LINUX.ORG.RU

Уязвимость в sudo


0

0

SuSE Security Team обнаружила ошибку в программе sudo, которая устанавливается с атрибутом setuid-root. Существует возможность выполнять sendmail с правами привилегированного пользователя в недостаточно безопасной среде.

Todd Miller анонсировал 15 января версию 1.6.4p1, с исправлением этой ошибки. Исходные тексты: http://www.sudo.ws/sudo/dist/sudo-1.6...

Пакет для Slackware 7.1: http://www.linux.zp.ua/util/sudo-1.6....

>>> Подробности



Проверено:

Надо же, а тут вроде говорили, что Линукс супер надежен и без дыр... И что тысячи глаз проверяют код и ошибки тут же находятся. А сколько времени это дыра жила пока её обнаржили?

Ogr
()

>Надо же, а тут вроде говорили, что Линукс супер надежен и без дыр...

Угу. А Ogr, видать, на это купился.

abramoff
()

2 anonymous (*) (2002-01-15 21:30:56.0): This is a bold statement. :0)

Bluezman
()
Ответ на: комментарий от Ogr

to Ogr :

"Linux это ядро" (C) Melted Brain :0)

Как видишь Ogr, это даже в M$ знают,соответственно
ты опять пальцем в небо попал :0)

MrBool
()
Ответ на: комментарий от Ogr

> Надо же, а тут вроде говорили, что Линукс супер надежен и без дыр...

Программ без ошибок не бывает. Тем более что SUDO относительно новая (и притом опциональная) тулза.

maxcom ★★★★★
()

2MrBool: "Linux это ядро" (C) Melted Brain :0)
Как видишь Ogr, это даже в M$ знают"
Тогда постарайтесь не забывать, что НТ это тоже ядро.
"Программ без ошибок не бывает"
Это-то понятно. Не понятно, что про это анонимусы забывают.
"Тем более что SUDO относительно новая (и притом опциональная) тулза."
Ну конечно ей не 30 лет, но и новой её тяжело назвать.

Ogr
()

На 99% систем проблема гроша выеденного не стоит.
Linux по прежнему безопасен.

AffreuxChien
()

Disclamer для модераторов:
------------------------
Следующее сообщение относится исключительно к позиции, что линукс супер надежен и в нем нет проблем с безопасностью и ни в коем случае не подразумевает, обсуждает или упрекает в прямую или косвенно действия или бездействия конкретных лиц осуществляемых на этом сервере.
------------------------
"Linux по прежнему безопасен"
Страусиная тактика однако
http://www.linux.org.ru/jump-message.jsp?msgid=149219

Ogr
()

>Тогда постарайтесь не забывать, что НТ это тоже ядро.
цитату плиз.
а то непонятно, лицензия которая вместе с НТ идет относится только к ядру?

Avel
()

В тему

Сага! а ты двер закгыла?!
да Мойша, закрыла...
А задвижку задвинула?!
да мойша, задвинула...
А сундук пгидвинула?!
придвинула,придвинула - спи давай!
А кгючочек накинула?!!!
Ох Мойша,забыла!!!
Ну вот, Ну вот, кто хошь пгиходи чего хошь беги....

Огрушка, после сообщений о дыре в XP(скоро год) &ME (два года) и 98 (4 года!) ты должен молчать минимум пятилетку.
Отдыхай, пока твою виндозу в очередной раз не завалили. Заплаточки на ХП не забудь поставить, а то ведь там такие дырищщи - просто вся виндоза, это один вирус-лоадер и троян-ранер. :)
А дыры в судо в виндозе нет, потому как и судо там как класс отсутствует. поделка, она и есть поделка. и понос у нее детский.

Avel
()

Разница хотя бы в том что к примеру в Сизифе обновлённый пакет появился раньше чем анонс этой уязвимости на LОRе ... А в мире М$ сначала бы понадобился червь или вирь , пользующиий уязвимость и валящий каждый второй сервер .. Да и то .. "That vulnerability is completely theoretical." --Microsoft--

Schlecht
()

2 Schlecht: Фишка в том, что в "мире Microsoft" патчи появляются ЗА МЕСЯЦЫ до вирей. Только "администраторов" ломает их ставить пока жареный петух в задницу не клюнет.

Bluezman
()

2Avel: Ты все дырки закрыл в совем линуксе? Поход на секюритифокус http://securityfocus.com/vulns/stats.shtml показывает кто лидер по дырам и уязвимостям, так что помолчи вдруг за умного сойдешь.

Ogr
()

Сходили, посмотрели. В слаке как всегда около 10 дырок. Насчет других монстрозоидных дистров ничего не скажу - ставил только "на посмотреть". Но имхо - когда в дистре десяток тысяч программ то полсотни дырок это немного. Интересно, а виндюковые дыры - это по всему winсофту или по той сотне прог, что в поставке ОС идет?

anonymous
()

>Надо же, а тут вроде говорили, что Линукс супер надежен и без дыр... И что тысячи глаз проверяют код и ошибки тут же находятся. А сколько времени это дыра жила пока её обнаржили?

Подпишись на рассылки мелкософта по security и тихо удивляйся, откуда там столько проблем возникает.

Вообще же проблема тут в sendmail, которую нормальный админ на сервер не ставит. Кроме того, любому понятно, что консольный доступ - потенциальная проблема.

Короче - Linux супернадежен в руках знающего админа. А чайники-мышевозы из мелкософтовских training-центров пусть уважительно помалкивают.

ipa
()

Гы. Интересно, а из-под какого браузера вы все это пишете? Я из-под links :)))

anonymous
()

2anonymous (*) (2002-01-16 07:48:22.0): расчет там идет по дыркам в системе и систмных приладах, туда в статистику MSOffice ни KOffice не попадают. А замечание на счет монстроидальных дистров, это не есть что-нить иное как попытка засунуть голову в песок. Что в прочем для линуксоидов обычная практика.
2ipa: В рукаъ знаюзего админа любая система надежна, а т.к. количество пользователей у лиинукса мало проблема еще не так заметна, хотя уже и видна не вооруженным глазом, если кол-во пользователей на линуксе достигнет хотя бы 1% (при нынешних 0.24%) ты будещь видеть как дыряв линукс.

Ogr
()
Ответ на: В тему от Avel

> А дыры в судо в виндозе нет, потому как и судо там как класс отсутствует. поделка, она и есть поделка. и понос у нее детский.

Ща кое кто скажет, что там есть runas :)

anonymous
()

Аааа runas.... Пробовал пользоваться, но до sudo ему как до Луны... Ей фиг автоматизацию сделаешь - пароль требуе даже когда его нет в записи. Хоть на Линукс переходи (+wine, тк переписать все используемые там проги нереально).

anonymous
()

About Ogr

2 Ogr. как только на сайте появляется сообщение о дыре в юникс-системах, ты ту как тут трубишь на весь мир... вот только скажи пожалуйста: ты когда-нибудь сравнивал (по критичности) дыры и их количество для юникс системы и win? количество сравнил... а критичность?

если отойти от ОС и перейти к софту... помнится перед этим обсуждалась дыра в апаче... и что она позволяет? делать листинг папки... согласись "опасная" дыра, очень... сколько за последние несколько лет было найдено дыр в апаче? сколько в IIS? 2 Bluezman: > Фишка в том, что в "мире Microsoft" патчи появляются ЗА МЕСЯЦЫ до вирей. CodRed и его модификации тому подтверждение. :-(((

хоят соглашусь с тобой Огр в одном: В рукаъ знаюзего админа любая система надежна

anonymous
()

2anonymous (*) (2002-01-16 10:22:18.0): sudo есть обыкновенный костыль, чтоб исправить идиотскую 3х3 систему прав в юниксе, в НТ все построено на acl и sudo не нужно. А то что runas спрашивает пароль, так это очень правильно с точки зрения секюрити.

Ogr
()

ой не понимаю тебя орг и чего ты всегда радуешся как малое дитя- ведь дело то и не в том что есть дыры и в каких количествах и в каких осях а в возможности обсуждать это и естно исправлять эти дырки- в линухе этот процес идё открыто и очн быстро . а то что эти дыры появляются то сам знаешь они были есть и будут и програмеры мс ни чем не лучше програмеров юних и наоборот - люди по своей сушности почти одинаковы-ленивы ну и так далее.а по поводу страусиной политики так это больше относится к мс -эт они стараются замолчать огрехи в своих далеко не дешёвых програмных продуктах и тем не менее имеющим приличное количество дыр- и скажи почему я должен получать гимор да ещё за приличные деньги а ?????????????????????

anonymous
()

Что я Огра совсем не понимаю, он что с головой совсем не дружит? Причем здесь sudo и Linux, sudo это софтина совершенно не зависимая от линуха, получается что почтенный Огр берется утверждать о дырявости такий систем как Solaris, HP-UX, AIX и тд. Мдя сочувствую ему однако, с мозгами то хоть изредко дружить надо однако...

Arn
()

>2anonymous (*) (2002-01-16 10:22:18.0): sudo есть обыкновенный костыль, >чтоб исправить идиотскую 3х3 систему прав в юниксе, в НТ все построено >на acl и sudo не нужно. А то что runas спрашивает пароль, так это очень >правильно с точки зрения секюрити.

Огр , если ты дашь права юзеру - ты дашь права всем его прогам. если ты не дашь права пользователю (и всем его вирям и троянам), дашь ему твой runas - ты должен дать ему чужой пароль - и то и другое неприемлемо.
просто признай , что столь удобного и необходимого даже в юниксах с аклами инструмента, как судо - в виндозе нет...

Avel
()

2Ogr

acl и runas - не всегда помогут.

sudo проверяет также и параметры командной строчки,

те можно разрешить юзеру примонтировать только определённый диск
или установить только определённую программу.

Согласен. в виндозе этого не надо,
там почти всяки админ и бог :)

и runas нужен только из за того, что невозможно
работать двум юзерам одновременно (под двумя юзерами)

---------
2 anonymous (*) 2002-01-16 8:53:15.0
Пишу в vi :) ( из под w3m )

anonymous
()

2 maxcom: sudo - новая штучка? Да ей лет почти столько же, сколько и Unix'у вообще. От одного из здешних админов я такого не ожидал... 2 ogr & other win-lovers: Обратите внимание, что проблема проявляется только при локальном доcтупе к атакуемой машине с правами юзера. Что при таких условиях можно натворить в НТ? Удалить половину системных файлов, удалить кучу чужих файлов, повесить нахрен всю систему, поменять обои админу на ActiveDesktop c каким-нить вредным ActiveX, заменить кучу прог на трояны, чтобы их админ потом запустил, а то и вписать их в автозагрузку для All Users, похерить реестр так что даже у Билла Гейтса при взгляде инфаркт случится, заграбастать установить свой сервер для сбора паролей на "нижнем" порту, если вдруг настоящий сервер грохнулся. Заканчиваю перечислять, бо уже тошнить начинает. А список можно продолжать еще долго...

Agweb
()

runas

Пользователь: тот самый anonymous с runas Конкретная задача - надо дать возможность программе корректировать время не давая это право текущему пользователю. Что делать? Создать юзера time и дать ему минимум прав (но дать права на изменение времени). А как запустить программу от другого пользователя? Что, runas? А если программа в автозагрузке и должно все происходить автоматом? Вешать инструкцию - "дави Enter в окне?" - не смешно. Hint - запускать как сервис не предлагать. На Линух программу ставит root, и уж он может "заставить" запускаться ее от другого пользователя. И не только на Linux ;)

anonymous
()

Поскольку ОГР вроде как умудряется не только закрывать прорехи на своем дырявом виндозном платье, но и отслеживает все песчинки (а без микроскопа здесь никуда) в линуксе - это можно признать сверхестественным и даже чудом. (как известно, церковь признает претендента святым только при наличии чудес - так что все серьезно.)
Предлагаю провести аудит ОГРа.
Если он проапдейчивает _все_ проги на своем компе или обеспечивает безопасную работу путем уничтожения опасных прог до выхода соответствующей заплатки - дать ему орден сутулого и пожизненный логин на ЛОР за заботу о заблудших овцах своих.
Если нет - гнать его ссаными тряпками и сделать ник ОГР нарицательным именем тупого менагера-бульдога.

Avel
()

2Arn: "Огр берется утверждать о дырявости такий систем как Solaris"
Смени ник на анонимус, потому как до собственного ника ты еще не дорос, читай для повышения образования http://www.zdnet.com/zdnn/stories/news/0,4586,5101799,00.html?chkpt=zdhpnews01
2anonymous (*) (2002-01-16 15:03:35.0): "и runas нужен только из за того, что невозможно работать двум юзерам одновременно (под двумя юзерами)"
Попробуй прежде чем заявлять что-то с умным видом, прочитать или хотя бы узнать что-нить по теме, а то на Avel'я очень становишся похожим, точно так же пустые заявления с абсолютным отсутствием зананий об обсуждаемом предмете.
2Agweb: "Что при таких условиях можно натворить в НТ? Удалить половину системных файлов"
Совет который я дал предыдущему анонимусу тебе так же относится, плюс хотя бы посмотрел на права на файлы в %systemroot%
2anonymous (*) (2002-01-16 17:24:32.0): "На Линух программу ставит root, и уж он может "заставить" запускаться ее от другого пользователя"
Запускай как сервис от другого юзера, у того юзера кстати должны быть права на изменение времени, что в юниксе может делать только root, отсуюда и не обходимость костыля в виде sudo. Про какое окно ты говорил я не понял. Хотя признаюсь понял я, что такой команды как net time ты не знаешь, что лишний раз доказывает, что анонимусы потому и анонимусы, что ни чего знают.
2Avel: "но и отслеживает все песчинки (а без микроскопа здесь никуда) в линуксе"
За чем нужен микроскоп чтоб отслеживать дыры в линуксе? securityfocus на 70% состоит из дыр в линуксе (линк на статистику я приводил), так что "врачу - исцелится сам".

Ogr
()

Что вы на этого малохольного обращяете внимание ?

Он только мух семерых одним ударом :)

Ну ещё искать в интернете умеет.
По теме ничего сказать не может только на www.m$.com
посылает да доки читать.
Unix только по телевизору видел.

(Вспомнить что-ли про хард линки и про TCP сниффер :))))) ? )


anonymous
()

>Unix только по телевизору видел.
это мрачно. Можно только пожалеть человека, который даже по телеку вместо любимых "спокойной ночи, малыши" и "телепузики" видит нечто то такое:

Cronyx Ltd, Synchronous PPP and CISCO HDLC (c) 1994
Linux port (c) 1998 Building Number Three Ltd & Jan "Yenya" Kasprzak.
md: md driver 0.90.0 MAX_MD_DEVS=256, MD_SB_DISKS=27
md: Autodetecting RAID arrays.
md: autorun ...
md: ... autorun DONE.
NET4: Linux TCP/IP 1.0 for NET4.0
IP Protocols: ICMP, UDP, TCP
IP: routing cache hash table of 4096 buckets, 32Kbytes
TCP: Hash tables configured (established 32768 bind 32768)
NET4: Unix domain sockets 1.0/SMP for Linux NET4.0.
NET4: AppleTalk 0.18a for Linux NET4.0
RAMDISK: Compressed image found at block 0
Uncompressing........................done.
Freeing initrd memory: 595k freed
VFS: Mounted root (ext2 filesystem).
Journalled Block Device driver loaded
VFS: Mounted root (ext2 filesystem) readonly.
change_root: old root has d_count=2
Freeing unused kernel memory: 752k freed
Warning: unable to open an initial console.
Executing init=/sbin/init
Real Time Clock Driver v1.10e
Adding Swap: 524120k swap-space (priority -1)
Linux agpgart interface v0.99 (c) Jeff Hartmann
agpgart: Maximum main memory to use for agp memory: 439M
agpgart: Detected Via Apollo Pro KT133 chipset
agpgart: AGP aperture is 128M @ 0xd0000000
radeonfb: ref_clk=2700, ref_div=60, xclk=18300 from BIOS
Console: switching to colour frame buffer device 80x25
radeonfb: ATI Radeon QD DDR SGRAM 64 MB
radeonfb: CRT port CRT monitor connected
kjournald starting. Commit interval 5 seconds
EXT3 FS 2.4-0.9.16, 02 Dec 2001 on ide2(33,7), internal journal
EXT3-fs: mounted filesystem with ordered data mode.
kjournald starting. Commit interval 5 seconds
EXT3 FS 2.4-0.9.16, 02 Dec 2001 on ide2(33,1), internal journal
EXT3-fs: mounted filesystem with ordered data mode.

я бы расстроился и еще не такую пургу на линукс нагнал... :)

Avel
()

2 Avel

А этот форум для него не многим лучше телевизора :)
Не работая реально под unix суткими торчит здесь.

Если бы меня заставили Windows форумы читать
(не дай боже), я бы им тоже шороху навёл :)

Весь день бы собирал всякие гадость и враньё в Инете
и туда бы тащил :)

anonymous
()

> Avel'я очень становишся похожим
это вопиющее нарушение лицензии. Только я имею право простодушно спрашивать про те или иные простые и необходимые фичи под виндозой и удивлятся их отсутствию. Все остальные уже должны знать, что если уж требуется что то сделать - не стоит пользоваться виндозой и ваши волосы будут пушистыми.

>securityfocus на 70% состоит из дыр в линуксе (линк на статистику я
>приводил), так что "врачу - исцелится сам"

правильно. там и дыры все соответствующие. "Если вы в конфиге поставите то то и то то (что никто еще не делал) а потом установите еще пару программ (которые в паре никто еще не ставил) и ко всему этому оставите открытым шел, то через вот такой то и такой то путь можно сделать ls ~/.* !!! бойтесь ибо умрете вы!!!


а вот во всех виндозах только 5 известных небольших дыр. Их даже проименовали для удобства:
1)windows95
2)windows98
3)windowsME
4)windows2000
5)windowsXP
для них уже выпущена заплатка, решающая абсолютное большинство проблем.
Очередную версию этой заплатки под незамысловатым названием "Мастер" ждем от АЕН и компании.
ОГР, рекомендую проапгрейдиться.

Avel
()

2Ogr "Поход на секюритифокус http://securityfocus.com/vulns/stats.shtml показывает кто лидер по дырам и уязвимостям,"

1) Красными буквами на этой самой странице: "These vulnerability statistics have not been calculated since August due to a site migration issue. We are working on the issue and as soon as it is fixed, this message will disappear. Thank you for your understanding." 2) "Linux (aggr.) - это как? То есть если как вчера ошибку в sudo профиксили RedHat, Debian, Suse, Connective, Mandrake - то это уже 5 vulnerable packages? 3) Любой упомянутый дистр Линукса и по обьему(в Mb) и по количеству приложений на много превосходит WinNT/2000 - это просто попытка сравнивать яблоки с апельсинами 4)Если рассмотреть две первые таблицы то видим а) 1я таблица 2001 г Debian - 28 packages b) 2я таблица 2001 г Debian Linux 2.2 - 26 в этой же таблице 2001 г Debian Linux 2.2 sparc - 18 Вebian Linux 2.2 arm - 18 Debian Linux 2.2 alpha - 18 Debian Linux 2.2 68k - 18 как мне на моей x86 к примеру системе получить - 26 (а уж тем более 28) ума не приложу. 5) Что такое vulnerable package в Linux я понимаю - опять же как вчера с sudo 1 баг = 1 fix (практически всегда) Что есть то же самое в Win? Это когда в одной заплатке фиксится неизвестное количество багов - юзерам туманно сообщают об об одном? 6) BTW, securityfocus.com работает под Linux http://uptime.netcraft.com/up/graph/?mode_u=on&mode_w=on&site=securit...

rathamahata
()

2rathamahata:
2) они ошибку с sudo считают как одну (что очень легко видно, стоит слажить все дыры от все линуксов и увидеть что эта цифра на много выше, чам aggr.)
5) Cчет там ведут по кол-ву дыр, а не кол-ву фиксов.
Оставшееся пнукты просто берд линуксоида...

Ogr
()

2Огр
я, конечно, знал что ты шутник еще тот. Но что ты такие разгромные для виндозы линки будешь сюда таскать...
На кого работаешь? так недолго и на улице оказаться.
Народ! не поленитесь, ходите на http://securityfocus.com/vulns/stats.shtml
там такой разгром виндозы, что никакому трижды упертому линуксойду такое и не снилось :)

Avel
()

Да да сходите и смотрите на динамику в Number of OS Vulnerabilities by Year да и на графики смотрите, как РедХат уже сравнялся с виндами, а за последний год так просто опредил значительно W2K... Особенно упертым линуксоидам рекомендую, Avel'ю можно не ходить, он все равно не понял, что за цифры там.
PS Если честно, то меня поразило, что для крютых линксоидов, этот сайт оказался открытием... Хотя чего удивлятся, все равно линуксоиды ни чего не знают...

Ogr
()

Ogr, можешь расслабиться относительно данных на securityfocus.com.
Приведу простой пример. Мой www/ftp/mail-сервер на линуксе стоит полтора года
на площадке у провайдера. Я ничего за это время в нем не апгрейдил. Была
найдена маленькая дырка в апаче, но у меня закрыт листинг каталогов по-умолчанию.
Была неочевидная дырка в telnetd, но я использую ssh. Вот появилась локальная дырка
в sudo, но я его тоже не использую, у меня всегда стоял runsuid. Вот и думай...
Ну а представить сервер на winXXX полтора года без обновления... это по-настоящему страшно.

anonymous
()

> Особенно упертым линуксоидам рекомендую, Avel'ю можно не ходить, он >все равно не понял, что за цифры там.
не уверен, конечно, но по моему понял %)
в 1998 году первые 12 (двенадцать) позиций занимали продукты микрософт. при том, что такого количества операционок они до сих пор не выпустили... нонсенс? да нет, просто пришлось статистику вести по частям одной и той же операционки - такой это был глюкодром. Но и сейчас неаозможно сравнивать дистрибутивы того же редхата, включающие тысячи программ от разных авторов в стадии альф и бет с операционками от микрософт. Приходится складывать все ошибки всего линукс-софта с отдельно считать дыры в каждой МС операционке. Можно себе представить горы компактов с GPL софтом на котором большими буквами написано Danger! this software under development! etc и пару компактов от микрософт, где тоже самое написано мелким шрифтом в EULA, а крупно выведено, что все безопасно, мол, пользуйтесь. и соответствующие кучки с дырками от тех и других. просто смешно и позорно для микрософт. Огр так не думает?
Сравнивая статистику любого микрософт продукта с тем же турболинуксом не приходиться...

anonymous
()

>PS Если честно, то меня поразило, что для крютых линксоидов, этот сайт
>оказался открытием...
это трудно понять, если ты пользуешься продукцией микрософт. Ведь каждый день приносит сюрпризы в виде открытых дверей в установках по умолчанию. При этом получить информацию от производителя - это даже ОГРу в голову не приходит. Я подписан на список рассылки Security-anounce@altlinux.ru (как то так) и все эти вещи узнаю прямо с доставкой на дом.
остается только сделать apt-get dist-upgrade (для эстетов можно точечно) и все...

Avel
()

>как РедХат уже сравнялся с виндами, а за после

НУ И ЧТО? Ты хоть читал, что это за дыры? Ведь статистика идет по ВСЕМ продуктам, некоторые из которых заведомо дырявые и всегда будут дырявые (sendmail, bind).

Сравнивать надо функциональность. Например, где быстрее найдут опасные дыры - в линукс сервере с apache, djbdns и postfix или вымени с аналогичными сервисами? Можно с уверенностью сказать, что линукс сервер отработает ГОДЫ без проблем в такой конфигурации, в то время как для IIS в течение ближайшего времени появится какой-нибудь новый червь, засирающий интернет, да и другие сервисы будут нуждаться в срочных патчах. Кроме того, для вымени найдут что-нибудь еще, не имеющее отношения к запущенным сервисам.

ipa
()

2anonymous (*) (2002-01-17 06:49:25.0): "на линуксе стоит полтора года на площадке у провайдера. Я ничего за это время в нем не апгрейдил"
Ну и что и дыры в ядре до 2.2.14 был кажется ремоте эксплоит (который при всей открытости исходников долго сидел не обнаруженным) тоже не фиксил? Я просто так для справки тут уже третий год, так что сказками про отсутвие дыр можешь Авеля потчить, на меня это не действует.

Ogr
()

Огр.

net time /setsntp:192.168.0.1 (совпадения с реальными адресами неперднамеренное ;)

Системная ошибка 5. Отказано в доступе. на той машине(192.168.0.1) реально работающий NTP-сервер(Linux;). И с Adminom все ob. А вот под Пользователем - нифига.

Ну и? Дать пользователю нужные права не предлагать. Ему еще админа дать можно для полного счастья. Программа(используемая) как сервис работать не может - она должна еще много чего делать и выводить в окно. runas без пароля или ярлык с запоминанием имени пользователя и пароля пришелся бы как нельзя кстати. А уж "костыль" sudo, как его кое-кто называет, вообще был-бы классным, но на FAT он просто страшен ;).

anonymous
()
Ответ на: комментарий от Ogr

>2Agweb: "Что при таких условиях можно натворить в НТ? Удалить половину >системных файлов" >Совет который я дал предыдущему анонимусу тебе так же относится, плюс >хотя бы посмотрел на права на файлы в %systemroot%

Права? Посмотрел на пару файлов, права на чтение. Попробовал изменить права на explorer.exe - получилось! Попробовал лог какой-то удалить - получилось! Я не админ на этой машине, естественно. Так что посмотри сам права. К тому же, не вижу "опровержений" по остальным пунктам. Или это такая тактика - придраться к какой-нибудь мелочи и сказать "ты не прав во всем" ? Конечно, если реальных аргументов нет... Если НТ/2000 так крута, поставь в инете где-нибудь НТ/2000 с Terminal Server и дай мне юзерский логин туда. Спорим на пиво, что завалю машину? На тебе линк на последок, ты ведь их любишь: http://www.dwheeler.com/oss_fs_why.html . Look at the numbers, как говорится.

Agweb
()
Ответ на: runas от anonymous


>Пользователь: тот самый anonymous с runas
Я же сказал что кто нибудь скажет, Ogr и сказал :)
Сам я ничего не говорил :)

anonymous
()

Злые вы, забьете ОГРа , что дклать без него будете?

Опять ОГРа закидали, анонимы проклятые...
Кто ж теперь мне посдкажет, как XP до ума довести?
Блюзмен тоже в обиде. Хоть по миру иди.
Сабж. и предлагаю завязывать с флеймом о бестолковости виндозы, ОГРа и Блюзмена за отсутствием как сомнений в том, так и смысла в их доказательстве.

Avel
()
Ответ на: комментарий от Ogr

> Ну и что и дыры в ядре до 2.2.14 был кажется ремоте эксплоит

Я наверное с тобой соглашусь, если ты мне его продемонстрируешь ;)
А ядро на июнь 2000 года было уже 2.2.16 однако...

> Почитай можешь решишся проапгрейдится...

Не решился! Конкретный пункт покажи, плиз. На локальные дырочки можешь не
терять время. К серверу имеет доступ только узкий круг своих людей и в этом
кругу кроме админа для всех остальных buffer overflow - это как китайская грамота ;)

anonymous
()

Народ, форум - то технический. Зачем флеймить?

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.