/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to initramfs-unpack

  • Committer: Teddy Hogeborn
  • Date: 2014-06-08 03:10:08 UTC
  • Revision ID: teddy@recompile.se-20140608031008-mc9bd7b024a3q0y0
Address a very theoretical possible security issue in mandos-client.

If there were to run some sort of "cleaner" process for /run/tmp (or
/tmp), and mandos-client were to run for long enough for that cleaner
process to remove the temporary directory for GPGME, there was a
possibility that another unprivileged process could trick the (also
unprivileged) mandos-client process to remove other files or symlinks
which the unprivileged mandos-client process was allowed to remove.
This is not currently known to have been exploitable, since there are
no known initramfs environments running such cleaner processes.

* plugins.d/mandos-client.c (main): Use O_NOFOLLOW when opening
                                    tempdir for cleaning.

Show diffs side-by-side

added added

removed removed

Lines of Context:
2
2
3
3
# Initramfs unpacker - unpacks initramfs images into /tmp
4
4
5
 
# Copyright © 2013-2019 Teddy Hogeborn
6
 
# Copyright © 2013-2019 Björn Påhlsson
 
5
# Copyright © 2013 Teddy Hogeborn
 
6
# Copyright © 2013 Björn Påhlsson
7
7
8
 
# This file is part of Mandos.
9
 
#
10
 
# Mandos is free software: you can redistribute it and/or modify it
11
 
# under the terms of the GNU General Public License as published by
 
8
# This program is free software: you can redistribute it and/or modify
 
9
# it under the terms of the GNU General Public License as published by
12
10
# the Free Software Foundation, either version 3 of the License, or
13
11
# (at your option) any later version.
14
12
#
15
 
#     Mandos is distributed in the hope that it will be useful,
 
13
#     This program is distributed in the hope that it will be useful,
16
14
#     but WITHOUT ANY WARRANTY; without even the implied warranty of
17
15
#     MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
18
16
#     GNU General Public License for more details.
19
 
#
 
17
20
18
# You should have received a copy of the GNU General Public License
21
 
# along with Mandos.  If not, see
 
19
# along with this program.  If not, see
22
20
# <http://www.gnu.org/licenses/>.
23
21
24
22
# Contact the authors at <mandos@recompile.se>.
43
41
    if $cpio --quiet --list --file="$imgfile" >/dev/null 2>&1; then
44
42
        # Number of bytes to skip to get to the compressed archive
45
43
        skip=$(($(LANG=C $cpio --io-size=1 --list --file="$imgfile" 2>&1 \
46
 
                      | sed --quiet \
47
 
                            --expression='s/^\([0-9]\+\) blocks$/\1/p')+8))
48
 
        if [ -x /usr/lib/dracut/skipcpio ]; then
49
 
            catimg="/usr/lib/dracut/skipcpio $imgfile"
50
 
        else
51
 
            catimg="dd if=$imgfile bs=$skip skip=1 status=noxfer"
52
 
        fi
 
44
            | sed --quiet --expression='s/^\([0-9]\+\) blocks$/\1/p')+8))
 
45
        catimg="dd if=$imgfile bs=$skip skip=1 status=noxfer"
53
46
    else
54
 
        echo "No microcode detected"
55
47
        catimg="cat -- $imgfile"
56
48
    fi
57
 
    while :; do
58
 
        # Determine the compression method
59
 
        if { $catimg 2>/dev/null | zcat --test >/dev/null 2>&1;
60
 
             [ ${PIPESTATUS[-1]} -eq 0 ]; }; then
61
 
            decomp="zcat"
62
 
        elif { $catimg 2>/dev/null | bzip2 --test >/dev/null 2>&1;
63
 
               [ ${PIPESTATUS[-1]} -eq 0 ]; }; then
64
 
            decomp="bzip2 --stdout --decompress"
65
 
        elif { $catimg 2>/dev/null | lzop --test >/dev/null 2>&1;
66
 
               [ ${PIPESTATUS[-1]} -eq 0 ]; }; then
67
 
            decomp="lzop --stdout --decompress"
68
 
        else
69
 
            skip=$((${skip}+1))
70
 
            echo "Could not determine compression of ${imgfile}; trying to skip ${skip} bytes" >&2
71
 
            catimg="dd if=$imgfile bs=$skip skip=1 status=noxfer"
72
 
            continue
73
 
        fi
74
 
        break
75
 
    done
76
 
    case "$catimg" in
77
 
        *skipcpio*) echo "Microcode detected, skipping";;
78
 
        *) echo "Microcode detected, skipping ${skip} bytes";;
79
 
    esac
 
49
    # Determine the compression method
 
50
    if { $catimg 2>/dev/null | zcat --test >/dev/null 2>&1;
 
51
            [ ${PIPESTATUS[-1]} -eq 0 ]; }; then
 
52
        decomp="zcat"
 
53
    elif { $catimg 2>/dev/null | bzip2 --test >/dev/null 2>&1;
 
54
            [ ${PIPESTATUS[-1]} -eq 0 ]; }; then
 
55
        decomp="bzip2 --stdout --decompress"
 
56
    elif { $catimg 2>/dev/null | lzop --test >/dev/null 2>&1;
 
57
            [ ${PIPESTATUS[-1]} -eq 0 ]; }; then
 
58
        decomp="lzop --stdout --decompress"
 
59
    else
 
60
        echo "Error: Could not determine type of $imgfile" >&2
 
61
        continue
 
62
    fi
80
63
    $catimg 2>/dev/null | $decomp | ( cd -- "$imgdir" && $cpio --quiet )
81
64
    if [ ${PIPESTATUS[-1]} -eq 0 ]; then
82
65
        echo "$imgfile unpacked into $imgdir"