Манипуляция с файлами после chroot() без chdir("/")

Связанные с путем уязвимости для файла, которым управляют после вызова chroot

Описание

Манипуляция с файлами после chroot() без chdir("/") обнаруживает доступ к файловой системе за пределами тюрьмы, созданной chroot. Путем вызова chroot вы создаете тюрьму файловой системы, которая ограничивает доступ к определенной подсистеме файла. Однако эта тюрьма неэффективна, если вы не вызываете chdir("/").

Риск

Если вы не вызываете chdir("/") после создания тюрьмы chroot, функции манипуляции с файлами, который берет путь, когда аргумент может получить доступ к файлам за пределами тюрьмы. Атакующий может все еще управлять файлами вне подсистемы, которую вы задали, делая chroot тюрьму неэффективной.

Фиксация

После вызова chroot вызовите chdir("/"), чтобы сделать вашу тюрьму chroot более безопасной.

Примеры

развернуть все

#include <unistd.h>
#include <stdio.h>

const char root_path[] = "/var/ftproot";
const char log_path[] = "file.log";
FILE* chrootmisuse() {
    FILE* res;
    chroot(root_path);
    chdir("base"); 
    res = fopen(log_path, "r"); 
    return res;
}

Этот пример использует chroot, чтобы создать chroot-тюрьму. Однако, чтобы использовать тюрьму chroot надежно, необходимо вызвать chdir("\") позже. Этот пример вызывает chdir("base"), который не эквивалентен. Средство поиска ошибки также отмечает fopen, потому что fopen открывает файл в уязвимом chroot - тюрьма.

Исправление — вызывает chdir("/")

Перед вводными файлами вызовите chdir("/").

#include <unistd.h>
#include <stdio.h>

const char root_path[] = "/var/ftproot";
const char log_path[] = "file.log";
FILE* chrootmisuse() {
    FILE* res;
    chroot(root_path);
    chdir("/");    
    res = fopen(log_path, "r");
    return res;
}

Информация о результате

Группа: безопасность
Язык: C | C++
Значение по умолчанию: 'off'
Синтаксис командной строки: CHROOT_MISUSE
Влияние: носитель
ID CWE: 243, 922

Введенный в R2015b