パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

全自動食器洗い機のHTTPサーバーにディレクトリトラバーサルの脆弱性」記事へのコメント

  • /etc/passwdに生書きするのではなく、/etc/shadowに分けようとなった時から
    /etc/shadowは、root:rootかroot:wheelで640なわけだ
    プログラムにどれだけミスがあっても、OS組み込みの保護機能を越えることはできない

    つまりWebサーバー機能にディレクトリトラバーサルの脆弱性があったとして
    その脆弱性によって/etc/shadowが読めたのなら
    そのWebサーバーは、最低でもrootかwheelに属していたことになる
    根本的問題はそこだろ
    ディレクトリトラバーサルの脆弱性を塞ぐよりも先に
    そのふざけた運用方針をどうにかすべき

    setuid/setgid(not root)して行う場合であっても、作業は最低限にするなんて常識だし
    ましてや全てがroot権限で動作するWebサーバーなんて論外だ

    • by Anonymous Coward

      つーか、食器洗い機なんてrootだけでも十分。
      そんなもの仮にクラックされたところでどうともならんだろ。

      #3185336が言うように火ぃ吹くようなバグを見つけてから騒いだらいい。

      • そういうおバカプログラマが書いたプログラムがシステムを破壊したら困る、
        という理由でサービス用プログラムには root 以外で動いていただきたく。

        最悪、再起動すればなおるじゃん?

        誰にネットワーク接続を許可するのか、を記憶するエリアは少なくとも書き込み可能なはずだし
        全部 ROM って訳ではなさそうですもの。

        親コメント

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

処理中...