[devel] Молчаливый incoming

[Dmitry V. Levin]

On Tue, Dec 13, 2005 at 07:37:18PM +0300, Sergey V Turchin wrote:
> On Tuesday 13 December 2005 19:11, Dmitry V. Levin wrote:
> > On Tue, Dec 13, 2005 at 06:46:02PM +0300, Sergey V Turchin wrote:
> > > On Tuesday 13 December 2005 01:05, Dmitry V. Levin wrote:
> > > > On Mon, Dec 12, 2005 at 11:07:19PM +0300, Dmitry Marochko 
> wrote:
> > > > > Не один день назад я залил свой пакет (ufraw) в инкаминг.
> > > >
> > > > Вы закачали некий файл ufraw-0.6-alt1.src.rpm с правами 0600.
> > > > Является ли этот файл пакетом, неизвестно.  Такие файлы
> > > > роботы не видят.
> > >
> > > Может проще по крону иногда 0644 файлам делать?
> >
> > Нет, это будут races
> Да фиг бы с ними.

Это тебе фиг, а сисадмину ночью спать хочется.

> А вообще race - это то, что с пакетом ufraw случилось.

Нет, это всего лишь безалаберность мантейнера.

> > и symlink attacks. 
> Фиксированный список каталогов и find каталог -type f | while read 
> f; do chmod 0644 "$f"; done
> Или find дырявый?

Не все файлы в операционной системе должны иметь права 0644. :)
Поскольку операцию chmod на чужие файлы может выполнять лишь root, то
здесь работает классическая атака с помощью races+symlinks c
разрушительными для системы последствиями.

Можно, конечно, написать для этих целей специальную утилиту, но проще
закачивать нормальные файлы.


-- 
ldv
----------- следущая часть -----------
j e┴ф╜┼┴Ъ╕
l┼	з╤ЙчвоT╝Xm╤÷Ъ√+-╠╘m√)Нф┼ЮЧ≤╘z╧ ┼_щzВ╔Щ╚miхfz{lЪm4Г]╣ъЪ;уЩ;i╞з╤ж°├g╖╣╦╖