From: "Dmitry V. Levin" <ldv@altlinux.org>
To: ALT Devel discussion list <devel@altlinux.org>
Subject: Re: [devel] Re: suid/sgid programs and temporary files
Date: Wed, 17 Aug 2005 02:06:33 +0400
Message-ID: <20050816220633.GA7730@basalt.office.altlinux.org> (raw)
In-Reply-To: <20050816214256.GV19097@solemn.turbinal.org>
[-- Attachment #1: Type: text/plain, Size: 2012 bytes --]
On Wed, Aug 17, 2005 at 01:42:56AM +0400, Alexey Tourbin wrote:
> On Tue, Aug 16, 2005 at 11:56:29PM +0400, Dmitry V. Levin wrote:
> > > Условия подчеркнутой проверки можно перевести примерно как
> > > st.st_uid > 10 && st.st_uid != getuid()
> > >
> > > Вопрос: хорошо ли, что здесь используется real uid? Не лучше ли
> > > проверять effective uid?
> >
> > Это зависит от семантики модуля.
> > Другими словами, для чего он предназначен.
>
> Модуль предназначен для безопасного создания временных файлов.
> Семантика, грубо говоря, такая же, как у mktemp(1).
>
> Когда при помощи `mktemp -t prog.XXXXXX` создается временный файл, я не
> знаю, проверяет ли mktemp *каталог*, в котором будет создан временный
> файл. Если каталог принадлежит не руту (st_uid > 10) и не нам, то
> "кто-то" (потенциальный злоумышленник) может попросту подменить
> временный файл (старый удалить, а вместо него сделать новый).
> Возможность подмены сохраняется, если каталог доступен по записи
> кому-нибудь ещё (и не защищен sticky bit'ом).
mktemp не проверяет $TMPDIR на безопасность.
Между прочим, передача временного файла по имени небезопасна сама по себе,
эта тема обсуждалась год-два-три назад в списках рассылки типа bugtraq.
Выход - использовать mkstemp(3), который возвращает открытый дескриптор;
в этом случае файл может находится где угодно, и проблема может возникнуть
только с его удалением.
> > При той информации, что содержится в комментарии, у меня складывается
> > ощущение, что проверять effective uid было бы логичнее.
>
> Это особенно актуально для suid'ных скриптов. Если Василий запускает
> suid скрипт, который создаёт временный файл в ~/tmp (каталог считается
> безопасным, потому что getuid() == Василий), то временный файл можно
> будет подменить. С другой стороны, если бы выполнялась проверка
> geteuid() == Василий, то каталог ~/tmp уже не считался бы безопасным.
Это усиливает точку зрения, согласно которой нужно использовать geteuid.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
next prev parent reply other threads:[~2005-08-16 22:06 UTC|newest]
Thread overview: 18+ messages / expand[flat|nested] mbox.gz Atom feed top
2005-08-16 19:31 [devel] " Alexey Tourbin
2005-08-16 19:56 ` Dmitry V. Levin
2005-08-16 21:42 ` [devel] " Alexey Tourbin
2005-08-16 22:06 ` Dmitry V. Levin [this message]
2005-08-16 22:34 ` Alexey Tourbin
2005-08-16 22:50 ` Dmitry V. Levin
2005-08-16 23:33 ` Alexey Tourbin
2005-08-16 23:38 ` Dmitry V. Levin
2005-08-16 23:52 ` Alexey Tourbin
2005-08-17 7:14 ` [devel] [wiki] " Michael Shigorin
2005-08-16 22:44 ` [devel] " Alexey Tourbin
2005-08-16 22:55 ` Dmitry V. Levin
2005-08-16 23:20 ` Alexey Tourbin
2005-08-16 23:30 ` Alexey Tourbin
2005-08-17 0:37 ` Alexey Tourbin
2005-08-17 0:46 ` Alexey Tourbin
2005-08-17 3:02 ` Andrey Rahmatullin
2005-08-17 6:37 ` Alexey Tourbin
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20050816220633.GA7730@basalt.office.altlinux.org \
--to=ldv@altlinux.org \
--cc=devel@altlinux.org \
--cc=devel@altlinux.ru \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git