Страница 1 из 1
Дырка в безопасности Novell NetWare Manager
Добавлено:
01 июн 2005, 13:47 Евгений Сафонов
Внимание!
Только что обнаруженная дырка в безопасности NetWare.
Подверженные платформы и продукты:
Novell NetWare 6.5 SP2, NetWare 6.5 SP3,
Novell Open Enterprise Server,
NetWare Remote Manager.
Непривелегированный пользователь,
войдя своим именем и паролем
на страничку NetWare Remote Manager,
может свободно изменять аттрибуты и даты/время
любых папок и файлов, которые он может в принципе увидеть.
Возможность изменять аттрибуты имеется независимо от файловых
прав, которые он имеет в файловых системах NSS и NetWare
Traditional File System.
Добавлено:
01 июн 2005, 14:33 Владимир Занадворов
На NSS аттрибуты не меняются by design
аттрибуты NSS
Добавлено:
01 июн 2005, 15:56 Евгений Сафонов
да, НЕКОТОРЫЕ аттрибуты на NSS не меняются
а аттрибуты Date Time - меняются.
Да, моё первооткрытие.
Написан в Novell, Inc. 01 июня 2005г.
Ответа пока не пришло.
Добавлено:
01 июн 2005, 16:52 Ковалев Артем
Отсюда следует, что будет SP4? И кстати, можно ссылку на первоисточник? Или это Ваше открытие?
Добавлено:
02 июн 2005, 06:53 Юрий Беляков
Он обнаружил...
NW 6 SP5 - не дает менять атрибуты
OES Linux - у меня непривилигированного пользователя не пускает в NRM
OES NetWare - все как в NetWare 6.5 SP3 (т.к. практически идентичны)
Добавлено:
02 июн 2005, 07:40 Timur Kazimirov
Непривилегированный!
Атрибут!
Добавлено:
02 июн 2005, 11:20 Алексей Волков
Безусловно, это неприятно...
Но, по большому счёту:
1) Смена даты - это не критично
2) Вы можете закрыть доступ к NRM при помощи IP Access List для рядовых пользователей
не критично?
Добавлено:
02 июн 2005, 13:56 Евгений Сафонов
Как это некритично? Очень даже неприятно: Смотря как относиться к администрированию системы:
1. смена дат и "Archive Needed" может либо исключить файлы из BACKUP (это плохо?) или наоборот включить файлы в BACKUP (т.о. например носители (ленты) на стриммере переполнить)
2. изменение "Immediately compress" может привести к внезапной нагрузке на сервер (начнётся сжатие кучи файлов)
3. изменени "Dont compress" может привести к переполнению тома.
Если говорить про сервер в сети небольшой огранизации под маленькой нагрузкой,
или сервер в тестовой среде, то конечно это не опасно.
Но если говорить про реально нагруженные серверы,
состояние которых критично для работы предприятия,
то обнаруженный баг вполне может быть использован для нарушения работы системы.
Добавлено:
02 июн 2005, 14:41 Андрей Тр. aka RH
Это не неприятно - это просто неправильно. Если написано ( прямо там же, в NRM ), что эффективные права RF, то так и должно быть. Так прямо в Новелл и писать надо ..