[devel] Re: suid/sgid programs and temporary files

[Dmitry V. Levin]

On Wed, Aug 17, 2005 at 02:34:21AM +0400, Alexey Tourbin wrote:
> On Wed, Aug 17, 2005 at 02:06:33AM +0400, Dmitry V. Levin wrote:
> > Между прочим, передача временного файла по имени небезопасна сама по себе,
> > эта тема обсуждалась год-два-три назад в списках рассылки типа bugtraq.
> 
> Можно в двух словах, почему небезопасно передовать временный файл по
> имени?  Ведь если потенциальный злоумышленник не может ни читать/писать,
> ни удалить временный файл, то в чем страдает безопасность?

Это разновидность TOCTOU: с момента проверки до момента использования
ситуация может измениться.  Например, временный файл, созданный в /tmp,
может быть удалён, если он не используется, каким-нибудь stmpclean'ом.
Даже права на каталог могут измениться с момента последней проверки.
Если представить себе, что привилегированная программа получила SIGSTOP и
отправилась отдыхать на недельку-другую, то окно становится вполне
пригодным для атаки.

Разумеется, $TMPDIR, созданный pam_mktemp'ом, гораздо безопасней, но в
общем случае всё очень зыбко.


-- 
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20050817/d490d566/attachment-0001.bin>