[GNU/GNAT] Unsichere temporäre Dateien
(2002-02-12 17:50:04+00)
Quelle:
http://cert.uni-stuttgart.de/advisories/gnat_temp_files.php
Die Laufzeitbibliothek des GNU-Ada-Compilers GNAT legt temporäre Dateien in einer Weise an, die zu race conditions führen kann.
Betroffene Systeme
- UNIX-ähnliche Systeme, die Programme verwenden, die mit GNAT 3.12p bis 3.14p (einschließlich) übersetzt wurden, und die temporäre Dateien über den Standard-Ada-Mechanismus anlegen.
Einfallstor
lokaler Account
Auswirkung
Die Auswirkungen hängen stark vom betroffenen Programm, welches
die temporäre Datei anlegt, ab.
Typ der Verwundbarkeit
/tmp
race condition
Gefahrenpotential
mittel bis hoch
(Hinweise zur
Einstufung
des Gefahrenpotentials.)
Beschreibung
Die Ada-Sprachnorm schreibt im Rahmen der Standardbibliothek eine
Möglichkeit vor, temporäre Dateien zu erstellen. Die
GNAT-Implementierung führt die Prüfung, ob eine Datei mit dem
erzeugten Namen für die temporäre Datei schon existiert, und das
Anlegen der Datei nicht in einer einzigen atomaren Operation
durch. Dadurch werden auf vielen Systemen die üblichen Symlink-Angriffe
möglich.
Gegenmaßnahmen
- Einspielen eines Patches. Dieser
Patch setzt voraus, daß das System über eine Implementierung
von
mkstemp()
verfügt.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die Universität
Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel
darf ausschließlich in unveränderter Form und nur zusammen mit diesem
Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine
Veröffentlichung unter diesen Bedingungen an anderer Stelle ist
ausdrücklich gestattet.
Copyright © 2019 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=701