it-swarm.dev

Pourquoi la commande d'arborescence n'est-elle pas incluse dans le serveur Ubuntu?

L'installation de l'utilitaire de ligne de commande de l'arborescence sur le serveur Ubuntu pose-t-elle des problèmes de sécurité? Ce n'est pas inclus par défaut sur le serveur.

4
Aviah Laor

Ce que je vais décrire maintenant est très probablement une situation très hypothétique.

  1. Supposons que vous exécutiez une arborescence sur une partie du système de fichiers où tout utilisateur peut créer des fichiers, par exemple sous /tmp ou /var/tmp .
  2. Supposons qu'un utilisateur malveillant ait créé très explicitement des noms de fichiers spéciaux à cet emplacement. Cela aurait pu être fait en ayant un compte utilisateur réel sur le système ou en "piégeant" un démon de serveur légèrement vulnérable et disponible publiquement.
  3. Supposons que l’arborescence présente une vulnérabilité/faiblesse concernant la façon dont elle traite les noms de fichiers "impairs".

Dans de telles circonstances, il est possible que tree soit amené à exécuter des instructions inattendues avec les privilèges de votre compte d'utilisateur. De toute évidence, ces dommages seraient bien pires si l'on supposait que un arbre avait été appelé avec les privilèges root.

Pourtant, ce n’est pas différent de ce à quoi vous vous exposez chaque fois que vous utilisez une application pour traiter des données créées par une partie externe/inconnue. Que vous regardiez une page Web dans votre navigateur, que vous écoutiez un fichier mp3 dans votre lecteur de musique ou modifiez un document dans votre traitement de texte, vous devez toujours faire confiance à votre application pour gérer les données entrantes de manière saine.

C'est d'ailleurs pour cette raison que les vulnérabilités de sécurité dans les navigateurs Web sont si importantes, car elles sont constamment exposées aux informations de tiers externes/inconnus. La même chose, encore plus, s’applique aux démons de serveurs, où un attaquant potentiel a une opportunité constante de vous envoyer de "mauvaises" données d’entrée. Comparez cela à votre calculatrice, où vous êtes vous-même celui qui saisit toutes les données au fur et à mesure que vous lui donnez des chiffres.

résumer:

Oui, il existe un problème de sécurité théorique lors de l'installation et de l'exécution de l'arborescence , comme avec pratiquement tous les autres logiciels.

Cela étant dit, la majorité des applications que vous trouverez dans les dépôts Ubuntu seront raisonnablement sûres à installer et à utiliser. Tant que nous parlons d'applications utilisateur régulières, je ne pense pas que vous devriez vous inquiéter trop.

(Enregistrez vos inquiétudes pour les démons de serveur accessibles publiquement.)

5
andol

Je soupçonne que l’arborescence n’est pas installée par défaut car elle est dans universe (les applications doivent être dans main avant de pouvoir être installées par défaut).

Un rapide coup d'œil à travers le changelog ne montre aucun enregistrement de problèmes de sécurité, et il n'y a pas de rapports de bogues dans Ubunt , même jusqu'à Dapper.

Donc, mon conseil serait d’installer simplement tree sur votre serveur, c’est probablement plus sûr que beaucoup d’applications serveur populaires.

9
jbowtie