The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Большинство антивирусов подвержены атаке через символические..."
Версия для распечатки Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Исходное сообщение [ Отслеживать ]

. "Большинство антивирусов оказались подвержены атаке через сим..." +/
Сообщение от Ordu (ok), 22-Апр-20, 02:07 
> 1) вместо chdir + unlink можно сделать unlinkat

То есть передавать ядру абсолютный путь удаляемого файла, и если между av_check и unlink/unlinkat злоумышленник заменит директорию на симлинк, то мы удалим /etc/passwd.

> 2) см. 1. Чтобы отмонтировать, по-моему, достаточно закрыть за собой дескриптор директории

Нет, ежели у процесса текущая директория на разделе, то его не отмонтировать. Приходится выяснять что за процесс и прибивать его.

> 3) гонка внутри директории не убирается, но хотя бы есть гарантия, что
> файл удаляется из нужной директории, а не из /etc

Да, я согласен. Но всё равно интересно. По-моему без API позволяющего лочить директории или пути на уровне ядра, не получится писать без race condition.

Ответить | Правка | Наверх | Cообщить модератору

Оглавление
Большинство антивирусов подвержены атаке через символические..., opennews, 21-Апр-20, 12:49  [смотреть все]
Форумы | Темы | Пред. тема | След. тема



Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру