Apropos Vertrauen in Install-Scripts

Geschrieben von Olaf Willuhn am
Aus dem Install-Script des Kobil-Treibers:
cp libct.so /usr/lib
chgrp users /usr/lib/libct.so
chmod 775 /usr/lib/libct.so
Ähem? *Hust*. Das ist nicht nur unnötig, das ist schlicht eine Sicherheitslücke! Jeder User auf dem System kann jetzt den CT-Treiber gegen Schadcode ersetzen. Und das im Install-Paket eines Chipkartenlesers? Einer sicherheitskritischen Komponente! Mir fehlen die Worte. Oder versteh ich hier was falsch?

Trackbacks

Trackback-URL für diesen Eintrag

Dieser Link ist nicht aktiv. Er enthält die Trackback-URI zu diesem Eintrag. Sie können diese URI benutzen, um Ping- und Trackbacks von Ihrem eigenen Blog zu diesem Eintrag zu schicken. Um den Link zu kopieren, klicken Sie ihn mit der rechten Maustaste an und wählen "Verknüpfung kopieren" im Internet Explorer oder "Linkadresse kopieren" in Mozilla/Firefox.

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Olaf am :

Das ist echt hefig. Läuft das Script unter root-Rechten?
Lesen für Gruppe und Andere (744) hätte vollkommen gereicht. Wozu dann noch das chgrp?

Olaf am :

Ja, das laeuft mit Root-Rechten. Ich glaube, ich sollte das mal dem Hersteller melden.

Die Kommentarfunktion wurde vom Besitzer dieses Blogs in diesem Eintrag deaktiviert.