sprava pameti - nachazim obsah passwd

Dan Lukes dan at obluda.cz
Mon May 8 22:17:40 CEST 2006


michal_sjx napsal/wrote, On 05/08/06 22:06:
> Problem se projevuje u vice SW
> (konkretne jsem ho videl u MySQL a spam X spamassassin), tedy u vice autoru.
> 
> projevuje se:
> MySQL (mysql-server-5.0.7)
> Koukal jsem se do uloziste DB. Koukal jsem se jak vypadaji indexy.
> Indexy jsem otevrel v editoru a videl jsem tam nazvy tabulek z uplne
> jine DB, nez ke ktere parti index.

	A je to skutecne vada ? Ja interni format MySQL indexu neznam a tak 
mohou byt tyto nahodne retezce umistene v bezvyznamovych castech souboru.

	A bezny uzivatel by nemel mit pristup primo k databazovemu store tak, 
aby se mohl sam (tedy bez SQL serveru jako prostrednika) podivat na 
obsah databazi jako na soubory. Takze ani unik informaci IMHO nehrozi ...


> spamassassin (spamd-3.7, spamassassin-3.1.1)
> spamd spousten s -v -u
> Kdyz se podivam do
> /usr/local/vpopmail/domains/domena.cz/user/.spamassassin/nejakej_soubor_vytvoren_spamd
> tak v nem nem je situace jeste horsi. Je tam DB, ale sem tam jako by byl
> obsah pameti. Daji se tam najit i pikantnosti jako obsah souboru
> /var/backups/master.passwd .

	Jak jsi poznal, ze to byl zrovna obsah /var/backups/master.passwd a ne 
/etc/master.passwd ?

	To neni nesmyslna otazka - pomohlo by to zjistit, jaky program pri 
manipulaci s klicovym materialem je tak neopatrni, ze pamet pred 
navracenim systemu nemaze.

> No a chtel bych vedet jestli se to stava jeste nekomu a co mam vlastne s
> tim delat? Popripade co je pricinou? Mam podezreni na spatnou alokaci
> pameti (neni promazana). Ale v C neumim tak obstojne na to to zjistit.

	Nemam dojem, ze v definici prislusnych funkci (malloc nebo free) je 
zaruceno, ze system smaze obsah takove pameti. Pokud se nemylim (a mylit 
se mohu), je na vine aplikace, ktera vratila systemu pamet s citlivymi 
daty aniz je smazala.

	Pak by zbyvalo ji najit.

					Dan


-- 
Dan Lukes                                   SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz



More information about the Users-l mailing list