• [^] # Re: Avocat du diable (quel est le risque pour moi ?)

    Posté par . En réponse au lien [Copy Fail] The same 732-byte Python script roots every Linux distribution shipped since 2017.. Évalué à 3 (+1/-0).

    par exemple une fois root, faire un keylogger c'est trivial. là c'est tes mots de passe qui peuvent fuiter.

    Qui est aussi trivial à faire si tu as accès au compte utilisateur ?

    un jour le RAID va débouler chez toi à 6h du mat
    - vous hébergez un site pédophile
    - ah non
    - oh si ! on l'a découvert en enquêtant sur la dernière attaque DDOS sur les sites gouvernementaux

    Ce qui est faisable tout aussi bien si tu peux exécuter du code arbitraire sans être root ?

    J'essaie vraiment très fort mais pour l'instant je n'arrive toujours pas à changer d'avis. La surface d'attaque, c'est une faille dans systemd-timesyncd, dbus, polkit, rtkit ou d'une de leur dépendance.