Re: Безобразие со скриптами установки пакетов из security.debian.org

[Alexey Pechnikov <pechnikov@mobigroup.ru>]

Hello!

On Saturday 23 January 2010 23:58:27 Dmitry E. Oboukhov wrote:
> >> ага и еще если кроме O_CREAT|O_EXCL скрипт обрабатывает эти ошибки и
> >> делает повторы попыток, то тогда конечно. уязвимости нет. только тот
> >> кому придет в голову писать такую логику скорее всего заюзает
> >> стандартную либу по созданию временного файла и всего делов.
> 
> AP> Почему просто не создать поддиректорию в /tmp? Иксы всю дорогу так
> AP> делают - создают поддиректорию с нужными правами (в т.ч. sticky бит).
> 
> Эмм... ты думаешь на директорию (если известно ее имя) нельзя будет
> симлинками атаковать?

Все же секьюрно создать _одну_ директорию проще, нежели множество файлов.

Впрочем, если из /tmp переместить место распаковки конфигов в 
поддиректорию /var, будет надежнее. Все равно там при работе с пакетами 
операции модификации файлов кэшей и логов выполняются. Объем же конфигов
весьма скромный по определению.

Best regards, Alexey Pechnikov.
http://pechnikov.tel/