From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <homyakov@ramax.spb.ru>
Message-ID: <00ce01c14696$92b3a510$4901040a@homyakov>
From: "Igor Homyakov" <homyakov@ramax.spb.ru>
To: <mandrake-russian@altlinux.ru>
References: <14712579128.20010926180925@beep.ru>
Subject: Re: [mdk-re] ./ in PATH
Organization: Ramax International
MIME-Version: 1.0
Content-Type: text/plain;
	charset="koi8-r"
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 5.50.4522.1200
X-MimeOLE: Produced By Microsoft MimeOLE V5.50.4522.1200
Sender: mandrake-russian-admin@altlinux.ru
Errors-To: mandrake-russian-admin@altlinux.ru
X-BeenThere: mandrake-russian@altlinux.ru
X-Mailman-Version: 2.0
Precedence: bulk
Reply-To: mandrake-russian@altlinux.ru
List-Help: <mailto:mandrake-russian-request@altlinux.ru?subject=help>
List-Post: <mailto:mandrake-russian@altlinux.ru>
List-Subscribe: <http://altlinux.ru/mailman/listinfo/mandrake-russian>,
	<mailto:mandrake-russian-request@altlinux.ru?subject=subscribe>
List-Id: Linux-Mandrake RE / ALT Linux discussion list <mandrake-russian.altlinux.ru>
List-Unsubscribe: <http://altlinux.ru/mailman/listinfo/mandrake-russian>,
	<mailto:mandrake-russian-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://altlinux.ru/pipermail/mandrake-russian/>
Date: Wed Sep 26 18:17:05 2001
X-Original-Date: Wed, 26 Sep 2001 18:21:46 +0400
Archived-At: <http://lore.altlinux.org/community/00ce01c14696$92b3a510$4901040a@homyakov/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

----- Original Message -----
From: "Vladimir Karpinsky" <vkarpinsky@beep.ru>
To: <Mandrake-russian@altlinux.ru>
Sent: Wednesday, September 26, 2001 6:09 PM
Subject: [mdk-re] ./ in PATH


> Hello Mandrake-russian,
>
> Объясните пожалуйста мне такую штуку:
> когда-то для облегчения запуска программ из ./, я в своем(ей) .bashrc
> включил ./ в PATH. Все вроде было ничего, пока кто-то из знакомых,
> увидев это, не закричал со страшной силой: "Это делать нельзя ни в
> коем случае!" Но вот аргументировано объяснить почему это делать
> нельзя, он не смог. Я тогда-то убрал ЭТО на всякий случай, но
> неудовлетворенное любопытство гложет уже который год. Вопрос
> соответственно: можно ли ЭТО так делать или нет, если нет, то почему?

Это очень старый спор. Основная причина почему это не надо делать:
атакующий получив (или уже имея) аккоунт на вашем хосте может
записать вредоносный код в /tmp/ls (например) после чего спровоцировать
вас на cd /tmp, теперь осталось только вам выполнить ls
и "оппаньки" :)) .

В обычной жизни, достаточно не ставить . в PATH у root-а.

--
Igor Homyakov                            RAMAX International
System Administrator         Banking Technologies Department
<homyakov(at)ramax.spb.ru>              http://www.ramax.com