Re: Безобразие со скриптами установки пакетов из security.debian.org

[Victor Wagner <vitus@wagner.pp.ru>]

On 2010.01.22 at 17:19:49 +0300, Alexey Pechnikov wrote:

> Hello!
> 
> On Friday 22 January 2010 17:11:38 Victor Wagner wrote:
> > У вас что, университестский сервер, куда сотня студентов с шаловливыми
> > ручками шелл имеют? Причем эти студенты точно знают когда админ
> > соберется aptitude запускать, и нет никакой возможности их на это время
> > с машины выгнать?
> > 
> > Если нет, то какая нафиг атака симлинками?
> 
> Покажите ссылку на пункт дебиан-полиси, где указано, что дебиан нельзя
> применять для университетского сервера. 
> 
> Хинт: имея шелл, увидеть, когда запустился aptitude, проблем не представляет.

А предсказать, как будет называться временный файл в /tmp, чтобы создать
симлинку? 

А теперь посмотрим скрипт, как он файл создает? Может он там с
O_CREAT|O_EXCL создается, и симлинки пойдут лесом?