Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-701

[GNU/GNAT] Unsichere temporäre Dateien
(2002-02-12 17:50:04+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/advisories/gnat_temp_files.php

Die Laufzeitbibliothek des GNU-Ada-Compilers GNAT legt temporäre Dateien in einer Weise an, die zu race conditions führen kann.

Betroffene Systeme

  • UNIX-ähnliche Systeme, die Programme verwenden, die mit GNAT 3.12p bis 3.14p (einschließlich) übersetzt wurden, und die temporäre Dateien über den Standard-Ada-Mechanismus anlegen.

Einfallstor
lokaler Account

Auswirkung
Die Auswirkungen hängen stark vom betroffenen Programm, welches die temporäre Datei anlegt, ab.

Typ der Verwundbarkeit
/tmp race condition

Gefahrenpotential
mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Die Ada-Sprachnorm schreibt im Rahmen der Standardbibliothek eine Möglichkeit vor, temporäre Dateien zu erstellen. Die GNAT-Implementierung führt die Prüfung, ob eine Datei mit dem erzeugten Namen für die temporäre Datei schon existiert, und das Anlegen der Datei nicht in einer einzigen atomaren Operation durch. Dadurch werden auf vielen Systemen die üblichen Symlink-Angriffe möglich.

Gegenmaßnahmen

  • Einspielen eines Patches. Dieser Patch setzt voraus, daß das System über eine Implementierung von mkstemp() verfügt.

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.