Et oui. Si vous etes possesseur de kvirc et que vous l'adorez, vous
allez vite déchanter. Pour ceux qui ne savent pas, kvirc est le client irc
du KDE Project.
Sachez qu'en tapant :
!nick /../../../../../../../../../path_to_file
ou "nick" est un utilisateur de kvirc sur irc, et path_to_file un fichier
du système, le client de nick vous enverra le fichier correspondant…
Alors on peut avoir le /etc/passwd par exemple…
Ou plus critique si le kvirc est lancé en root (sisi ca existe !), le
/etc/shadow…
Sachant que ce genre d'applications est souvent affectionné par les newbies
et que les newbies travaillent souvent en root au début, ca fait tout de
meme un potentiel énorme de machines "hackable" par irc, ce qui est assez
lamentable.
Note de l'auteur : Je n'essaie pas de faire un nouveau rootshell mais il
faut bien que cette nouvelle se propage à la majorité.
NdM. : cette dépêche a été initialement publiée le 17/10/1999 à 20h18, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.