Re: Безобразие со скриптами установки пакетов из security.debian.org
Hello!
On Saturday 23 January 2010 23:58:27 Dmitry E. Oboukhov wrote:
> >> ага и еще если кроме O_CREAT|O_EXCL скрипт обрабатывает эти ошибки и
> >> делает повторы попыток, то тогда конечно. уязвимости нет. только тот
> >> кому придет в голову писать такую логику скорее всего заюзает
> >> стандартную либу по созданию временного файла и всего делов.
>
> AP> Почему просто не создать поддиректорию в /tmp? Иксы всю дорогу так
> AP> делают - создают поддиректорию с нужными правами (в т.ч. sticky бит).
>
> Эмм... ты думаешь на директорию (если известно ее имя) нельзя будет
> симлинками атаковать?
Все же секьюрно создать _одну_ директорию проще, нежели множество файлов.
Впрочем, если из /tmp переместить место распаковки конфигов в
поддиректорию /var, будет надежнее. Все равно там при работе с пакетами
операции модификации файлов кэшей и логов выполняются. Объем же конфигов
весьма скромный по определению.
Best regards, Alexey Pechnikov.
http://pechnikov.tel/
Reply to: