access()有什么问题?
可能重复:access()有什么问题?,c,linux,system-calls,C,Linux,System Calls,可能重复: 我引用手册页访问(2): 警告:使用访问()检查用户是否被授权,例如,在实际打开文件之前,使用打开(2)会创建一个安全漏洞,因为用户可能会利用检查和打开文件之间的短时间间隔来操纵文件因此,应避免使用此系统调用。 这意味着什么,在什么情况下会引起关注?这是一个典型的竞争条件。这是一个安全问题,仅适用于设置用户ID和设置组ID应用程序。对于以用户身份运行的应用程序,没有威胁,因为操作系统无论如何都会拒绝所讨论的操作 考虑这种情况:您有一个UNIX程序通过set-user-id以root
我引用手册页访问(2): 警告:使用访问()检查用户是否被授权,例如,在实际打开文件之前,使用打开(2)会创建一个安全漏洞,因为用户可能会利用检查和打开文件之间的短时间间隔来操纵文件因此,应避免使用此系统调用。
这意味着什么,在什么情况下会引起关注?这是一个典型的竞争条件。这是一个安全问题,仅适用于设置用户ID和设置组ID应用程序。对于以用户身份运行的应用程序,没有威胁,因为操作系统无论如何都会拒绝所讨论的操作 考虑这种情况:您有一个UNIX程序通过set-user-id以
root
身份运行。该程序使用access
检查另一个用户的文件权限,然后以root
身份运行该文件,但前提是权限检查成功。假设程序名为securerun
,您可以按如下方式运行它:
securerun myfile
攻击者可以使用以下算法使利用此安全漏洞的程序运行:
- 编写一个用户具有执行权限的文件
xyz
- 启动两个线程,
和A
B
- 线程
等待几毫秒,然后执行A
以将cp norunning xyz
替换为攻击者想要运行但没有运行权限的文件xyz
- 线程
调用B
securerun xyz
如果攻击者幸运地掌握了时间,您的
securerun
将检查旧xyz
上的执行权限,但它将运行新的xyz
,这是黑客不应该运行的norunning
的副本。由于在检查和执行之间有一个很短的时间窗口,如果攻击者在一个循环中多次尝试他的策略,那么他一定会在某个时候运气好。典型错误代码:
- 使用
检查是否在以提升权限运行的程序中代表用户读取文件access
- 这里的间隙很短
- 打开文件
ln -f secret_file.txt non_secret_file.txt
然后,
open
将打开机密文件进行读取,即使在执行检查时链接已就位,access
检查失败。在什么情况下会引起关注?在打开(2)
打开文件之前,不要使用它来检查用户读/写文件的权限。。。只需直接打开(2)
文件。@Conrad:从访问
手册页,“检查是用进程的真实UID和GID完成的,而不是像实际尝试操作时那样用有效ID。这是为了让设置用户ID的程序轻松确定调用用户的权限”。因此,如果您只是打开(2)
,那么您将打开提升的setuid可以访问的文件,但用户不能。问题是,access
实际上只适合通知用户是否可以访问该文件,而希望避免错误使用提升权限的人却错误地使用了该文件。换句话说,手册页中的注释应该是:,“这是为了允许设置用户ID程序在其期望值超过access
所提供的值时轻松创建可利用的漏洞”——)@SteveJessop,噢,谢谢。我错过了这一区别。不过:只需使用open(2)
。并酌情放弃您的特权…=)