http://freesource.info/wiki/AltLinux/Sisyphus/devel/SecureTmp History/revisions of FreeSource/AltLinux/Sisyphus/devel/SecureTmp en-us http://freesource.info/wiki/AltLinux/Sisyphus/devel/SecureTmp/show?time=2005-08-17+11%3A11%3A22 <div class="pageBefore"><img src="http://freesource.info/wiki/images/z.gif" width="1" height="1" border="0" alt="" style="display:block" align="top" /></div><div class="page"> <b>Сравнение версий <a name=".altlinux.sisyphus.devel.securetmp" href="http://freesource.info/wiki/AltLinux/Sisyphus/devel/SecureTmp&" class="">/Alt&nbsp;Linux&nbsp;/&nbsp;Sisyphus&nbsp;/&nbsp;devel&nbsp;/&nbsp;Secure&nbsp;Tmp</a> за <a href="http://freesource.info/wiki/AltLinux/Sisyphus/devel/SecureTmp?time=2005-08-17+11%3A11%3A22">2005-08-17 11:11:22</a> и <a href="http://freesource.info/wiki/AltLinux/Sisyphus/devel/SecureTmp">2005-08-17 11:13:24</a></b><br /> <br /> <b>Добавлено:</b><br /> <div class="additions"><div class="action" style="float:right; width:250px"><div class="action-content">Эта&nbsp;страница была перенесена на&nbsp;<a href="http://altlinux.org/SecureTmp" target="_blank" title="" class="outerlink">altlinux.org</a>. Текст на&nbsp;freesource.info заморожен.</div></div><br /> Date: Wed, 17 Aug&nbsp;2005 03:38:02 +0400<br /> From: &#8220;Dmitry V. Levin&#8221; &lt;ldv@&gt;<br /> To: ALT&nbsp;Devel discussion list &lt;devel@&gt;<br /> Subject: <a href="http://lists.altlinux.ru/pipermail/devel/2005-August/023451.html" target="_blank" title="Внешняя ссылка (откроется в новом окне)" class="outerlink"><img src="http://freesource.info/wiki/themes/coffee/icons/web.gif" alt="" border="0" />Re: [devel] Re: suid/sgid programs and&nbsp;temporary files</a><br /> On&nbsp;Wed, Aug&nbsp;17, 2005 at&nbsp;03:33:43AM +0400, Alexey Tourbin wrote:<div class="email1 email-odd">&gt; On&nbsp;Wed, Aug&nbsp;17, 2005 at&nbsp;02:50:56AM +0400, Dmitry V. Levin wrote:</div><div class="email1 email-odd">&gt; &gt; &gt; Можно в&nbsp;двух словах, почему небезопасно передовать временный файл по&nbsp;</div><div class="email1 email-odd">&gt; &gt; &gt; имени? Ведь если потенциальный злоумышленник не&nbsp;может ни&nbsp;читать/писать,</div><div class="email1 email-odd">&gt; &gt; &gt; ни&nbsp;удалить временный файл, то&nbsp;в чем&nbsp;страдает безопасность?</div><div class="email1 email-odd">&gt; &gt; </div><div class="email1 email-odd">&gt; &gt; Это&nbsp;разновидность TOCTOU: с&nbsp;момента проверки до&nbsp;момента использования</div><div class="email1 email-odd">&gt; &gt; ситуация может измениться. Например, временный файл, созданный в&nbsp;/tmp,</div><div class="email1 email-odd">&gt; &gt; может быть удалён, если он&nbsp;не используется, каким-нибудь stmpclean'ом.</div><div class="email1 email-odd">&gt; &gt; Даже права на&nbsp;каталог могут измениться с&nbsp;момента последней проверки. </div><div class="email1 email-odd">&gt; &gt; Если представить себе, что&nbsp;привилегированная программа получила SIGSTOP и</div><div class="email1 email-odd">&gt; &gt; отправилась отдыхать на&nbsp;недельку-другую, то&nbsp;окно становится вполне</div><div class="email1 email-odd">&gt; &gt; пригодным для&nbsp;атаки.</div><div class="email1 email-odd">&gt; То&nbsp;есть &laquo;навредить&raquo; нам&nbsp;может либо root, либо мы&nbsp;сами себе.</div><div class="email1 email-odd">&gt; Потенциальному злоумышленнику остается только ждать наступления более</div><div class="email1 email-odd">&gt; благоприятной ситуации, которая, по&nbsp;идее, наступить не&nbsp;должна.</div><div class="email1 email-odd">&gt; То&nbsp;есть проверка каталога по&nbsp;этой схеме перед созданием временного файла</div><div class="email1 email-odd">&gt; практически гарантирует, что&nbsp;все остальные операции с&nbsp;временным файлом</div><div class="email1 email-odd">&gt; пройдут безопасно.</div><br /> В&nbsp;случае с&nbsp;привилегированными программами такая гарантия появляется только<br /> в&nbsp;случае проверки на&nbsp;euid, иначе запускающий такую программу может<br /> попробовать через неё добыть себе права через манипуляции с&nbsp;каталогом.</div><br /> <b>Удалено:</b><br /> <div class="deletions">Date: Wed, 17 Aug&nbsp;2005 02:50:56 +0400<br /> From: &#8220;Dmitry V. Levin&#8221; &lt;ldv@ &gt;<br /> To: ALT&nbsp;Devel discussion list &lt;devel@ &gt;<br /> Subject: <a href="http://lists.altlinux.ru/pipermail/devel/2005-August/023446.html" target="_blank" title="Внешняя ссылка (откроется в новом окне)" class="outerlink"><img src="http://freesource.info/wiki/themes/coffee/icons/web.gif" alt="" border="0" />Re: [devel] Re: suid/sgid programs and&nbsp;temporary files</a><br /> On&nbsp;Wed, Aug&nbsp;17, 2005 at&nbsp;02:34:21AM +0400, Alexey Tourbin wrote:<div class="email1 email-odd">&gt; On&nbsp;Wed, Aug&nbsp;17, 2005 at&nbsp;02:06:33AM +0400, Dmitry V. Levin wrote:</div><div class="email1 email-odd">&gt; &gt; Между прочим, передача временного файла по&nbsp;имени небезопасна сама по&nbsp;себе,</div><div class="email1 email-odd">&gt; &gt; эта&nbsp;тема обсуждалась год-два-три назад в&nbsp;списках рассылки типа bugtraq.</div><div class="email1 email-odd">&gt; Можно в&nbsp;двух словах, почему небезопасно передовать временный файл по&nbsp;</div><div class="email1 email-odd">&gt; имени? Ведь если потенциальный злоумышленник не&nbsp;может ни&nbsp;читать/писать,</div><div class="email1 email-odd">&gt; ни&nbsp;удалить временный файл, то&nbsp;в чем&nbsp;страдает безопасность?</div><br /> Это&nbsp;разновидность TOCTOU: с&nbsp;момента проверки до&nbsp;момента использования<br /> ситуация может измениться. Например, временный файл, созданный в&nbsp;/tmp,<br /> может быть удалён, если он&nbsp;не используется, каким-нибудь stmpclean'ом.<br /> Даже права на&nbsp;каталог могут измениться с&nbsp;момента последней проверки.<br /> Если представить себе, что&nbsp;привилегированная программа получила SIGSTOP и<br /> отправилась отдыхать на&nbsp;недельку-другую, то&nbsp;окно становится вполне<br /> пригодным для&nbsp;атаки.<br /> Разумеется, $TMPDIR, созданный pam_mktemp'ом, гораздо безопасней, но&nbsp;в<br /> общем случае всё очень зыбко.</div></div> http://freesource.info/wiki/AltLinux/Sisyphus/devel/SecureTmp/show?time=2005-08-17+11%3A11%3A00 <div class="pageBefore"><img src="http://freesource.info/wiki/images/z.gif" width="1" height="1" border="0" alt="" style="display:block" align="top" /></div><div class="page"> <b>Сравнение версий <a href="http://freesource.info/wiki/AltLinux/Sisyphus/devel/SecureTmp&" class="">/Alt&nbsp;Linux&nbsp;/&nbsp;Sisyphus&nbsp;/&nbsp;devel&nbsp;/&nbsp;Secure&nbsp;Tmp</a> за <a href="http://freesource.info/wiki/AltLinux/Sisyphus/devel/SecureTmp?time=2005-08-17+11%3A11%3A00">2005-08-17 11:11:00</a> и <a href="http://freesource.info/wiki/AltLinux/Sisyphus/devel/SecureTmp?time=2005-08-17+11%3A11%3A22">2005-08-17 11:11:22</a></b><br /> <br /> <b>Добавлено:</b><br /> <div class="additions">В&nbsp;K&amp;R тоже написано, что&nbsp;временный файл &laquo;автоматически удаляется при&nbsp;его<br /> Видимо, такая формулировка в&nbsp;K&amp;R/~ANSI C&nbsp;используется из-за соображений<br /> пересказывает ANSI C.</div><br /> <b>Удалено:</b><br /> <div class="deletions">В&nbsp;K&R тоже написано, что&nbsp;временный файл &laquo;автоматически удаляется при&nbsp;его<br /> Видимо, такая формулировка в&nbsp;K&<span class="missingpage">R&nbsp;/&nbsp;ANSI</span><a href="http://freesource.info/wiki/R/ANSI/edit?add=1&" title="Создать эту страницу">?</a> C&nbsp;используется из-за соображений<br /> пересказывает ANSI C.</div></div> http://freesource.info/wiki/AltLinux/Sisyphus/devel/SecureTmp/show?time=2005-08-17+11%3A08%3A43 <div class="pageBefore"><img src="http://freesource.info/wiki/images/z.gif" width="1" height="1" border="0" alt="" style="display:block" align="top" /></div><div class="page"> <b>Сравнение версий <a href="http://freesource.info/wiki/AltLinux/Sisyphus/devel/SecureTmp&" class="">/Alt&nbsp;Linux&nbsp;/&nbsp;Sisyphus&nbsp;/&nbsp;devel&nbsp;/&nbsp;Secure&nbsp;Tmp</a> за <a href="http://freesource.info/wiki/AltLinux/Sisyphus/devel/SecureTmp?time=2005-08-17+11%3A08%3A43">2005-08-17 11:08:43</a> и <a href="http://freesource.info/wiki/AltLinux/Sisyphus/devel/SecureTmp?time=2005-08-17+11%3A11%3A00">2005-08-17 11:11:00</a></b><br /> <br /> <b>Добавлено:</b><br /> <div class="additions"><hr noshade="noshade" size="1" /> Date: Wed, 17 Aug&nbsp;2005 10:37:30 +0400<br /> From: Alexey Tourbin &lt;at@&gt;<br /> To: devel@<br /> Subject: <a href="http://lists.altlinux.ru/pipermail/devel/2005-August/023458.html" target="_blank" title="Внешняя ссылка (откроется в новом окне)" class="outerlink"><img src="http://freesource.info/wiki/themes/coffee/icons/web.gif" alt="" border="0" />[devel] Re: suid/sgid programs and&nbsp;temporary files</a><br /> On&nbsp;Wed, Aug&nbsp;17, 2005 at&nbsp;09:02:44AM +0600, Andrey Rahmatullin wrote:<div class="email1 email-odd">&gt; On&nbsp;Wed, Aug&nbsp;17, 2005 at&nbsp;02:55:07AM +0400, Dmitry V. Levin wrote:</div><div class="email1 email-odd">&gt; &gt; Да, tmpfile(3) удаляет созданный файл сразу,</div><div class="email1 email-odd">&gt; Почему об&nbsp;этом нет&nbsp;в&nbsp;мане?</div><br /> В&nbsp;K&R тоже написано, что&nbsp;временный файл &laquo;автоматически удаляется при&nbsp;его<br /> закрытии или&nbsp;обычном завершении программы своей работы&raquo; (стр.311).<br /> Видимо, такая формулировка в&nbsp;K&<span class="missingpage">R&nbsp;/&nbsp;ANSI</span><a href="http://freesource.info/wiki/R/ANSI/edit?add=1&" title="Создать эту страницу">?</a> C&nbsp;используется из-за соображений<br /> портабельности, т.к. не&nbsp;на всех платформах можно удалить файл и&nbsp;<br /> продолжать работать с&nbsp;дескриптором. А&nbsp;ман, скорее всего, просто<br /> пересказывает ANSI C.<br /> В&nbsp;сущности, какая разница, когда удалить файл, если его&nbsp;имя не<br /> возвращается? Лучше удалить сразу (на тех&nbsp;платформах, которые это<br /> поддерживают).</div></div>