Je voulais vous parler de la faille que j’ai découverte concernant karaf de la DV72. En fait, elle permet bel et bien le contrôle de la machine à travers la feature « shell :exec » qui permet de lancer n’importe quelle commande shell en étant le user DV72 .
J’ai essayaité de vérifier si je peoutvais avoir l’accès root (Privilege escalation,) mais la version du kernel est très récente Nov 23 12:55:32 2015 et il n’existe pas encore unde moyen pour contourner le kernel.
La commande « karaf@root: cat /etc/passwd » permet de lister tous les utilisateurs de la machine.
Pour conclure, la feature « shell :exec » est dangereuse si l’instance karaf tombe entre de mauvaises mains, et il faut la désactiver si ça ne gêne pas le fonctionnement de karaf.
The text above was approved for publishing by the original author.
Previous
     
Next
只需要到您的收件箱,点击我们的确认链接,您将得到正确的信息。如果您希望更正更多的电子邮件,只需要简单的:
或