[GNU/GNAT] Unsichere temporäre Dateien
(2002-02-12 17:50:04+00)
Quelle:
http://cert.uni-stuttgart.de/advisories/gnat_temp_files.phpDie Laufzeitbibliothek des GNU-Ada-Compilers GNAT legt temporäre Dateien in einer Weise an, die zu race conditions führen kann.
Betroffene Systeme
- UNIX-ähnliche Systeme, die Programme verwenden, die mit GNAT 3.12p bis 3.14p (einschließlich) übersetzt wurden, und die temporäre Dateien über den Standard-Ada-Mechanismus anlegen.
Einfallstor
lokaler Account
Auswirkung
Die Auswirkungen hängen stark vom betroffenen Programm, welches die temporäre Datei anlegt, ab.
Typ der Verwundbarkeit/tmp race condition
Gefahrenpotential
mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Die Ada-Sprachnorm schreibt im Rahmen der Standardbibliothek eine Möglichkeit vor, temporäre Dateien zu erstellen. Die GNAT-Implementierung führt die Prüfung, ob eine Datei mit dem erzeugten Namen für die temporäre Datei schon existiert, und das Anlegen der Datei nicht in einer einzigen atomaren Operation durch. Dadurch werden auf vielen Systemen die üblichen Symlink-Angriffe möglich.
Gegenmaßnahmen
- Einspielen eines Patches. Dieser Patch setzt voraus, daß das System über eine Implementierung von
mkstemp()verfügt.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=701