/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to plugins.d/mandos-client.xml

  • Committer: Teddy Hogeborn
  • Date: 2014-06-08 03:10:08 UTC
  • Revision ID: teddy@recompile.se-20140608031008-mc9bd7b024a3q0y0
Address a very theoretical possible security issue in mandos-client.

If there were to run some sort of "cleaner" process for /run/tmp (or
/tmp), and mandos-client were to run for long enough for that cleaner
process to remove the temporary directory for GPGME, there was a
possibility that another unprivileged process could trick the (also
unprivileged) mandos-client process to remove other files or symlinks
which the unprivileged mandos-client process was allowed to remove.
This is not currently known to have been exploitable, since there are
no known initramfs environments running such cleaner processes.

* plugins.d/mandos-client.c (main): Use O_NOFOLLOW when opening
                                    tempdir for cleaning.

Show diffs side-by-side

added added

removed removed

Lines of Context:
2
2
<!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN"
3
3
        "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd" [
4
4
<!ENTITY COMMANDNAME "mandos-client">
5
 
<!ENTITY TIMESTAMP "2015-07-20">
 
5
<!ENTITY TIMESTAMP "2014-03-05">
6
6
<!ENTITY % common SYSTEM "../common.ent">
7
7
%common;
8
8
]>
33
33
    <copyright>
34
34
      <year>2008</year>
35
35
      <year>2009</year>
36
 
      <year>2010</year>
37
 
      <year>2011</year>
38
36
      <year>2012</year>
39
37
      <year>2013</year>
40
38
      <year>2014</year>
41
 
      <year>2015</year>
42
39
      <holder>Teddy Hogeborn</holder>
43
40
      <holder>Björn Påhlsson</holder>
44
41
    </copyright>
101
98
      </arg>
102
99
      <sbr/>
103
100
      <arg>
104
 
        <option>--dh-params <replaceable>FILE</replaceable></option>
105
 
      </arg>
106
 
      <sbr/>
107
 
      <arg>
108
101
        <option>--delay <replaceable>SECONDS</replaceable></option>
109
102
      </arg>
110
103
      <sbr/>
318
311
        <listitem>
319
312
          <para>
320
313
            Sets the number of bits to use for the prime number in the
321
 
            TLS Diffie-Hellman key exchange.  The default value is
322
 
            selected automatically based on the OpenPGP key.  Note
323
 
            that if the <option>--dh-params</option> option is used,
324
 
            the values from that file will be used instead.
325
 
          </para>
326
 
        </listitem>
327
 
      </varlistentry>
328
 
      
329
 
      <varlistentry>
330
 
        <term><option>--dh-params=<replaceable
331
 
        >FILE</replaceable></option></term>
332
 
        <listitem>
333
 
          <para>
334
 
            Specifies a PEM-encoded PKCS#3 file to read the parameters
335
 
            needed by the TLS Diffie-Hellman key exchange from.  If
336
 
            this option is not given, or if the file for some reason
337
 
            could not be used, the parameters will be generated on
338
 
            startup, which will take some time and processing power.
339
 
            Those using servers running under time, power or processor
340
 
            constraints may want to generate such a file in advance
341
 
            and use this option.
 
314
            TLS Diffie-Hellman key exchange.  Default is 1024.
342
315
          </para>
343
316
        </listitem>
344
317
      </varlistentry>
471
444
  
472
445
  <refsect1 id="environment">
473
446
    <title>ENVIRONMENT</title>
474
 
    <variablelist>
475
 
      <varlistentry>
476
 
        <term><envar>MANDOSPLUGINHELPERDIR</envar></term>
477
 
        <listitem>
478
 
          <para>
479
 
            This environment variable will be assumed to contain the
480
 
            directory containing any helper executables.  The use and
481
 
            nature of these helper executables, if any, is
482
 
            purposefully not documented.
483
 
        </para>
484
 
        </listitem>
485
 
      </varlistentry>
486
 
    </variablelist>
487
447
    <para>
488
 
      This program does not use any other environment variables, not
489
 
      even the ones provided by <citerefentry><refentrytitle
 
448
      This program does not use any environment variables, not even
 
449
      the ones provided by <citerefentry><refentrytitle
490
450
      >cryptsetup</refentrytitle><manvolnum>8</manvolnum>
491
451
    </citerefentry>.
492
452
    </para>
788
748
    <para>
789
749
      It will also help if the checker program on the server is
790
750
      configured to request something from the client which can not be
791
 
      spoofed by someone else on the network, like SSH server key
792
 
      fingerprints, and unlike unencrypted <acronym>ICMP</acronym>
793
 
      echo (<quote>ping</quote>) replies.
 
751
      spoofed by someone else on the network, unlike unencrypted
 
752
      <acronym>ICMP</acronym> echo (<quote>ping</quote>) replies.
794
753
    </para>
795
754
    <para>
796
755
      <emphasis>Note</emphasis>: This makes it completely insecure to