[kde-de] Kritischer (KDE) Bug in SuSE Linux 9.1
Sebastian Voitzsch
sebastian.voitzsch at web.de
So Jul 4 11:17:20 CEST 2004
Am Sonntag, 4. Juli 2004 09:51 schrieb Stefan Weinzierl:
> Man braucht kein Experte zu sein, um einen Doppelpunkt (Link auf den
> Hashwert) aus der /etc/passwd zu entfernen. Diese Information gibt einem
> der Support von SuSE auch auf Anfrage heraus. Der Clou daran ist, wenn ich
> diesen Doppelpunkt wieder in die passwd zaubern will, nimmt ihn die passwd
> nicht mehr an. Also praktisch ich editiere die passwd, starte mein System
> neu, und was passiert? Ich kann mich immer noch ohne Passwort root
> einloggen und der der Doppelpunkt ist aus der passwd wieder verschwunden.
> Frage mich bitte nicht, wie das die SuSE Leute gemacht haben. Es ist aber
> so, und nebenbei auch recht sinnvoll. Damit kann ein lokaler Benutzer
> diesen Trick wenigstens nicht unbemerkt ausbeuten.
Wo ist das Problem? Die /etc/passwd ist nur mit Root-Paßwort schreibbar. Wer
also nicht schon vorher das Root-Paßwort kennt, kann die Datei nicht
bearbeiten (also auch kein beliebiger lokaler Benutzer).
Wieso nun die Änderung angeblich nicht wieder rückgängig gemacht werden können
soll, verstehe ich nicht - und dazu schreibst Du auch nichts. Welchen Editor
hast Du verwendet, wie bist Du vorgegangen? Immerhin wäre es (z.B. aufgrund
der Rechte an /etc/passwd) möglich, daß beim Abspeichern ein Fehler
unterlaufen ist und die Änderung deshalb nicht zurückgenommen werden konnte
(nicht umsonst wird empfohlen, in KDE nicht als root unterwegs zu sein).
Was UTF-8 angeht: in Kate z.B. kann man auswählen, in welcher Kodierung eine
Datei gespeichert werden soll. Für existierende Dateien übernimmt Kate die
Kodierung, die es beim Laden angewandt hat, sollte also eine Config-Datei
nicht verändern.
Wer das Root-Paßwort kennt oder lokal am Rechner sitzt, kann sich immer Zugang
zum System verschaffen. Und ob man Dateien, die mit dem Paßwort zu tun haben
und Hashwerte im ASCII-Format speichern, mit KDE-Editoren bearbeiten muß, ist
eine andere Frage.
Sebastian