/mandos/release

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/release

« back to all changes in this revision

Viewing changes to plugins.d/askpass-fifo.c

  • Committer: Teddy Hogeborn
  • Date: 2014-06-08 03:10:08 UTC
  • mto: (237.7.272 trunk)
  • mto: This revision was merged to the branch mainline in revision 317.
  • Revision ID: teddy@recompile.se-20140608031008-mc9bd7b024a3q0y0
Address a very theoretical possible security issue in mandos-client.

If there were to run some sort of "cleaner" process for /run/tmp (or
/tmp), and mandos-client were to run for long enough for that cleaner
process to remove the temporary directory for GPGME, there was a
possibility that another unprivileged process could trick the (also
unprivileged) mandos-client process to remove other files or symlinks
which the unprivileged mandos-client process was allowed to remove.
This is not currently known to have been exploitable, since there are
no known initramfs environments running such cleaner processes.

* plugins.d/mandos-client.c (main): Use O_NOFOLLOW when opening
                                    tempdir for cleaning.

Show diffs side-by-side

added added

removed removed

Lines of Context:
2
2
/*
3
3
 * Askpass-FIFO - Read a password from a FIFO and output it
4
4
 * 
5
 
 * Copyright © 2008-2018 Teddy Hogeborn
6
 
 * Copyright © 2008-2018 Björn Påhlsson
7
 
 * 
8
 
 * This file is part of Mandos.
9
 
 * 
10
 
 * Mandos is free software: you can redistribute it and/or modify it
11
 
 * under the terms of the GNU General Public License as published by
12
 
 * the Free Software Foundation, either version 3 of the License, or
13
 
 * (at your option) any later version.
14
 
 * 
15
 
 * Mandos is distributed in the hope that it will be useful, but
 
5
 * Copyright © 2008-2014 Teddy Hogeborn
 
6
 * Copyright © 2008-2014 Björn Påhlsson
 
7
 * 
 
8
 * This program is free software: you can redistribute it and/or
 
9
 * modify it under the terms of the GNU General Public License as
 
10
 * published by the Free Software Foundation, either version 3 of the
 
11
 * License, or (at your option) any later version.
 
12
 * 
 
13
 * This program is distributed in the hope that it will be useful, but
16
14
 * WITHOUT ANY WARRANTY; without even the implied warranty of
17
15
 * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the GNU
18
16
 * General Public License for more details.
19
17
 * 
20
18
 * You should have received a copy of the GNU General Public License
21
 
 * along with Mandos.  If not, see <http://www.gnu.org/licenses/>.
 
19
 * along with this program.  If not, see
 
20
 * <http://www.gnu.org/licenses/>.
22
21
 * 
23
22
 * Contact the authors at <mandos@recompile.se>.
24
23
 */
25
24
 
26
25
#define _GNU_SOURCE             /* TEMP_FAILURE_RETRY() */
27
 
#include <sys/types.h>          /* uid_t, gid_t, ssize_t */
 
26
#include <sys/types.h>          /* ssize_t */
28
27
#include <sys/stat.h>           /* mkfifo(), S_IRUSR, S_IWUSR */
29
28
#include <iso646.h>             /* and */
30
29
#include <errno.h>              /* errno, EACCES, ENOTDIR, ELOOP,
45
44
#include <string.h>             /* strerror() */
46
45
#include <stdarg.h>             /* va_list, va_start(), ... */
47
46
 
48
 
uid_t uid = 65534;
49
 
gid_t gid = 65534;
50
47
 
51
48
/* Function to use when printing errors */
52
49
__attribute__((format (gnu_printf, 3, 4)))
77
74
  int ret = 0;
78
75
  ssize_t sret;
79
76
  
80
 
  uid = getuid();
81
 
  gid = getgid();
82
 
  
83
77
  /* Create FIFO */
84
78
  const char passfifo[] = "/lib/cryptsetup/passfifo";
85
79
  ret = mkfifo(passfifo, S_IRUSR | S_IWUSR);
125
119
    }
126
120
  }
127
121
  
128
 
  /* Lower group privileges  */
129
 
  if(setgid(gid) == -1){
130
 
    error_plus(0, errno, "setgid");
131
 
  }
132
 
  
133
 
  /* Lower user privileges */
134
 
  if(setuid(uid) == -1){
135
 
    error_plus(0, errno, "setuid");
136
 
  }
137
 
  
138
122
  /* Read from FIFO */
139
123
  char *buf = NULL;
140
124
  size_t buf_len = 0;