Notes-Client für Linux: Unsichere Installationsroutine

- 23. November 2007

Der Befehl tar entpackt Archive und ignoriert dabei die Umask der Umgebung, wenn er von Root aufgerufen wird.

Die Installationsroutine der im September von IBM veröffentlichten Version 8 von Lotus Notes für Linux hinterlässt auf dem System eine ganze Sammlung an Dateien mit Lese, Schreib- und Executable-Rechten für jedermann.

Der Linux-Client, den Anwender bei IBM nach Registrierung als 60-Tage-Testversion herunterladen können, kommt zunächst als Tar-Archiv “C14SXEN.tar” auf die Festplatte. Bei Recherchen für einen Artikel im Linux-Magazin entdeckte die Redaktion fehlerhafte Berechtigungen bereits in diesem Archiv, die sich auswirken, sobald der Administrator die Dateien entpackt. Der Hintergrund: Der Befehl “tar” entpackt Archive und ignoriert dabei die Umask der Umgebung, wenn er von Root aufgerufen wird. Das sorgt dafür, dass alle Dateirechte genauso gesetzt werden, wie sie im Archiv enthalten sind.

Der Befehl tar entpackt Archive und ignoriert dabei die Umask der Umgebung, wenn er von Root aufgerufen wird.

Beim Start der Installation setzt zudem das Wrapper-Skript “setup.sh” nochmals die Rechte des Installations-Skriptes auf 777, womit etwaige Änderungen sicherheitsbewusster Admins wieder zunichte gemacht werden:

01 #!/bin/sh
02 umask 022
03 chmod 777 “${0%setup.sh}/installdata”
04 “${0%setup.sh}/installdata” “$@”

Der Aufruf in Zeile 3 sorgt dafür, dass das dank binärer Inhalte 200 MByte große Installationsskript “installdata” ab sofort die Dateirechte Lesen/Schreiben/Ausführen für alle Benutzer erhält. Das heißt, auf dem System befindet sich eine für alle veränderbare Datei, die für die Installation in Multi-User-Umgebungen mit Root-Rechten ausgeführt werden muss.

Linux Magazin Online hat das Entwicklerteam von IBM über das Problem in Kenntnis gesetzt, nach kurzen Tests konnten diese das Problem bestätigen. Ein Fix sei bereits in Arbeit, lässt IBM wissen.

Lotus Notes ist der Client für IBMs Domino Server, ein umfangreiches Datenbanksystem für Dokumentenmanagement, Groupware und integrierte Anwendungsentwicklung. Die neueste Version 8 basiert auf Eclipse, erstmals steht auch ein vollständiger Linux-Desktop-Client zur Verfügung.

SCHLAGWORTE
Groupware
Security

UN-Bericht warnt vor Umweltfolgen der KI

Ein Bericht des United Nations University Institute for Water, Environment and Health (UNU-INWEH) der Universität der UN warnt vor den gewaltigen Klimafolgen von künstlicher Intelligenz.

Tails-Update schließt Sicherheitslücken

Tails, eine Linux-Distribution, die die Privatsphäre ihrer Anwender bewahren und vor Zensur, Werbung und Viren schützen soll, ist in der Version 7.8.1 erschienen, die einige Sicherheitslücken schließt.

Anthropic schlägt Pause bei KI-Entwicklung vor

Anthropic hat eine Pause bei der Entwicklung von KI-Spitzenmodellen vorgeschlagen, um mehr Zeit zu gewinnen, mit den möglichen Folgen umzugehen.

X11-Session verschwindet bald endgültig aus KDE

Was erstmals bereits vor 15 Jahren angekündigt wurde, soll nun in fünf Monaten Wirklichkeit werden. Das Release 6.8 von Plasma wird erstmals keine eigene KDE-Session mehr enthalten und nur noch Wayland verwenden.

Linux-Kommandozeilentools kommen für Windows

Mit den "Coreutils for Windows" stellt Microsoft ein Set von Kommandozeilenwerkzeugen - dieselben wie unter Linux, MacOS oder WSL - bereit, das nativ unter Windows ausgeführt werden kann.

KI-Modelle lernen mit Open-Source-Daten Diagramme zu lesen

Das neue Trainingsdatenset ChartNet, entworfern von Forschern des MIT und des MIT-IBM Computing Research Lab, könnte die Genauigkeit von Vision-Language-Modellen (VLM) verbessern, die bei der Analyse von Geschäftstrends oder der Interpretation wissenschaftlicher Abbildungen helfen.

E-Mail Benachrichtigung

0 Kommentare

Älteste

Neuste Beste Bewertung

Inline Feedbacks

Alle Kommentare anzeigen