[devel] Молчаливый incoming

[Dmitry V. Levin]

On Tue, Dec 13, 2005 at 07:37:18PM +0300, Sergey V Turchin wrote:
> On Tuesday 13 December 2005 19:11, Dmitry V. Levin wrote:
> > On Tue, Dec 13, 2005 at 06:46:02PM +0300, Sergey V Turchin wrote:
> > > On Tuesday 13 December 2005 01:05, Dmitry V. Levin wrote:
> > > > On Mon, Dec 12, 2005 at 11:07:19PM +0300, Dmitry Marochko 
> wrote:
> > > > > Не один день назад я залил свой пакет (ufraw) в инкаминг.
> > > >
> > > > Вы закачали некий файл ufraw-0.6-alt1.src.rpm с правами 0600.
> > > > Является ли этот файл пакетом, неизвестно.  Такие файлы
> > > > роботы не видят.
> > >
> > > Может проще по крону иногда 0644 файлам делать?
> >
> > Нет, это будут races
> Да фиг бы с ними.

Это тебе фиг, а сисадмину ночью спать хочется.

> А вообще race - это то, что с пакетом ufraw случилось.

Нет, это всего лишь безалаберность мантейнера.

> > и symlink attacks. 
> Фиксированный список каталогов и find каталог -type f | while read 
> f; do chmod 0644 "$f"; done
> Или find дырявый?

Не все файлы в операционной системе должны иметь права 0644. :)
Поскольку операцию chmod на чужие файлы может выполнять лишь root, то
здесь работает классическая атака с помощью races+symlinks c
разрушительными для системы последствиями.

Можно, конечно, написать для этих целей специальную утилиту, но проще
закачивать нормальные файлы.


-- 
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20051213/871f07aa/attachment-0001.bin>