パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

SystemV系UNIXのloginにバッファオーバーフロー発見」記事へのコメント

  • これこそ本当に致命的な脆弱性ですね。
    でもなんで誰も「致命的」とか言わないんだろ。

    ダイアログの件ではあんなに散々言ったのに。
    • by Anonymous Coward
      これのせいでどうにかされたってtelnetdやらrlogindのせいにはもはや...
      100%管理者の責任になるとおもうけどなぁ
      そんなもん外から使えるようになってるのが悪い

      次元の違う話でーす
      • Re:これが致命的? (スコア:2, 参考になる)

        by k3c (4386) on 2001年12月15日 0時53分 (#46820) ホームページ 日記
        > そんなもん外から使えるようになってるのが悪い

        それは管理者のセキュリティポリシーによると思います。
        rlogindが動いていても、例えば tcpwrapperやワンタイムパスワードを使うなどしてある程度のレベルのセキュリティを確保することはできますよね。コマンド等が平文で流れるという問題はありますが、それはそれとして、とりあえずログインはできないようにできる。

        で、そういう運用になっているサーバーで、パスワードを持たずにexploitコードでrootを取られてしまうというのは、やはり不味いと思うのですが…?

        致命的、という言葉の意味がなんか問題になっているようですが、じゃあ「致命的」って何?という話に帰着してしまう(そしてあまり意味のない議論である)ことはミエミエなので、それについてはワタシは議論に参加しません。悪しからずご了承ください :-)
        親コメント

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

処理中...