SEGURANÇA
Boletim
007/96 da Lista de Segurança da Pangéia Informática
13
de Setembro de 1996
Tópico:
Vulnerabilidade em vários shells.
Verificada uma vulnerabilidade nos shells padrão Bourne,
entre outros.
Esta vulnerabilidade permite a um usuário local mascarar
um determinado
comando ou usar artifícios para obter privilegios
em uma instalação.
1. Impacto:
Foi observada uma falha em alguns shell que permite
a um usuário, induzir
alteraçòes na execução de um script, para atraves
destas ler arquivos
aos quais nãoteria permissão ou conseguir privilegios
no sistema.
Note que esta nãoé uma falha grave, mas requer atenção.
2. Solução:
Esta vulnerabilidade NAO foi verificada nas seguintes
plataformas:
Linux
HP-UX
BSD
Mas o FOI nas seguintes plataformas:
SunOs
Solaris
AIX
OSF
SCO OpenServer
Use para verificar o problema:
A solução é optar por shells padrão Posix e desativar,
caso seja
possível, os shells onde a falha for verificada.
3. Informações adicionais:
http://www.pangeia.com.br/faq.html
nelson@pangeia.com.br
4. Agradecimentos:
Joao Cesar da Escossia (escossia@npd1ufes.br)
Pedro Vazquez (vazquez@iqm.unicamp.br)
|