Вашу программу можно заподозрить в грехе, если:

□ она обращается к файлам, имена которых задаются извне;

□ она обращается к файлам исключительно по именам, а не по описателям или дескрипторам;

□ она открывает временные файлы в общедоступных каталогах, причем имя временного файла можно предсказать.

Простейший способ обнаружить этот грех во время анализа кода – найти все функции ввода/вывода, в особенности те, где используются имена файлов. Выявив такую функцию, задайте себе следующие вопросы:

□ Откуда поступает имя файла? Можно ли ему доверять?

□ Используется ли это имя файла более одного раза для проверки существования и манипулирования файлом?

□ Находится ли файл в той части файловой системы, к которой потенциально может иметь доступ противник?

□ Может ли противник задать имя так, чтобы оно указывало на файл, к которому он не должен иметь доступа?

Вот перечень типичных функций и операторов ввода/вывода, которые следует искать в программе.

Использование этих функций не обязательно приводит к каким–либо проблемам. Например, в современных системах Unix самые популярные функции создания временных файлов атакам не подвержены. Но если ваша программа работает в слегка устаревшей системе, то неприятности возможны.

Самый простой способ найти ошибки типа «это не файл» и «проход по каталогам» – подать на вход приложения случайные имена файлов и посмотреть, как оно будет реагировать. В частности, попробуйте такие имена:

□ AUX

□ CON

□ LPT1

□ PRN.TXT

□..\..\AUX

□ /dev/null

□ /dev/random

□ /dev/urandom

□ ../../dev/random

□ \\servername\c$

□ \\servername\ipc$

Проверьте, не зависнет ли приложение, не завершится ли оно аварийно. Если это случится, значит, вы нашли место, где программа ожидает только «честного» имени файла! Посмотрите также, можете ли вы обратиться к файлам, к которым не должны иметь доступа, например к файлу /etc/passwd в Unix.

Как и для многих других грехов, описанных в этой книге, наиболее продуктивный способ выявления ошибок – это качественный анализ кода с точки зрения безопасности.

Следующие примеры взяты из базы данных CVE .

CAN–2005–0004

Сценарий mysqlaccess, входящий во многие версии MySQL, позволяет локальному пользователю затереть произвольный файл или прочитать содержимое временных файлов путем атаки с организацией символической ссылки на временный файл. Частично в ошибке повинна функция POSIX::tmpnam, которая возвращает предсказуемое имя временного файла! Если противник сможет создать символическую ссылку на конфиденциальный файл с таким же именем, то во время запуска сценария привилегированным пользователем этот файл будет затерт.

На страницеимеется заплата, которая устраняет ошибку за счет использования описателей вместо имен файлов и модуля File::Temp вместо POSIX::tmpnam.

CAN–2005–0799

Это еще одна ошибка в MySQL, на этот раз затрагивающая только пользователей Windows. Уязвимость связана с неправильной обработкой зарезервированных еще со времен MS–DOS имен устройств. Если указать специально подобранное имя базы данных, то можно вызвать крах сервера. Риск невелик, но привилегированный пользователь может «уронить» сервер, введя такую команду:

В результате открывается порт принтера по умолчанию, а не реальный файл.

CAN–2004–0452 и CAN–2004–0448

Обе ошибки связаны с гонкой, которая возникает при работе функции File::Path::rmtree в Perl. Для эксплуатации той и другой следует подменить существующий каталог в удаляемом дереве символической ссылкой на произвольный файл. Для устранения ошибки понадобилось значительно переработать – практически полностью переписать – функцию rmtree. Заплата имеется на странице http://ftp.debian.Org/debian/pool/main/p/perl/perl_5.8.4–8.diff.gz.

CVE–2004–0115 Microsoft Virtual PC для Macintosh

Процесс VirtualPC_Services, являющийся частью продукта Microsoft Virtual PC для версий от Мае 6.0 до Мае 6.1, позволяет локальному противнику усекать и перезаписывать произвольные файлы и потенциально открывает возможность выполнить произвольный код за счет атаки путем организации символической ссылки на временный файл /tmp/VPCServices_Log. Программа без каких бы то ни было проверок открывает файл с таким именем, даже если он является символической ссылкой. Если ссылка ведет на другой файл, он переписывается. Представьте, как будет смешно, если этот «другой файл» есть /mach_kernel!