[devel] Re: suid/sgid programs and temporary files

[Dmitry V. Levin]

On Wed, Aug 17, 2005 at 02:34:21AM +0400, Alexey Tourbin wrote:
> On Wed, Aug 17, 2005 at 02:06:33AM +0400, Dmitry V. Levin wrote:
> > Между прочим, передача временного файла по имени небезопасна сама по себе,
> > эта тема обсуждалась год-два-три назад в списках рассылки типа bugtraq.
> 
> Можно в двух словах, почему небезопасно передовать временный файл по
> имени?  Ведь если потенциальный злоумышленник не может ни читать/писать,
> ни удалить временный файл, то в чем страдает безопасность?

Это разновидность TOCTOU: с момента проверки до момента использования
ситуация может измениться.  Например, временный файл, созданный в /tmp,
может быть удалён, если он не используется, каким-нибудь stmpclean'ом.
Даже права на каталог могут измениться с момента последней проверки.
Если представить себе, что привилегированная программа получила SIGSTOP и
отправилась отдыхать на недельку-другую, то окно становится вполне
пригодным для атаки.

Разумеется, $TMPDIR, созданный pam_mktemp'ом, гораздо безопасней, но в
общем случае всё очень зыбко.


-- 
ldv
----------- следущая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: отсутствует
Url     : http://lists.altlinux.ru/pipermail/devel/attachments/20050817/d490d566/attachment.bin