Hier ist ein Fall, den ich nicht verstehe.
Ich habe eine gruppe bar
und diese Gruppe hat zwei Benutzer; foo
und bar
.
Ich habe ein test.txt
Datei, foo
ist der Besitzer und bar
Benutzer können es nur lesen.
jedoch, wenn bar
Benutzer ausführen gzip
Befehl zu dieser Datei, ändert sich der Besitz von foo
zu bar
.
Deshalb, foo
kann diese Datei nicht mehr berühren.
Ist das eine Sicherheitslücke?
Eingeloggt als bar
$ whoami
bar
$ cd /home/foo/test
$ ls -al
total 8
drwxrwxr-x 2 foo bar 4096 Jan 6 15:48 .
drwxrwxr-- 5 foo bar 4096 Jan 6 15:48 ..
-rwxr-xr-x 1 foo foo 0 Jan 6 15:48 test.txt
$ gzip test.txt
$ ls -al
total 12
drwxrwxr-x 2 foo bar 4096 Jan 6 15:50 .
drwxrwxr-- 5 foo bar 4096 Jan 6 15:48 ..
-rwxr-xr-x 1 bar bar 29 Jan 6 15:48 test.txt.gz
$ uname -a
Linux 2.6.18-xenU-ec2-v1.2 #2 SMP x86_64 x86_64 x86_64 GNU/Linux
Eingeloggt als foo
:
$ whoami
foo
$ touch test.txt.gz
touch: cannot touch `test.txt.gz': Permission denied
quelle
gzip
.bar
hat Schreibzugriff auf.