Re: shell script
Hi Heiko!
On Fri, 21 Jan 2022, Heiko Schlittermann wrote:
> Kommandos in Scripten mit grundlos mit vollem Pfad aufzurufen ist eine
> furchtbare Unart. Der Script-Autor sollte es dem lokalen Admin
> überlassen, per PATH zu steuern, wo die Standardkommandos rumliegen.
Grundlos nicht. Aber ich als Script-Autor weiss welche Tools ich
aufrufe - mit welchen Parametern. Wenn ich da aber statt einem gnu-tar
ein sco-tar habe oder ein bsd-tar oder so, sind die Parameter leicht
anders. genauso bei cp, rm, younameit.
Zusätzlich kann ein Angreifer an eine Stelle die auch via $PATH
aufgerufen wird ein Programm hinlegen dass genauso heisst - und
welches dann _statt_ dem eigentlichen Programm aufgerufen wird. Wenn
das auch noch mit Root-Rechten passiert (was in diesem Fall sicher ist
da apt direkt aufgerufen wird und nicht sudo apt) ist das schon
gefährlich.
Allerdings würde ich auch zu Beginn des Scripts die Programme
definieren (also RM=/bin/rm); die könnte dann der lokale Admin
entweder ändern oder durch eigene Übersteuerung korrigieren
${RM:=/bin/rm}.
Mit freundlichen Grüßen, Hanno Wagner
best regards, Hanno Wagner
--
| Hanno Wagner | Member of the HTML Writers Guild | Rince@IRC |
| Eine gewerbliche Nutzung meiner Email-Adressen ist nicht gestattet! |
| 74 a3 53 cc 0b 19 - we did it! | Generation @ |
#"In Frankreich zum Beispiel ist Verschluesselung verboten. Seitdem gibt es
# in Frankreich keine organisierte Kriminalitaet und keine terroristischen
# Anschlaege mehr."
Reply to: