[hpc-devel] security
Michael Shigorin
=?iso-8859-1?q?mike_=CE=C1_osdn=2Eorg=2Eua?=
Чт Авг 16 22:35:42 MSD 2007
On Thu, Aug 16, 2007 at 04:05:35PM +0400, Alexander A. Naumov wrote:
> > при наличии шелла (тем более с компилятором) практичнее
> > считать любую задачу эквивалентной имеющей привилегии
> > root при достаточной протяжённости периода (скажем, год) и
> > недостатке возможности оперативно ликвидировать local
> > privilege escalation в этом направлении.
> Можно пояснить, откуда это следует?
Вот ещё один душе-раздирающий пример как раз к слову:
http://www.eweek.com/article2/0,1895,2171318,00.asp
"FTP (not sftp, without SSL) was being used to access the
machines, so an attacker (in the right place) could also have
gotten access by sniffing the clear-text passwords," he said.
Also, "the servers have not been upgraded past breezy due to
problems with the network card and later kernels. This probably
allowed the attacker to gain root."
--
---- WBR, Michael Shigorin <mike на altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
Подробная информация о списке рассылки HPC-devel