2006年4月27日

[SpamAssassin-JP 222] Re:ルールファイルのセキュリティについて

** SpamAssassin メーリングリスト **
** 注意:このメールへの返信は SpamAssassin-jp へ行きます **
さとうです。

 遅くなりましたが、確認してみました。
 結論から言うと、問題ありませんでした。お騒がせしてすみませんでした _o_

On Mon, 24 Apr 2006 15:33:24 +0900

SATOH Kiyoshi wrote:
Subject: [SpamAssassin-JP 212] Re: ルールファイルのセキュリティについて

> 環境で ~/.spamassassin/user_prefs にルールを書いて動かしてみたものの、ど
> うも local.cf ではいろいろな設定が効くのに、user_prefs では効いてきませ
> ん。

 これは「allow_user_rules 1」(ユーザルールを使用可にする)にしていなかっ
たためでした。

> から user_prefs にルールを書いて使われてる方で、spamd を root で動かして、
> spamc 経由で利用されてる方いらしたら、一度下記のようなテストルールを追加

 spamd は root 権限で動かしていますが、ユーザルールを適用する際には、そ
のユーザの権限になって(setuidして)から、ルールが適用されるようです。

header SECURITY_TEST subject =~ /security test/,open(TMP,'>/etc/hoge')

これを、local.cf に書けば /etc/hoge が作られますが、ユーザのuser_prefsに
書いても、実行権限がそのユーザのため、/etc/hoge は作られず、その条件マッ
チ自体に失敗したことになります。
#okiさんが追試してマッチ自体しなかったのはそのためだと思います。

なので下記のように自分の所にファイルを書こうとすると、これは成功します。

header SECURITY_TEST subject =~ /security test/,open(TMP,'>/home/USER/hoge')

 というわけで、自分の書き込み可能なところにしか、いたずらは出来ないので、
問題ありませんでした。

#TLECルールの中に、こんな感じでこっそりopen(TMP,'>/etc/passwd')とか入れ
#といたらものすごい影響が出そうですが :)


--
佐藤 潔 (SATOH Kiyoshi) http://d.hatena.ne.jp/stealthinu/

--
SpamAssassin メーリングリスト
http://mm.apache.jp/mailman/listinfo/spamassassin-jp

投稿者 xml-rpc : 2006年4月27日 13:09
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/39854
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。