2007年8月29日

[selinux-users:01990] [SELinux開発ウォッチ]SELinuxはプログラムの不備をも暴く

Working on SELinux I get exposed to lots of daemon applications doing
evil things. :^(

主要開発者のblogから、

/tmp ディレクトリにデーモンがファイルを生成消去するのはよくないことに気づいた。
これは、そのアプリケーション固有のディレクトリ又は、もっと安全なディレクトリでやるべきことである。
ユーザとコミュニケートするためだけに、ソケットファイルをそこに投げるのもよくないことだ。

root権限で/tmpディレクトリにファイルを生成消去するのは、攻撃者の思う壺である。
/tmp vulnerabilities(脆弱性)でgoogle検索をかけてみよ。980,000件もヒットするぞ。

/tmpを使われたんでは、正しいラベル付けもできない。本当に頭が痛い問題だ。

デーモンは、/tmpを使うべきではない。
ユーザとのコミュニケーションには、/var/run/DAEMONを使いなさい。
リブートしたときに消えてほしくなければ、/var/cache/DAEMONを使いなさい。


Dan Walsh氏(藤原抄訳)
August 21, 2007 03:28 PM

投稿者 xml-rpc : 2007年8月29日 09:56
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/63502
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。