Datei: readme12.txt ; Erwin Flohr, Red. c't, 12nov02

Diese Datei enthlt Informationen zum Erweiterungspaket "ks31_p12.zip".


Aufgabe des Erweiterungspaketes:

Das Paket ist vorgesehen zur Integration in den "c't/ODS Kommunikationsserver" in Version 3.1. Es soll entsprechend der Verffentlichungsfolge als das dritte Paket angewendet werden. Ebensogut darf es aber vor den frheren Paketen angewendet werden oder auch ohne diese (als einziges) update genutzt sein.

Die Sicherheit des Komm'servers wird damit in drei kritischen Punkten verbessert; die Anwendung des Paketes oder die Manuelle Beseitigung der Schwachpunkte wird empfohlen:

- Das Skript "/usr/sbin/passchange" kann (und muss) bei seiner Ausfhrung mit root-Berechtigungarbeiten. Hier knnten die Nutzerinnen und Nutzer bisher eigene Befehle 'unterschieben', indem sie die Pfad-Liste der user shell verndern.

- Das Skript "/home/www/online/userlist.cgi" erzeugt bei seiner Ausfhrung global definierte Variablen. Hier knnte bisher durch geschickte Formulierung der Suchanfrage per web browser ein Variableninhalt zustande kommen, der bei der anschlieenden Verarbeitung der Variablen flschlich und risikoreich vom Linux-System interpretiert wrde.

- Das Skript "/home/www/online/forward1.cgi" macht bei seiner Ausfhrung den Aufruf eines anderen Skriptes (/usr/sbin/forwardchange), welches mit root-Rechten luft, und bergibt diesem einige Daten. Es handelt sich bei den Daten um manipulierbare Nutzereingaben. Deshalb ist eine Inhaltsprfung angebracht.



Einrichtung der Erweiterung:

Sie sollten den Server so in Betrieb setzen, das Zugriffe durch andere Nutzer (z.B. ber das Netzwerk) mglichst unterbunden sind. Melden Sie sich als "sysadm" an. Das Erweiterungspaket kann direkt als "zip"-Datei bergeben werden. Ein vorheriges Entpacken ist nicht erforderlich. Dazu muss es zunchst in ein leeres Verzeichnis auf dem Server kopiert werden. Achtung, die Kopie wird spter automatisch gelscht. Im Verzeichnis bleiben diese Anleitung und einige Indikator-Dateien zurck, die zuletzt von Hand gelscht werden knnen.

Alternativ kann das Paket von einer Diskette eingelesen werden. Entpacken Sie dazu das "zip"-Archiv mit allen Dateien auf eine ansonsten leere Diskette (formatiert fr MS- DOS und Windows) und legen Sie diese in das Diskettenlaufwerk von Arktur ein.

Wechseln Sie bitte in die Mens "/System verwalten /Einspielen von Updates". Whlen Sie dort bitte die gewnschte Methode zur Integration des Erweiterungspaketes aus. Folgen Sie ggf. weiteren Anweisungen.

Nach erfolgter Einrichtung, kann wie gewohnt weiter gearbeitet werden. Ein Neustart des Rechners ist in der Regel nicht erforderlich. Wer sicher gehen mchte sollte das web interface (http://arktur/online/) nochmal testweise nutzen.