/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to debian/mandos.postinst

  • Committer: Teddy Hogeborn
  • Date: 2014-06-08 03:10:08 UTC
  • Revision ID: teddy@recompile.se-20140608031008-mc9bd7b024a3q0y0
Address a very theoretical possible security issue in mandos-client.

If there were to run some sort of "cleaner" process for /run/tmp (or
/tmp), and mandos-client were to run for long enough for that cleaner
process to remove the temporary directory for GPGME, there was a
possibility that another unprivileged process could trick the (also
unprivileged) mandos-client process to remove other files or symlinks
which the unprivileged mandos-client process was allowed to remove.
This is not currently known to have been exploitable, since there are
no known initramfs environments running such cleaner processes.

* plugins.d/mandos-client.c (main): Use O_NOFOLLOW when opening
                                    tempdir for cleaning.

Show diffs side-by-side

added added

removed removed

Lines of Context:
 
1
#!/bin/sh
 
2
# This script can be called in the following ways:
 
3
#
 
4
# After the package was installed:
 
5
#       <postinst> configure <old-version>
 
6
#
 
7
#
 
8
# If prerm fails during upgrade or fails on failed upgrade:
 
9
#       <old-postinst> abort-upgrade <new-version>
 
10
#
 
11
# If prerm fails during deconfiguration of a package:
 
12
#       <postinst> abort-deconfigure in-favour <new-package> <version>
 
13
#                  removing <old-package> <version>
 
14
#
 
15
# If prerm fails during replacement due to conflict:
 
16
#       <postinst> abort-remove in-favour <new-package> <version>
 
17
 
 
18
set -e
 
19
 
 
20
case "$1" in
 
21
    configure)
 
22
        # Rename old "mandos" user and group
 
23
        if dpkg --compare-versions "$2" lt "1.0.3-1"; then
 
24
            case "`getent passwd mandos`" in
 
25
                *:Mandos\ password\ system,,,:/nonexistent:/bin/false)
 
26
                    usermod --login _mandos mandos
 
27
                    groupmod --new-name _mandos mandos
 
28
                    ;;
 
29
            esac
 
30
        fi
 
31
        # Create new user and group
 
32
        if ! getent passwd _mandos >/dev/null; then
 
33
            adduser --system --force-badname --quiet \
 
34
                --home /nonexistent --no-create-home --group \
 
35
                --disabled-password --gecos "Mandos password system" \
 
36
                _mandos
 
37
        fi
 
38
        chown _mandos:_mandos /var/lib/mandos
 
39
        ;;
 
40
    
 
41
    abort-upgrade|abort-deconfigure|abort-remove)
 
42
        ;;
 
43
    
 
44
    *)
 
45
        echo "$0 called with unknown argument '$1'" 1>&2
 
46
        exit 1
 
47
        ;;
 
48
esac
 
49
 
 
50
# Avahi version 0.6.31-2 and older provides "avahi" (instead of
 
51
# "avahi-daemon") in its /etc/init.d script header.  To make
 
52
# insserv(8) happy, we edit our /etc/init.d script header to contain
 
53
# the correct string before the code added by dh_installinit calls
 
54
# update.rc-d, which calls insserv.
 
55
avahi_version="`dpkg-query --showformat='${Version}' --show avahi-daemon`"
 
56
if dpkg --compare-versions "$avahi_version" le 0.6.31-2; then
 
57
    sed --in-place --expression='/^### BEGIN INIT INFO$/,/^### END INIT INFO$/s/^\(# Required-\(Stop\|Start\):.*avahi\)-daemon\>/\1/g' /etc/init.d/mandos
 
58
fi
 
59
 
 
60
#DEBHELPER#
 
61
 
 
62
exit 0