesso
fs> all'uso del programma (cioe' per impedire o permettere ad alcuni
fs> utenti di usarlo).
Ecco una soluzione. Non permetterne l'uso se non ad uno o pochi utenti
ed usare quello per lanciarlo.
--
/\ ___
/___/\__|_|\_|__|___Gian Uberto Lauri_____________________
//--\ | | \| | Integralista GNUslamico
\/ e allevatore di bug da competizione
Maggiori informazioni sulla lista
pluto-security