Уязвимость в OpenOffice
12/09/2004 11:24
Обнаружена уязвимость в популярном в мире открытых систем офисном пакете OpenOffice. Эта уязвимость позволяет локальным пользователям просматривать документ, который создаётся в OpenOffice. Уязвимость связана с некорректными полномочиями на директорию, в которой сохраняются промежуточные результаты. Как пишет автор, при открытии файла в OpenOffice создаётся временная директория /tmp/sv.tmp, где - cлучайное число из 3-х случайных символов. Полномочия на эту директорию позволяет другим локальным пользователям получать доступ к содержимому файла, который создаётся в OpenOffice. После сохранения файла он сохраняется в виде zip-файла, к котором тоже можно получить доступ. В принципе, это проблема больше маски полномочий, которые могут задаваться самим пользователем в профайле шелла, с которым он работает (задаётся командой umask). В качестве меры безопасности как раз и рекомендуется установить безопасную маску при помощи umask. Разумеется, уязвимость присутствует только на многопользовательских графических рабочих станциях.
Подробности