Симлинковая гонка - Symlink race

А гонка символических ссылок это своего рода уязвимость безопасности программного обеспечения что является результатом создания программы файлы небезопасным образом.[1] Злоумышленник может создать символическая ссылка в файл, недоступный им иным образом. Когда привилегированный Программа создает файл с тем же именем, что и символическая ссылка, вместо этого она фактически создает связанный файл, возможно, вставляя контент, желаемый злоумышленником (см. пример ниже) или даже предоставленный злоумышленником (в качестве входных данных для программы). ).

Это называется "раса "потому что в типичном проявлении программа проверяет, существует ли уже файл с таким именем; если он не существует, программа затем создает файл. Злоумышленник должен создать ссылку в интервале между проверкой и тем, когда файл создано.

Гонка символических ссылок может произойти с антивирусными продуктами, которые решают, что они помещают в карантин или удаляют подозрительный файл, а затем делают это. В промежутке между принятием решения и действием вредоносное ПО может заменить подозрительный файл системным или AV-файлом, который вредоносное ПО хочет удалить.[2]

Пример

В этом наивном примере Unix программа фу является Setuid. Его функция - получить информацию для учетные записи указывается пользователем. Для «эффективности» запрошенные учетные записи сортируются во временный файл (/ tmp / foo естественно), прежде чем делать запросы.

Каталог / tmp доступен для записи во всем мире. Злоумышленник Мэллори создает символическую ссылку на файл /root/.rhosts названный / tmp / foo. Затем Мэллори вызывает фу с Пользователь как запрошенный аккаунт. Программа создает (временный) файл / tmp / foo (действительно создающий /root/.rhosts) и помещает информацию о запрошенной учетной записи (например, пользовательский пароль) в этом. Он удаляет временный файл (просто удаляя символическую ссылку).

Теперь /root/.rhosts содержит информацию о пароле, которая (если она даже в правильном формате) является заклинанием, необходимым, чтобы позволить любому использовать rlogin войти в компьютер как суперпользователь.

Также в некоторых Unix-системах есть специальный флаг O_NOFOLLOW за открытый (2) чтобы предотвратить открытие файла через символическую ссылку (висящую или нет). Это стало стандартом в POSIX.1-2008.

Обходной путь

В POSIX Стандартная библиотека C функция mkstemp можно использовать для безопасного создания временных файлов. Для сценариев оболочки системная утилита mktemp (1) делает то же самое.

Рекомендации

  1. ^ «CAPEC-27: Использование условий гонки с помощью символических ссылок». CAPEC.
  2. ^ https://www.zdnet.com/article/symlink-race-bugs-discovered-in-28-antivirus-products/