まつもと ゆきひろです

In message "Re: [ruby-dev:26102] Re: FileUtils.rm_rf security problem"
    on Tue, 26 Apr 2005 14:54:27 +0900, Tanaka Akira <akr / m17n.org> writes:

|> 私の勘違いでなければ、上記の手順には攻撃者がトップレベル(aと
|> かbとか)を置き換える権限が必要なので危険はあまり感じられませ
|> ん。内部でchdirを使っている'rm -r'と動作は異なりますが、それ
|> はそれで受け入れられるような気がします。
|
|トップレベルでなくても途中をすり替えられれば攻撃可能だと思います。

あー、そうなのか。

|また、わたしの書いた
|
|In article <87sm1epakr.fsf / m17n.org>,
|  Tanaka Akira <akr / m17n.org> writes:
|
|> 例えば、仮に root 権限で /tmp を FileUtils.rm_rf("/tmp/a") などと掃除
|> していて、すりかわるのが /tmp/b じゃなくて /etc だったら、などという状
|> 況を考えると、なかなか危ないんじゃないかと思います。
|
|というストーリーでは攻撃者 (root ではない普通の local user) はトップレ
|ベルの /tmp/a をすり替える権限を有していますが、このストーリーは現実的
|ではないと感じますか?

うーん、問題になりえそうな気がしてきました。とすると、どのよ
うな対応をするべきなんでしょうねえ。やっぱり全面的にchdirを
使うしかない?