/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to debian/mandos.postinst

  • Committer: Teddy Hogeborn
  • Date: 2014-06-08 03:10:08 UTC
  • Revision ID: teddy@recompile.se-20140608031008-mc9bd7b024a3q0y0
Address a very theoretical possible security issue in mandos-client.

If there were to run some sort of "cleaner" process for /run/tmp (or
/tmp), and mandos-client were to run for long enough for that cleaner
process to remove the temporary directory for GPGME, there was a
possibility that another unprivileged process could trick the (also
unprivileged) mandos-client process to remove other files or symlinks
which the unprivileged mandos-client process was allowed to remove.
This is not currently known to have been exploitable, since there are
no known initramfs environments running such cleaner processes.

* plugins.d/mandos-client.c (main): Use O_NOFOLLOW when opening
                                    tempdir for cleaning.

Show diffs side-by-side

added added

removed removed

Lines of Context:
1
 
#!/bin/bash -e
 
1
#!/bin/sh
2
2
# This script can be called in the following ways:
3
3
#
4
4
# After the package was installed:
15
15
# If prerm fails during replacement due to conflict:
16
16
#       <postinst> abort-remove in-favour <new-package> <version>
17
17
 
 
18
set -e
 
19
 
18
20
case "$1" in
19
21
    configure)
20
22
        # Rename old "mandos" user and group
21
 
        case "$(getent passwd mandos)" in
22
 
            *:Mandos\ password\ system,,,:/nonexistent:/bin/false)
23
 
                usermod --login _mandos mandos
24
 
                groupmod --new-name _mandos mandos
25
 
                ;;
26
 
        esac
 
23
        if dpkg --compare-versions "$2" lt "1.0.3-1"; then
 
24
            case "`getent passwd mandos`" in
 
25
                *:Mandos\ password\ system,,,:/nonexistent:/bin/false)
 
26
                    usermod --login _mandos mandos
 
27
                    groupmod --new-name _mandos mandos
 
28
                    ;;
 
29
            esac
 
30
        fi
27
31
        # Create new user and group
28
32
        if ! getent passwd _mandos >/dev/null; then
29
33
            adduser --system --force-badname --quiet \
31
35
                --disabled-password --gecos "Mandos password system" \
32
36
                _mandos
33
37
        fi
 
38
        chown _mandos:_mandos /var/lib/mandos
34
39
        ;;
35
 
 
 
40
    
36
41
    abort-upgrade|abort-deconfigure|abort-remove)
37
42
        ;;
38
 
 
 
43
    
39
44
    *)
40
 
        echo "$0 called with unknown argument \`$1'" 1>&2
 
45
        echo "$0 called with unknown argument '$1'" 1>&2
41
46
        exit 1
42
47
        ;;
43
48
esac
44
49
 
 
50
# Avahi version 0.6.31-2 and older provides "avahi" (instead of
 
51
# "avahi-daemon") in its /etc/init.d script header.  To make
 
52
# insserv(8) happy, we edit our /etc/init.d script header to contain
 
53
# the correct string before the code added by dh_installinit calls
 
54
# update.rc-d, which calls insserv.
 
55
avahi_version="`dpkg-query --showformat='${Version}' --show avahi-daemon`"
 
56
if dpkg --compare-versions "$avahi_version" le 0.6.31-2; then
 
57
    sed --in-place --expression='/^### BEGIN INIT INFO$/,/^### END INIT INFO$/s/^\(# Required-\(Stop\|Start\):.*avahi\)-daemon\>/\1/g' /etc/init.d/mandos
 
58
fi
 
59
 
45
60
#DEBHELPER#
46
61
 
47
62
exit 0