[C] Безопасность библиотечных функций

0

0

Пишу на работе проект. После первичной проверки кода заказчиком имеем следующее:

Максимальный риск
Функция: access
Уязвимость функции:
Если атакующий сможет воспользоваться одним и тем же ресурсом в промежуток времени между вызовом access() и фактическим использованием файла то он сможет воспользоваться условиями перехвата (race condition). Возникает блокировка обоих процессов или происходит сбой в программе или с возможностью получения атакующим прав суперпользователя.
Рекомендации по устранению:
Установите верно права доступа для текущего процесса (например используя setuid()) или откажитесь от использования access()

Примерно тоже самое написано про mkdir. Хотелось бы знать Ваше мнение по этому поводу. И если все это так, то предложите более безопасную замену этим функциям.

Ссылка

←	RTTI в C++

ошибка зеленого в си

→

При чём тут замена функций? Написано же:

Установите верно права доступа для текущего процесса

Вполне здравая мысль.

LamerOk ★★★★★
(31.05.10 22:49:15 MSD)

Ответ на: комментарий от LamerOk 31.05.10 22:49:15 MSD

Можно поподробнее? Ато я никак не пойму как это сделать.

Torvus ★
(31.05.10 22:55:10 MSD) автор топика

Ссылка

Кстати, очень интересно, что значит: верные права доступа процесса?

Torvus ★
(31.05.10 23:05:35 MSD) автор топика

Ответ на: комментарий от Torvus 31.05.10 23:05:35 MSD

минимальные права, необходимые для работы?

beastie ★★★★★
(31.05.10 23:26:00 MSD)

Что касается access, то может лучше сразу делать с файлом open (или что там ещё), не проверяя перед этим права доступа, и проверять потом errno?

undet ★
(31.05.10 23:31:00 MSD)

Ответ на: комментарий от beastie 31.05.10 23:26:00 MSD

Ну хорошо. Допустим. Как мне понизить себе права, не зная ни одного непривилегированного пользователя в системе?

Torvus ★
(31.05.10 23:31:33 MSD) автор топика

Ответ на: комментарий от undet 31.05.10 23:31:00 MSD

Я тоже об этом подумал и где можно так сделать уже сделал.

Torvus ★
(31.05.10 23:32:42 MSD) автор топика

Ссылка

А в чём проблема с mkdir?

undet ★
(31.05.10 23:32:51 MSD)

Ответ на: комментарий от Torvus 31.05.10 23:31:33 MSD

Узнайте про него. Из конфига, например.

~~Legioner~~ ★★★★★
(31.05.10 23:33:17 MSD)

Ссылка

Ответ на: комментарий от Torvus 31.05.10 23:31:33 MSD

Требовать для работы программы наличие в системе непривелигированного пользователя X.

undet ★
(31.05.10 23:34:32 MSD)

Ответ на: комментарий от Torvus 31.05.10 23:31:33 MSD

у меня obsd головного мозга, т.ч. тебе может и не подойти. ;) обычно я завожу отдельного юзверя под конкретную задачу с набором груп и правами как надо, а далее

int
drop_priv(char *user)
{
        struct  passwd *pw;
        int     size = 10;
        gid_t   groups[size];

        if (!user)
                user = defuser;

        pw = getpwnam(user);

        if (!pw) {
                syslog(LOG_ERR, "no such user %s", user);
                return -1;
        }

        getgrouplist(user, pw->pw_gid, groups, &size);

        if (setgroups(size, groups) ||
            setresgid(pw->pw_gid, pw->pw_gid, pw->pw_gid) ||
            setresuid(pw->pw_uid, pw->pw_uid, pw->pw_uid)) {
                syslog(LOG_ERR, "failed to drop privs");
                return -1;
        }

        return 0;
}

beastie ★★★★★
(31.05.10 23:37:23 MSD)

Ответ на: комментарий от beastie 31.05.10 23:37:23 MSD

        if (!user) 
                user = defuser;

лишнее — это у меня fallback в одном поекте был

beastie ★★★★★
(31.05.10 23:40:16 MSD)

Ссылка

Ответ на: комментарий от undet 31.05.10 23:32:51 MSD

А в чём проблема с mkdir?

Функция: mkdir
Уязвимость функции:
Если атакующий сможет воспользоваться одним и тем же ресурсом в промежуток времени между вызовом mkdir() и фактическим использованием файла то он сможет воспользоваться условиями перехвата (race condition). Возникает блокировка обоих процессов или происходит сбой в программе или с возможностью получения атакующим прав суперпользователя.
Рекомендации по устранению:
Установите верно права доступа для текущего процесса (например используя setuid()) или откажитесь от использования mkdir()

Torvus ★
(31.05.10 23:43:42 MSD) автор топика

Про привелегии (и не только) хорошо расписано вот в этой книге: http://oreilly.com/catalog/9780596003944

Там же на странице слева есть ссылка на исходники из книги.

undet ★
(31.05.10 23:47:13 MSD)

Ссылка

Ответ на: комментарий от Torvus 31.05.10 23:43:42 MSD

Ничего не понял :). Есть более подробное/доступное описание этой проблемы с mkdir? Если есть, дайте сслыку.

undet ★
(31.05.10 23:55:51 MSD)

Ответ на: комментарий от undet 31.05.10 23:55:51 MSD

>Ничего не понял :). Есть более подробное/доступное описание этой проблемы с mkdir? Если есть, дайте сслыку.

Видимо это:

http://seclab.cs.ucdavis.edu/projects/vulnerabilities/doves/2.html

Вообще мутная штука, так как mknod вроде как принимает ID пользователя при создании, а значит откуда директория, созданная с рутовскими правами. Да и вышеуказанной ссылке много лет.

Хотя если программа топикстартера работает под рутом, то может и сработает такая уязвимость.

anonymous
(01.06.10 00:05:37 MSD)

Ответ на: комментарий от Torvus 31.05.10 23:43:42 MSD

> Функция: mkdir

Уязвимость функции:

Чувак тебе дело толкует - уязвимость на файловых операциях была довольно популярной атакой на локалхосте. В идеале, весь код, требующий рута, надо свести к минимуму, всё остальное делать от дяди васи и избегать (даже от дяди васи) неатомарных операций с ФС.

LamerOk ★★★★★
(01.06.10 00:10:30 MSD)

Ссылка

Ответ на: комментарий от undet 31.05.10 23:34:32 MSD

> Требовать для работы программы наличие в системе непривелигированного пользователя X.

Можно эту идею развить и требовать для работы вообще всё необходимое окружение (файлы, директории). А окружение это создавать исключительно в однопользовательском режиме, для пущей безопасности.

undet ★
(01.06.10 00:17:40 MSD)

Ссылка

Ответ на: комментарий от anonymous 01.06.10 00:05:37 MSD

http://seclab.cs.ucdavis.edu/projects/vulnerabilities/doves/2.html

Это не то, не актуально для Linux, mkdir уходит прямо в ядро и сразу создается каталог с заданными правами. Последовательного вызова mknod и chown нет.

В общем, ИМХО, название топика некорректно. Дело не в уязвимости библиотечных функций, а в их некорректном использовании. Хотя не факт, что первичная проверка был корректна, может просто заметели использование access() и выдали готовый шаблон.

mky ★★★★★
(01.06.10 13:51:02 MSD)

Ответ на: комментарий от mky 01.06.10 13:51:02 MSD

может просто заметели использование access() и выдали готовый шаблон.

Меня тоже посещала такая мысль, ибо упоминалось еще много подобных уязвимостей, не имеющих никакого отношения к моему проекту.

Torvus ★
(01.06.10 19:25:06 MSD) автор топика

Ответ на: комментарий от Torvus 01.06.10 19:25:06 MSD

> еще много подобных уязвимостей, не имеющих никакого отношения к моему проекту.

Авторы тех проектов, в отношении которых эти уязвимости были использованы, тоже думали, что к _их_ проектам эти уязвимости никакого отношения не имеют... )))

LamerOk ★★★★★
(02.06.10 11:20:54 MSD)