archive : RPM :
Lealinux Forums
FORUM FERMÉ
Aller à: Liste des forums•Index du forum•Nouveau sujet•Chercher•Identification•Aperçu avant impression
Faille de secu avec certain l'aide de certain logs
Envoyé par:
markham
()
Date: Friday 4 February 2005 16:28:11
Je me suis aprecu que certain logiciel comme les outils mandrake ou le parefeu firestarter (et bien d'autre) utilise une page web (souvent en lcoale) guise de document or il se trouve que le navigateur (konqueror sur kde) s'execute en mode root lorsque le logiciel l'appelle et cela meme si le logiciel est lancer a partir d'une session utilisateur !!!
on peut ainsi a traver une simple aide dans un navigateur avoir acces au dossier root et modifier a sa guise les fichier de conf etc...
la version gratuite de mandrajke je n'ai aps acces au support et donc je ne peut pas les prevenir !!!
Merci pour eux
un autre bug que j'ai relever c'est que la taille d'une mise a jour est en fait la taille du logiciel entier et non la difference de taille entre la version installé et la nouvel ce qui ma obliger a liberer 200 mo d'espace disque pour une difference reel de seulement 20 mo entre les versions
la aussi si vous pouvez les prevenir !!!
Merci pour eux
on peut ainsi a traver une simple aide dans un navigateur avoir acces au dossier root et modifier a sa guise les fichier de conf etc...
la version gratuite de mandrajke je n'ai aps acces au support et donc je ne peut pas les prevenir !!!
Merci pour eux
un autre bug que j'ai relever c'est que la taille d'une mise a jour est en fait la taille du logiciel entier et non la difference de taille entre la version installé et la nouvel ce qui ma obliger a liberer 200 mo d'espace disque pour une difference reel de seulement 20 mo entre les versions
la aussi si vous pouvez les prevenir !!!
Merci pour eux
Re: Faille de secu avec certain l'aide de certain logs
Envoyé par:
Perramus
()
Date: Friday 4 February 2005 18:27:12
Salut,
Tu es sûr que c'est réellement une faille... c'est tout à fait normal que la session s'ouvre en root, puisqu'un firewall se configure en root, maintenant on a dû te demander ton mot de passe root pour cette session, si c'est le cas tu n'es pas censé aller sur le net avec ( il suffit de rouvrir une fenêtre en user pour naviguer tranquille... )...
Sinon, les bugs tu dois pouvoir les remonter sur [www.mandrakesoft.com]
Tu es sûr que c'est réellement une faille... c'est tout à fait normal que la session s'ouvre en root, puisqu'un firewall se configure en root, maintenant on a dû te demander ton mot de passe root pour cette session, si c'est le cas tu n'es pas censé aller sur le net avec ( il suffit de rouvrir une fenêtre en user pour naviguer tranquille... )...
Sinon, les bugs tu dois pouvoir les remonter sur [www.mandrakesoft.com]
Re: Faille de secu avec certain l'aide de certain logs
Envoyé par:
markham
()
Date: Friday 4 February 2005 19:41:23
ok je comprend la logique...
je vais essayer de voir si j'ai le meme pb avec des logiciels qui ne sont pas cense fonctionner en root...
par contre pour le pb des mise a jour ?
je vais essayer de voir si j'ai le meme pb avec des logiciels qui ne sont pas cense fonctionner en root...
par contre pour le pb des mise a jour ?
Re: Faille de secu avec certain l'aide de certain logs
Envoyé par:
Perramus
()
Date: Friday 4 February 2005 23:03:54
Pour les mises à jour non plus ce n'est pas un bug...
Imagine que sorte la version toto4 ( 22Mo ) et que tu veuilles mettre à jour ton logiciel toto3 ( 20Mo ). Pour toi il y a 2 Mo de différence, mais le soucis c'est que toto4 doit aussi pouvoir mettre à jour toto2 ( 17Mo ) et toto1 ( 10Mo )... pire si tu ne possèdes pas le logiciel toto, tu dois pouvoir télécharger un logiciel complet... d'où 2 solutions :
1- Tu fais plein de version différentes de toto qui mettent à jour une version antérieure particulière + une version de toto complète... :-/
2- Tu fais un archive de toto complète, puis tu laisses aux logiciels de mise à jour le soin d'effectuer les mises à jour selon les différences entre les deux versions de toto ( ce pourquoi il devra télécharger le logiciel complet )... :-)
Imagine que sorte la version toto4 ( 22Mo ) et que tu veuilles mettre à jour ton logiciel toto3 ( 20Mo ). Pour toi il y a 2 Mo de différence, mais le soucis c'est que toto4 doit aussi pouvoir mettre à jour toto2 ( 17Mo ) et toto1 ( 10Mo )... pire si tu ne possèdes pas le logiciel toto, tu dois pouvoir télécharger un logiciel complet... d'où 2 solutions :
1- Tu fais plein de version différentes de toto qui mettent à jour une version antérieure particulière + une version de toto complète... :-/
2- Tu fais un archive de toto complète, puis tu laisses aux logiciels de mise à jour le soin d'effectuer les mises à jour selon les différences entre les deux versions de toto ( ce pourquoi il devra télécharger le logiciel complet )... :-)
Désolé, vous n'avez pas la permission d'envoyer ou de répondre dans ce forum.