Re: tmp
On Sun, Jun 17, 2001 at 08:57:40AM +0200, Daniele Nicolodi wrote:
> On Sun, Jun 17, 2001 at 03:22:37AM +0200, Ferdinando wrote:
>
> > Avevi ragione infatti avevo impostato, per una questione di sicurezza, così
> > avevo letto (e in effetti è vero, però ha degli effetti indesiderati) in
> > bash_profile :
> > TMPDIR=$HOME/.tmp
>
> Per motivi di sicurezza ??
> Non vedo quali problemi puo` creare creare un file temporaneo in /tmp
> visto che ci sta apposta (a meno di bacherozzi indesiderati s'intende).
Capita che certe applicazioni usino nomi prevedibili quando creano file in
/tmp (tipo sort quando lavora su grossi volumi di dati) e dal controllo
dell'esistenza di un file alla sua creazione trascorre un lasso di tempo
(comunque microsecondi) che si potrebbero sfruttare per creare un link
simbolico verso altri file e farli sovrascrivere.
Ad esempio, durante l'aggiornamento di "locate", puo' essere che il sort
scriva piu' file in /tmp, e inserendoci un link simbolico verso /etc/passwd
lo si potrebbe far sovrascrivere se l'aggiornamento di locate lo fa root.
Oppure visto che mutt durante la scrittura dei messaggi crea un file in /tmp
lo si potrebbe anticipare creandone uno coi diritti 666, fare un link
hardware e quando il tipo spedisce il messaggio si puo' vedere perfettamente
il testo inviato violandogli la privacy.
ciao
Michele
Reply to:
- References:
- tmp
- From: Ferdinando <zappagalattica@inwind.it>
- Re: tmp
- From: Daniele Nicolodi <daniele@grinta.net>
- Re: tmp
- From: Ferdinando <zappagalattica@inwind.it>
- Re: tmp
- From: Daniele Nicolodi <daniele@grinta.net>
- Re: tmp
- From: Ferdinando <zappagalattica@inwind.it>
- Re: tmp
- From: Daniele Nicolodi <daniele@grinta.net>