On Wed, Aug 17, 2005 at 03:33:43AM +0400, Alexey Tourbin wrote:
> On Wed, Aug 17, 2005 at 02:50:56AM +0400, Dmitry V. Levin wrote:
> > > Можно в двух словах, почему небезопасно передовать временный файл по
> > > имени?  Ведь если потенциальный злоумышленник не может ни читать/писать,
> > > ни удалить временный файл, то в чем страдает безопасность?
> > 
> > Это разновидность TOCTOU: с момента проверки до момента использования
> > ситуация может измениться.  Например, временный файл, созданный в /tmp,
> > может быть удалён, если он не используется, каким-нибудь stmpclean'ом.
> > Даже права на каталог могут измениться с момента последней проверки.
> > Если представить себе, что привилегированная программа получила SIGSTOP и
> > отправилась отдыхать на недельку-другую, то окно становится вполне
> > пригодным для атаки.
> 
> То есть "навредить" нам может либо root, либо мы сами себе.
> Потенциальному злоумышленнику остается только ждать наступления более
> благоприятной ситуации, которая, по идее, наступить не должна.
> 
> То есть проверка каталога по этой схеме перед созданием временного файла
> практически гарантирует, что все остальные операции с временным файлом
> пройдут безопасно.

В случае с привилегированными программами такая гарантия появляется только
в случае проверки на euid, иначе запускающий такую программу может
попробовать через неё добыть себе права через манипуляции с каталогом.


-- 
ldv