[devel] Re: suid/sgid programs and temporary files

[Alexey Tourbin]

On Wed, Aug 17, 2005 at 02:50:56AM +0400, Dmitry V. Levin wrote:
> > Можно в двух словах, почему небезопасно передовать временный файл по
> > имени?  Ведь если потенциальный злоумышленник не может ни читать/писать,
> > ни удалить временный файл, то в чем страдает безопасность?
> 
> Это разновидность TOCTOU: с момента проверки до момента использования
> ситуация может измениться.  Например, временный файл, созданный в /tmp,
> может быть удалён, если он не используется, каким-нибудь stmpclean'ом.
> Даже права на каталог могут измениться с момента последней проверки.
> Если представить себе, что привилегированная программа получила SIGSTOP и
> отправилась отдыхать на недельку-другую, то окно становится вполне
> пригодным для атаки.

То есть "навредить" нам может либо root, либо мы сами себе.
Потенциальному злоумышленнику остается только ждать наступления более
благоприятной ситуации, которая, по идее, наступить не должна.

То есть проверка каталога по этой схеме перед созданием временного файла
практически гарантирует, что все остальные операции с временным файлом
пройдут безопасно.
----------- следущая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: отсутствует
Url     : http://lists.altlinux.ru/pipermail/devel/attachments/20050817/deea0de7/attachment.bin