[General] Ayuda con un ataque!!!

Horst H. von Brand vonbrand en inf.utfsm.cl
Mar Abr 22 15:35:26 CLT 2008 

Cristian Gutierrez <crgutier en dcc.uchile.cl> wrote:
> Alvaro Herrera wrote:
> > Gunnar Wolf escribió:
> >> Sendmail.cf es la prueba clara de que existe inteligencia
> >> extra-humana. 

;-)

> > Sendmail.cf fue la primera vez que me enteré de un archivo de
> > _configuración_ cuyo lenguaje es Turing-completo.  Imagínate, alguien
> > podría propagar un virus en el sendmail.cf (o se habría podido, supongo,
> > en el tiempo en que sendmail era setuid root).


Si lograras que sendmail ejecutara como configuracion algo llegado por la
red, quiza... para que una cochinada funcione requiere:

- Codigo ejecutable en el archivo
- Permiso de escribir/modificar otros archivos
- Posibilidad de propagarse

Las ultimas 2 no se dan, asi que es seguro (desde este punto de vista).

> > Me pareció una idea totalmente traída por los pelos en ese momento y me
> > lo sigue pareciendo.

Si quieres hacer "cosas interesantes" requieres un lenguaje
"suficientemente expresivo"...

> >                       Hoy en día estamos un poco apartados de eso porque
> > la gente normal usa el sendmail.mc, pero la capacidad sigue existiendo.

Nunca existio.

> Por el contrario, en programas escritos en lenguages de scripting no es
> para nada raro que la configuracion sea un trozo de codigo (arbitrario
> pero con una estructura sugerida) que se incluye en tiempo de ejecucion
> (i.e., se _ejecuta_).  De los que recuerdo ahora: Twiki, Mediawiki,
> Django, Buildbot, y sospecho que un abismante etcetera.

Y en procesadores de texto (Word, OOo writer), planillas de calculo (Excel,
OOo calc, gnumeric, ...), y browsers de web (Firefox y sus plugins), y...

Y si es por eso, que haya o no soporte de plugins etc es indiferente a
poder explotar algun buffer overrun.
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                    Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria             +56 32 2654239
Casilla 110-V, Valparaiso, Chile               Fax:  +56 32 2797513

Más información sobre la lista de distribución Linux