Fedora-Linux.nl Forumindex Fedora-Linux.nl
Het forum van Fedora-Linux.nl.
Deze site wordt gehost door Exonet Internet Services
 
 FAQFAQ   ZoekenZoeken   GebruikerslijstGebruikerslijst   GebruikersgroepenGebruikersgroepen   RegistrerenRegistreren 
 ProfielProfiel   Log in om je privéberichten te bekijkenLog in om je privéberichten te bekijken   InloggenInloggen 

Cisco vpn client: privsep unable to drop privileges

 
Nieuw onderwerp plaatsen   Reageren    Fedora-Linux.nl Forumindex -> Software
Vorige onderwerp :: Volgende onderwerp  
Auteur Bericht
deadeyes



Geregistreerd op: 13 Nov 2006
Berichten: 8

BerichtGeplaatst: Di Nov 14, 2006 4:29 pm    Onderwerp: Cisco vpn client: privsep unable to drop privileges Reageren met citaat

Hallo allemaal,

Ik heb net de Cisco VPN Client geinstalleerd zonder al te veel problemen.
Als root kan ik perfect inloggen op het VPN netwerk.
Maar als ik dat doe via een gewone user, dan geeft dit:
privsep: unable to drop privileges: group set failed.
The application was unable to communicate with the VPN sub-system.

op http://popey.com/node/62 staat er een oplossing voor dit probleem: chmod 4111 $BINDIR/cvpnd

nu, mijn vraag:) ik heb gehoord dat het aanzetten van de SUID bit veiligheidsrisicos met zich meebrengt.
Ik weet niet wat het veiligheidsrisico is maar mss kan iemand me vertellen als dit zo is, en zo ja, wat het veiligheidsrisico is, en hoe ik dit mogelijk anders kan oplossen.

Alvast bedankt!
Terug naar boven
Profiel bekijken Stuur privébericht
klaasjan



Geregistreerd op: 22 Dec 2005
Berichten: 868

BerichtGeplaatst: Di Nov 14, 2006 5:16 pm    Onderwerp: Re: Cisco vpn client: privsep unable to drop privileges Reageren met citaat

deadeyes schreef:

op http://popey.com/node/62 staat er een oplossing voor dit probleem: chmod 4111 $BINDIR/cvpnd

nu, mijn vraag:) ik heb gehoord dat het aanzetten van de SUID bit veiligheidsrisicos met zich meebrengt.
Ik weet niet wat het veiligheidsrisico is maar mss kan iemand me vertellen als dit zo is, en zo ja, wat het veiligheidsrisico is, en hoe ik dit mogelijk anders kan oplossen.


De SUID bit staat toe dat gewone gebruikers een programma opstarten wat daarna als root gebruiker draait. Als dit programma bugs bevat waardoor je het andere dingen kan laten doen dan waar het voor gebouwd is kan je als gewone user via zo'n programma opdrachten als root uitvoeren.

Een mogelijk aanvals scenario is bijvoorbeeld een web pagina serveren die gebruik maakt van een exploit in Firefox. Deze kan dan code uitvoeren onder je gewone user account. Deze code gaat op zoek naar "local exploits" waarmee root rechten verkregen worden. Als dat lukt wordt een rootkit geplaatst waardoor je PC op IRC inlogt en deel uitmaakt van een botnet. Daarna wordt jouw PC spam mail server of kunnen geinteresseerden proberen jouw telebankier- wachtwoorden te achterhalen.

In de meeste gevallen is het niet zo erg, en als je de veiligheidsupdates van die VPN client in de gaten houdt kan je die best als root laten lopen.
Maar gezien bovenstaand risico is het wel een afweging die je moet maken. Klakkeloos alles SUID installeren is vragen om problemen.
Terug naar boven
Profiel bekijken Stuur privébericht
Berichten van afgelopen:   
Nieuw onderwerp plaatsen   Reageren    Fedora-Linux.nl Forumindex -> Software Tijden zijn in GMT + 1 uur
Pagina 1 van 1

 
Ga naar:  
Je mag geen nieuwe onderwerpen plaatsen in dit subforum
Je mag geen reacties plaatsen in dit subforum
Je mag je berichten niet bewerken in dit subforum
Je mag je berichten niet verwijderen in dit subforum
Je mag niet stemmen in polls in dit subforum


Powered by phpBB © 2001, 2005 phpBB Group
Vertaling door Lennart Goosens.