Hello! On Saturday 23 January 2010 23:58:27 Dmitry E. Oboukhov wrote: > >> ага и еще если кроме O_CREAT|O_EXCL скрипт обрабатывает эти ошибки и > >> делает повторы попыток, то тогда конечно. уязвимости нет. только тот > >> кому придет в голову писать такую логику скорее всего заюзает > >> стандартную либу по созданию временного файла и всего делов. > > AP> Почему просто не создать поддиректорию в /tmp? Иксы всю дорогу так > AP> делают - создают поддиректорию с нужными правами (в т.ч. sticky бит). > > Эмм... ты думаешь на директорию (если известно ее имя) нельзя будет > симлинками атаковать?
Все же секьюрно создать _одну_ директорию проще, нежели множество файлов. Впрочем, если из /tmp переместить место распаковки конфигов в поддиректорию /var, будет надежнее. Все равно там при работе с пакетами операции модификации файлов кэшей и логов выполняются. Объем же конфигов весьма скромный по определению. Best regards, Alexey Pechnikov. http://pechnikov.tel/