„Mit linux wär das nicht passiert“ des tages

Möchte vielleicht mal jemand auf einem linux-system ein paar dateien mit root-rechten schreiben und hat leider nicht die erforderlichen berechtigungen dafür? Kein problem, das gute alte screen dürfte ja überall installiert sein.

Advertisements

3 Antworten zu “„Mit linux wär das nicht passiert“ des tages

  1. screen -D -m -L bla.bla echo fail

    Und wieder die Logfile-Falle. root-werden leicht gemacht!

    Hmm, bei mir funktioniert das nicht. Kein setuid.

    • Mein screen ist ja auch älter als 2015-11-04, und überhaupt ist es die BSD-Version.
      Bemerkenswert finde ich ja, dass dem Bericht nach diese Anfälligkeit mit einem Commit eingeführt worden, der vorgeblich einen permissions check nachreicht. Das habe ich jetzt nicht überprüft; GNU.org hat zu altes HTTPS für meine Browser-Konfiguration. Klar ist, dass so eine Angabe keinen kritischen Code Review ersetzen darf.

  2. Und schon wieder OpenSSL. Und wieder mit dabei: Übertragsfehler bei der Montgomery-Arithmetik.
    Eigentlich müsste man doch weite Code-Bereiche als off-Limits markieren und Änderungen nur dann zulassen, wenn deren Korrektheit bewiesen werden kann. Bei arithmetischen Routinen ist das möglich, ich rede ja nicht vom Halteproblem.
    Außerdem könnte man die Testbeispiele anderer Bibliotheken (wie z.B. GMP) adaptieren. Dort wird auch auf Übertragsfehler getestet.
    Ich schätze, wir brauchen ein Scoring-System für Code-Qualität. Je mehr ein Code-Bereich von Änderungen betroffen ist, um so mehr Minuspunkte kriegt er. Die Gesamtzahl der Minuspunkte teilt man durch die Quadratwurzel der Gesamtzahl an Commits, das sollte dem natürlichen Wachstum der Code-Basis entsprechen. Wenn ein neuer Commit den so erhaltenen Score-Wert verringert, sollte er automatisch geblockt und einem eingehenderen Code Review zugeführt werden. Mit schön psychologisch wirksamem Daumen-runter-Icon.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s