Re: Безобразие со скриптами установки пакетов из security.debian.org
On 2010.01.22 at 17:19:49 +0300, Alexey Pechnikov wrote:
> Hello!
>
> On Friday 22 January 2010 17:11:38 Victor Wagner wrote:
> > У вас что, университестский сервер, куда сотня студентов с шаловливыми
> > ручками шелл имеют? Причем эти студенты точно знают когда админ
> > соберется aptitude запускать, и нет никакой возможности их на это время
> > с машины выгнать?
> >
> > Если нет, то какая нафиг атака симлинками?
>
> Покажите ссылку на пункт дебиан-полиси, где указано, что дебиан нельзя
> применять для университетского сервера.
>
> Хинт: имея шелл, увидеть, когда запустился aptitude, проблем не представляет.
А предсказать, как будет называться временный файл в /tmp, чтобы создать
симлинку?
А теперь посмотрим скрипт, как он файл создает? Может он там с
O_CREAT|O_EXCL создается, и симлинки пойдут лесом?
Reply to: