Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-385

[MS/NTFS] Mißverständnisse bezüglich der Rechtevererbung bei NTFS
(2001-06-15 17:10:28+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/06/msg00132.html

Es hat sich gezeigt, daß im Zusammenspiel mit bestimmten Programmen bestimmte Sicherheitseinstellungen im NTFS-Dateisystem überraschende Auswirkungen haben.

Betroffene Systeme

Beschreibung
Beim NTFS-Dateisystem lassen sich die Rechte eines Verzeichnisses so einstellen, daß neue Dateien diese Rechte erben. In einem solchen Verzeichnis führt ein Benutzer nun folgende Aktionen durch:

  1. Der Benutzer legt eine Datei an (zum Beispiel mit Microsoft Word).
  2. Mittels geeigneter Werkzeuge schränkt er die Rechte anderer Benutzer der Datei gegenüber den Verzeichnisvoreinstellungen ein.
  3. Später ändert der Benutzer die Datei und speichert sie erneut ab.
Bei diesem Vorgehen gibt es zwei unterschiedliche Probleme: Hierbei handelt es sich nicht um ein Sicherheitsproblem mit NTFS (höchstens um ein Sicherheitsproblem von NTFS in der Interaktion mit vielen Anwendungsprogrammen, die sich kaum um die Rechteverwaltung scheren), sondern um ein Mißverständnis in bezug auf die Mechanismen von NTFS.

Es ist jedenfalls empfehlenswert, wenn die Verzeichnisse immer gleiche oder stringentere Vorgaben machen, als nachher für die Dateien nach einem manuellen Eingriff gelten sollen. Damit fällt die erwähnte race condition weg, und der Rückfall auf die voreingestellten Rechte kann nicht zu unberechtigten Zugriffen führen. Allerdings kann es dann geschehen, daß andere Benutzer dann nach dem Speichern zunächst keinen Zugriff auf die Datei haben, so daß ein manueller Eingriff notwendig wird.

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=385