Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-701

[GNU/GNAT] Unsichere temporäre Dateien
(2002-02-12 17:50:04+00)

Quelle: http://cert.uni-stuttgart.de/advisories/gnat_temp_files.php

Die Laufzeitbibliothek des GNU-Ada-Compilers GNAT legt temporäre Dateien in einer Weise an, die zu race conditions führen kann.

Betroffene Systeme

Einfallstor
lokaler Account

Auswirkung
Die Auswirkungen hängen stark vom betroffenen Programm, welches die temporäre Datei anlegt, ab.

Typ der Verwundbarkeit
/tmp race condition

Gefahrenpotential
mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Die Ada-Sprachnorm schreibt im Rahmen der Standardbibliothek eine Möglichkeit vor, temporäre Dateien zu erstellen. Die GNAT-Implementierung führt die Prüfung, ob eine Datei mit dem erzeugten Namen für die temporäre Datei schon existiert, und das Anlegen der Datei nicht in einer einzigen atomaren Operation durch. Dadurch werden auf vielen Systemen die üblichen Symlink-Angriffe möglich.

Gegenmaßnahmen

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=701