A.8 Race Condition
Eine Race Condition liegt vor, wenn sich mehrere Prozesse um dieselben Daten mit nicht-atomaren Funktionen streiten und das ganze auch noch von der Abarbeitung der Reihenfolge abhängt, in der die einzelnen Prozesse Ihre Arbeit durchführen. Das Problem hatten Sie schon im Kapitel über Prozesse gehabt, als zwei Prozesse (Eltern- und Kindprozess) etwas auf dem Bildschirm ausgegeben haben und diese nicht aufeinander abgestimmt waren. So konnten Sie nie wissen, welcher der Prozesse zuerst eine Ausgabe macht. Diesbezüglich wissen Sie sich ja jetzt zu helfen.
Aber ganz so einfach ist dies häufig nicht. Gerne wird nämlich zur Vermeidung von Race Conditions ein anderes Schlupfloch aufgemacht. Sehen Sie sich den folgenden Codeabschnitt an:
if(access("/tmp/myfile", W_OK) == 0) {
if((fd = open("/tmp/myfile", O_WRONLY)) < 0) {
perror("Konnte Datei nicht öffnen");
exit(EXIT_FAILURE);
}
else {
/* Etwas in die Datei myfile schreiben */
}
Auf dem ersten Blick könnte man meinen, dem Programmierer gratulieren zu müssen, da er anscheinend an alles gedacht hat – hier sollte das Problem des Race Conditions nicht mehr auftreten. Der Programmierer überprüft erst, ob er Schreibrechte auf die Datei hat, bevor er diese mit open() öffnet. Nur gibt es hierbei eine kleine Lücke. Die beiden Funktionen access() und open() sind keine atomaren Funktionen, was bedeutet, dass zwischen der Ausführung von access() und der Ausführung von open() ein Zeitpuffer liegt. In diesem kleinen, aber vorhandenen Zeitraum bietet es sich geradezu an, die Datei myfile zu löschen und durch einen symbolischen Link eine recht sicherheitskritische Datei zu ersetzten. Hierfür sind keinerlei tiefgreifende Kenntnisse nötig, der Angreifer muss hier nur ein wenig Quellcode lesen können und einen Link setzen.
Am einfachsten wäre es, wenn der Programmierer nur open("myfile", O_WRONLY) macht und hinterher den Fehler überprüft. Zwar ist auch das nicht so atomar, wie man es gerne hätte, jedoch würde open() fehlschlagen, während access() – hinterher – wahr zurückgibt, was ja schon stutzig machen sollte. Auf jeden Fall aber setzt open() errno und das reicht schon: strerror(errno): "Permission denied".
Hinweis Zugegeben, das Thema wurde hier nicht so behandelt, wie es angemessen wäre – aber auf der Buch-CD finden Sie zu diesem Thema einen sehr guten Artikel der Zeitschrift »hakin9« (http://www.haking.pl/de/index.php). Des Weiteren finden Sie noch Artikel des eben genannten Magazins zur unsicheren Bibliothek libproc und dem Stacküberlauf unter Linux.
|
|