Je voulais vous parler de la faille que j’ai découverte concernant karaf de la DV72. En fait, elle permet bel et bien le contrôle de la machine à travers la feature « shell :exec » qui permet de lancer n’importe quelle commande shell en étant le user DV72 .
J’ai essayaité de vérifier si je peoutvais avoir l’accès root (Privilege escalation,) mais la version du kernel est très récente Nov 23 12:55:32 2015 et il n’existe pas encore unde moyen pour contourner le kernel.
La commande « karaf@root: cat /etc/passwd » permet de lister tous les utilisateurs de la machine.
Pour conclure, la feature « shell :exec » est dangereuse si l’instance karaf tombe entre de mauvaises mains, et il faut la désactiver si ça ne gêne pas le fonctionnement de karaf.
The text above was approved for publishing by the original author.
Allez simplement dans votre boîte de réception, cliquez sur le lien de confirmation que nous vous avons envoyé, et vous obtiendrez alors texte corrigé en retour. Si vous souhaitez corriger plusieurs emails
Ou