Unter Mac OS X 10.3 kann ein Trojaner über den sudo-Befehl locker Zugriff als root-Benutzer auf das ganze System kriegen!
Ich habe das gerade unter 10.3.8 und 10.4 Server Beta (8A297) durchgespielt.
Das Problem sind die Grundeinstellungen welche Apple dem sudo-Befehl mitgegeben hat.
1. sudo ist standardmäßig so konfiguriert, dass wenn man einmal einen Befehl mit sudo abgesetzt habe, und das Passwort richtig eingegeben hat, ich nun jeden Befehl dem ich sudo voranstelle ohne root-Passwort während fünf Minuten ausführen kann.
2. sudo ist standardmäßig so definiert, dass der Befehl global gilt. Das heisst der sudo-Befehl ist nicht an ein Terminal gebunden, sondern nur an den Benutzer der den sudo ausgeführt hat und an die Zeit.
3. sudo schreibt seine Einträge in die Datei /var/log/system.log, welche per Standard von jedem Mitglied der Administratorengruppe gelesen werden kann. Hier ein Beispiel
Apr 12 21:23:36 localhost sudo: pts : TTY=ttyp2 ; PWD=/Users/pts ; USER=root ; COMMAND=/bin/ls /etc
Ein Trojaner müsste also nur die Datei /var/log/system.log beobachten und sobald ein sudo abgesetzt wird, hat der Trojaner während fünf Minuten vollen root-Zugriff. Das Programm müsste nur jedem Befehl "sudo" vorausstellen.
Mehr Infos und workarounds unter:
http://www.adbas.net/ Die Antwort von Apple ist gut.....??? Deppen....!!!!
SuPerNova
-------------------------------------
computing in the name of the root.