[セキュリティ] おそるべし破壊者、その名はtmpwatch
12/25/2002 20:24 (投稿者：たかの)

tmpwatchは、仮ディレクトリの古いファイルを自動的に削除してくれる便利なツールだったのだけど、多数のセキュリティホールが発見されたそうだ。 記事を読んで絶句。「不要なファイルの削除」というのは、意外に難しい問題であるのだと痛感するなぁ。 ウチでは慌てて全部止めました。以後は手で消すことを原則とする予定。

メールでコメント

• Re: おそるべし破壊者、その名はtmpwatch
  12/26/2002 11:30 (投稿者：yasusii)
  

  「当該ユーティリティがファイルを確認して削除する際、攻撃者はファイルをリンクと置換できるため、tmpwatchによる任意のシステムファイル削除が発生」って具体的にどういうことを指すんだろ?わかんないな。それに「一時ファイルを作成するシステムデーモンでも別問題が発見」って、tmpwatchはまったく関係ないのでわ?

  
  
• アイ・ディフェンスの記事は
  12/27/2002 13:44 (投稿者：たかの)
  

  ちゃんと詳細を載せてくれないと、対処しようもないですよね。カネを払った人にしか教えないということかしら。 SecurityFocusの記事も似たような感じです。 ただ、可能性としては十分あるだろうと思ったので、私はバッサリ消しました。 たとえばファイルのlstatを取ってから、実際にファイルを消すまでのラグが微少ながら存在するでしょうから。 高負荷状態をつくり出すことが可能であれば、割り込むのはそんなに難しくないはずです。以前、sperlでroot権限を奪取するexploitが出たときも似たような手法を使っていたと思います。 ] tmpwatchはまったく関係ないのでわ? いや、それは半分はそうなんですが、半分は違います。つまり、tmpwatchみたいなツールの存在を想定していないアプリケーションって、かなり多いんですよ。管理者設定も含めて。 FCGIやPCGIのソケット回収されちゃったことも何度かありました（これは設定者である私のポカでもあるんですが）。 で「古いファイルを自動的に消してくれる／消してしまう」というツールそのものについて、固執するほどの必要性を感じなくなったのでrpm -eしてしまいました。