home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #27 / NN_1992_27.iso / spool / alt / security / 4823 < prev    next >
Encoding:
Internet Message Format  |  1992-11-18  |  1.4 KB
  1. Xref: sparky alt.security:4823 comp.security.misc:1764
  2. Newsgroups: alt.security,comp.security.misc
  3. Path: sparky!uunet!europa.asd.contel.com!emory!wupost!uwm.edu!rpi!batcomputer!ghost.dsi.unimi.it!vince
  4. From: vince@ghost.dsi.unimi.it (David Vincenzetti)
  5. Subject: Re: HP-UX DUI should setuid or not
  6. References: <1992Nov14.074521.17444@ccds3.ntu.edu.tw>
  7. Organization: Computer Science Dep. - Milan University
  8. Date: Mon, 16 Nov 1992 14:59:39 GMT
  9. Message-ID: <1992Nov16.145939.585@ghost.dsi.unimi.it>
  10. Lines: 13
  11.  
  12. In <1992Nov14.074521.17444@ccds3.ntu.edu.tw> ywtsay@aquarius.ce.ntu.edu.tw (Yi-Hwai Tsai) writes:
  13.  
  14. >Hi.. 
  15. >    There may have '/usr/diag/bin/DUI' in many HP-UX 8.0 machines. It is setuid by root. I don't think it should be run by everyone in host. because it can be used to empty any file in system. Am I right ?
  16.  
  17. I do not know DUI but *beware*: the /usr/diag directory do contains
  18. **SUID'ed SCRIPTS** and this is a terrible security hole: due a bug
  19. in the kernel everyone can become root in a matter of seconds. Please
  20. `chmod u-s` the SUID'ed scripts you get: there should be not SUID'ed
  21. script to root in your whole file system.
  22.  
  23. Regards,
  24. David
  25. -- 
  26. David Vincenzetti := {system, security} administrator
  27. Dept of CS, via Comelico 41,   Email : vince@ghost.dsi.unimi.it
  28. I-20133 Milan, ITALY           Voice : ++39 2 55006 39{1,2}
  29. *PGP & RPEM accepted*            Fax : ++39 2 55006 373
  30.