image

Blast from the Past

vrijdag 7 juli 2006, 14:13 door patrickr, 0 reacties

Van mezelf weet ik dat ik, in ieder geval op het gebied van security, nog veel kan leren van het verleden. Aangezien ik nog maar een paar uur heb om te posten voor dat de normale redactie het weer overneemt wou ik nog even het volgende historische leesvoer met jullie delen.

Ten eerste dit security 'requirements' document uit 1972. Op dezelfde website kwam ik dit extreem interessante document tegen (1974). In het archief van 'the security digest' kwam ik deze posting tegen:

"SUID programs can often be subverted if a needed resource is unavailable. For example, UNIX-V6 su(I) provided a super-user shell if it was unable to open /etc/passwd. It is easy to invoke su(I) with all available file descriptors taken. We recommend that programs use close(II) to ensure there are free file descriptors. Other resources include file storage space and process limits."

Het bovenstaande werd geschreven in 1985, en is vandaag de dag nog steeds zeer toepasbaar. Zoek bijvoorbeeld de tien verschillen met de 'Ubuntu Linux Passwd Potential Privilege Escalation Vulnerability' van een paar dagen geleden. Mijn persoonlijke all-time-favorite blijft trouwens de TENEX password "vulnerability" uit de jaren 70.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.