recuperar archivo temporal eliminado
Alvaro Herrera
alvherre en alvh.no-ip.org
Mie Jun 11 08:10:42 CLT 2008
Horst H. von Brand escribió:
> Por lo que entendi del mensaje mencionado mas abajo, esto es en programas
> que no tienen cuidado al manipular archivos temporales unicamente... y
> /esos/ igual tienen problemas serios. Uso correcto de mkstemp(3) no es
> vulnerable de ninguna forma.
The exposure is a result of a common misconception, promoted by almost
all secure programming tutorials and manpages, that /tmp files created
with mkstemp(), granted that umask() settings were proper, are
safe against hijacking and common races. (...) but since
many operating systems feature 'tmpwatch'-alike solutions, the only
thing that can and should be considered safe in /tmp is the descriptor
returned by mkstemp() - the filename should not be relied upon.
En un script en shell es casi totalmente imposible usar un archivo via
el file descriptor -- lo que siempre se hace es usar el nombre del
archivo. Por lo tanto cualquier programa en shell sería vulnerable.
Pretender que todos los programas de mantenimiento de un sistema estén
escritos en C es poco realista.
--
Alvaro Herrera http://www.amazon.com/gp/registry/CTMLCN8V17R4
"In fact, the basic problem with Perl 5's subroutines is that they're not
crufty enough, so the cruft leaks out into user-defined code instead, by
the Conservation of Cruft Principle." (Larry Wall, Apocalypse 6)
Más información sobre la lista de distribución Linux