VTE пишет в /tmp/ дамп сессии в открытом виде

To: debian-russian@lists.debian.org
Subject: VTE пишет в /tmp/ дамп сессии в открытом виде
From: Олег Корчагин <madrouter@yandex.ru>
Date: Thu, 29 Dec 2011 15:12:37 +0400
Message-id: <[🔎] 1325157157.2747.15.camel@amalthea.madrouter.dc>

Доброго времени суток.

Недавно узнал, терминалы, использующие vte, пишут дамп сессии в открытом
виде. Выглядит это безобразие так:

1) открывается файл  /tmp/vde*
2) сразу удаляется
3) по открытому дескриптору в этот файл пишется дамп сессии терминала

В результате,

1) если /tmp не вынесен в память, логи сессий можно найти на диске
обычным grep'ом, в т.к. после перезагрузок спустя месяцы
2) даже если /tmp в tmpfs, приложения того же пользователя спокойно
могут читать сессию терминала в /proc/<pid терминала>/fd/<дескриптор>

Пример.

открываем терминал гнома, xfce или любой другой, использующий vte
$ echo testtesttest
$ ps auxw | grep term # для gnome-terminal
$ export suspect_pid=<pid процесса>
$ for fd in $(ls -l /proc/$suspect_pid/fd/ | grep vte | awk '{print
$9;}'); do \
>    grep -H testtest  /proc/$suspect_pid/fd/$fd ; \
> done

Теперь собственно вопрос: куда об этом писать? ИМХО это как минимум
"security issue", а если называть вещи своими именами - дыра

Узнал из http://www.linux.org.ru/forum/talks/7185552/

Reply to:

Follow-Ups:
- Re: VTE пишет в /tmp/ дамп сессии в открытом виде
  - From: Andrey Bragin <abragin@armd.ru>
- Re: VTE пишет в /tmp/ дамп сессии в открытом виде
  - From: Andrey Rahmatullin <wrar@wrar.name>

Prev by Date: Trash location for KDE software
Next by Date: Re: samba
Previous by thread: Re: Trash location for KDE software
Next by thread: Re: VTE пишет в /tmp/ дамп сессии в открытом виде
Index(es):
- Date
- Thread