SHOEISHA iD

パスワードを忘れた場合はこちら

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

  • 新規
    会員登録
  • 新規会員登録

ニュース

記事

デブサミ・デブスト

講座

書籍

新着記事一覧を見る

連載記事

人気記事の執筆者

中島 佑馬

水無瀬 あずさ

大西 武

加山 恵美

四七 秀貴
イベント
イベント

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

講演資料・動画まとめページ

Developers CAREER Boost 2024 講演資料まとめ

Developers X Summit 2024 講演資料まとめ

Developers Summit 2024 KANSAI 講演関連資料まとめ

Developers Summit 2024 Summer 講演資料まとめ

Developers Boost 2024 講演資料まとめ

Developers Summit 2024 講演資料まとめ

CodeZine BOOKS(コードジン・ブックス)は、CodeZineの連載からカットアップした、開発現場の課題解決に役立つ書籍シリーズです。

書籍に関する記事を見る

'); googletag.cmd.push(function() { googletag.pubads().addEventListener('slotRenderEnded', function(e) { var ad_id = e.slot.getSlotElementId(); if (ad_id == 'div-gpt-ad-1659428980688-0') { var ad = $('#'+ad_id).find('iframe'); if ($(ad).width() == 728) { var ww = $(window).width(); ww = ww*0.90; var style = document.createElement("style"); document.head.appendChild( style ); var sheet = style.sheet; sheet.insertRule( "#div-gpt-ad-1659428980688-0 iframe {-moz-transform: scale("+ww/728+","+ww/728+");-moz-transform-origin: 0 0;-webkit-transform: scale("+ww/728+","+ww/728+");-webkit-transform-origin: 0 0;-o-transform: scale("+ww/728+","+ww/728+");-o-transform-origin: 0 0;-ms-transform: scale("+ww/728+","+ww/728+");-ms-transform-origin: 0 0;}", 0 ); sheet.insertRule( "#div-gpt-ad-1659428980688-0 div{ height:"+(90*ww/728)+"px;width:"+728+"px;}", 0 ); } else { if ($(window).width() < 340) { var ww = $(window).width(); ww = ww*0.875; var style = document.createElement("style"); document.head.appendChild( style ); var sheet = style.sheet; sheet.insertRule( "#div-gpt-ad-1659428980688-0 iframe {-moz-transform: scale("+ww/320+","+ww/320+");-moz-transform-origin: 0 0;-webkit-transform: scale("+ww/320+","+ww/320+");-webkit-transform-origin: 0 0;-o-transform: scale("+ww/320+","+ww/320+");-o-transform-origin: 0 0;-ms-transform: scale("+ww/320+","+ww/320+");-ms-transform-origin: 0 0;}", 0 ); sheet.insertRule( "#div-gpt-ad-1659428980688-0 div{ height:"+(180*ww/320)+"px;width:"+320+"px;}", 0 ); } } } }); }); } else { document.write('
'); document.write('
'); }
実例で学ぶ脆弱性対策コーディング

Linuxのcrontabコマンドの脆弱性をつぶす

実例で学ぶ脆弱性対策コーディング 第7回


  • X ポスト
  • このエントリーをはてなブックマークに追加

 本連載では、脆弱性を含むサンプルコードを題材に、修正方法の例を解説していきます。今回はジョブを定期実行するための仕組み「Cron」をとりあげます。

  • X ポスト
  • このエントリーをはてなブックマークに追加

はじめに

 今回はCronをとりあげます。CronはOSの持っている時計に基づき、あらかじめ設定しておいたコマンドを実行するための仕組みで、Unix系システムには必ず備えられているといっていい機能でしょう。ログファイルのローテーションやログインアカウントの利用状況集計など、システム管理上のジョブを定期的に実行するために活用されています。

 英語版Wikipediaのページによると、Cronの歴史はVersion7 Unix(1979年リリース)までさかのぼるそうです。Linuxディストリビューションの多くが現在使っているものは、Paul Vixie氏が実装したVixie Cronが元になっています。

サンプルコード

 Cronでは、crontabという設定ファイルでいつどのようなジョブを実行するかを指定します。この設定ファイルはユーザごとに用意されており、必要に応じてユーザが自分で編集します。この設定ファイルを編集するためのコマンドもcrontabという名前です。設定ファイルのcrontabとコマンドのcrontabを区別するために、マニュアルページのセクション番号を付けて、設定ファイルはcrontab(5)、コマンドはcrontab(1)などと表記します。

 以下に引用したコードは、crontab(1)のソースコードの一部、edit_cmd()という関数です。ユーザが自分の設定ファイルを編集するために「crontab -e」というようにコマンドを起動したときにこの関数が呼び出されます。

 edit_cmd()関数が内部から参照している関数や変数で他のファイルに定義されているものも、一緒に展開して並べてあります。実際のコードを確認する場合には注意してください。また、今回のトピックに関係ないシグナル処理の部分などは省略してあります。

 ちなみに、文字列の連結操作のためにglue_strings()という関数を定義しています。今ならこの機能はsnprintf()を使うべきところです。Vixie Cronが書かれた当時はまだsnprintf()が普及していなかったために自前でこのような関数を用意したのかもしれませんね。

cronie-1.4.3 の edit_cmd() から
static uid_t save_euid;
static gid_t save_egid;

static char Filename[MAX_FNAME];
static FILE *NewCrontab;


int swap_uids(void) {
  save_egid = getegid();
  save_euid = geteuid();
  return ((setegid(getgid()) || seteuid(getuid()))? -1 : 0);
}


int swap_uids_back(void) {
  return ((setegid(save_egid) || seteuid(save_euid)) ? -1 : 0);
}


/*
 * glue_strings is the overflow-safe equivalent of
 *    sprintf(buffer, "%s%c%s", a, separator, b);
 *
 * returns 1 on success, 0 on failure.  'buffer' MUST NOT be used if
 * glue_strings fails.
 */
int
glue_strings(char *buffer, size_t buffer_size, const char *a, const char *b,
  char separator) {
  char *buf;
  char *buf_end;

  if (buffer_size <= 0)
    return (0);
  buf_end = buffer + buffer_size;
  buf = buffer;

  for ( /* nothing */ ; buf < buf_end && *a != '\0'; buf++, a++)
    *buf = *a;
  if (buf == buf_end)
    return (0);
  if (separator != '/' || buf == buffer || buf[-1] != '/')
    *buf++ = separator;
  if (buf == buf_end)
    return (0);
  for ( /* nothing */ ; buf < buf_end && *b != '\0'; buf++, b++)
    *buf = *b;
  if (buf == buf_end)
    return (0);
  *buf = '\0';
  return (1);
}


static char *tmp_path() {
  char *tmpdir = NULL;

  if ((getuid() == geteuid()) && (getgid() == getegid())) {
    tmpdir = getenv("TMPDIR");
  }
  return tmpdir ? tmpdir : "/tmp";
}


static void edit_cmd(void) {
  char n[MAX_FNAME], q[MAX_TEMPSTR];
  FILE *f;
  int ch = '\0', t;
  struct stat statbuf;
  struct utimbuf utimebuf;
  WAIT_T waiter;
  PID_T pid, xpid;

  if (!glue_strings(n, sizeof n, SPOOL_DIR, User, '/')) {
     fprintf(stderr, "path too long\n");
     exit(ERROR_EXIT);
  }
  if (!(f = fopen(n, "r"))) {
    if (errno != ENOENT) {
      perror(n);
      exit(ERROR_EXIT);
    }
    fprintf(stderr, "no crontab for %s - using an empty one\n", User);
    if (!(f = fopen(_PATH_DEVNULL, "r"))) {
      perror(_PATH_DEVNULL);
      exit(ERROR_EXIT);
    }
  }

  if (!glue_strings(Filename, sizeof Filename, tmp_path(),
                    "crontab.XXXXXXXXXX", '/')) {
    fprintf(stderr, "path too long\n");
    exit(ERROR_EXIT);
  }
  if (swap_uids() == -1) {
    perror("swapping uids");
    exit(ERROR_EXIT);
  }
  if (-1 == (t = mkstemp(Filename))) {
    perror(Filename);
    goto fatal;
  }

  if (swap_uids_back() == -1) {
    perror("swapping uids back");
    goto fatal;
  }
  if (!(NewCrontab = fdopen(t, "r+"))) {
    perror("fdopen");
    goto fatal;
  }

  // copy the rest of the crontab (if any) to the temp file.
  if (EOF != ch)
    while (EOF != (ch = get_char(f)))
      putc(ch, NewCrontab);

  fclose(f);
  if (fflush(NewCrontab) < OK) {
    perror(Filename);
    exit(ERROR_EXIT);
  }
  // Set it to 1970
  utimebuf.actime = 0;
  utimebuf.modtime = 0;
  utime(Filename, &utimebuf);
again:
  rewind(NewCrontab);
  if (ferror(NewCrontab)) {
      fprintf(stderr, "%s: error while writing new crontab to %s\n",
                      ProgramName, Filename);
fatal:
      unlink(Filename);
      exit(ERROR_EXIT);
  }

  // we still have the file open.  editors will generally rewrite the
  // original file rather than renaming/unlinking it and starting a
  // new one; even backup files are supposed to be made by copying
  // rather than by renaming.  if some editor does not support this,
  // then don't use it.  the security problems are more severe if we
  // close and reopen the file around the edit.

  switch (pid = fork()) {

    // 子プロセスでroot権限を放棄しFilenameを引数にエディタを起動

  }

  // parent
  for (;;) {
    xpid = waitpid(pid, &waiter, 0);

    // エラー状態だったら異常終了する

  }

  // lstat doesn't make any harm, because 
  // the file is stat'ed only when crontab is touched
  if (lstat(Filename, &statbuf) < 0) {
    perror("lstat");
    goto fatal;
  }

  if (!S_ISREG(statbuf.st_mode)) {
    fprintf(stderr, "%s: illegal crontab\n", ProgramName);
    goto remove;
  }

  if (statbuf.st_mtime == 0) {
    fprintf(stderr, "%s: no changes made to crontab\n", ProgramName);
    goto remove;
  }

  fprintf(stderr, "%s: installing new crontab\n", ProgramName);
  fclose(NewCrontab);
  if (swap_uids() < OK) {
    perror("swapping uids");
    goto remove;
  }
  if (!(NewCrontab = fopen(Filename, "r+"))) {
    perror("cannot read new crontab");
    goto remove;
  }
  if (swap_uids_back() < OK) {
    perror("swapping uids back");
    exit(ERROR_EXIT);
  }
  if (NewCrontab == 0L) {
    perror("fopen");
    goto fatal;
  }

  // 以下、Filenameをcrontabに入れ換える

remove:
    unlink(Filename);
done:
}

 edit_cmd()の処理は、以下のような流れになります。

  • root権限でcrontab(1)実行開始
  • ユーザのcrontab(5)ファイルをopenする
  • 一般ユーザ権限で(swap_uids())、一時ファイルを生成
  • 一時ファイルに既存ファイルの内容をコピー
  • 一時ファイルのタイムスタンプを0(epoch time)にセットする(utime())
  • 子プロセスがfork()し、一般ユーザ権限でエディタを起動、ユーザは一時ファイルを編集する
  • 親プロセスは、子プロセスが終了するのを待つ(waitpid())
  • 一般ユーザ権限で、一時ファイルのタイムスタンプを確認、変更されていれば、新たなcrontab(5)ファイルとして入れ換える

 Fedora Linuxでは、各ユーザのcrontab(5)ファイルは専用のディレクトリ(/var/spool/cron/)に置いてあります。他ユーザのcrontab(5)ファイルをいたずらに編集できないよう、このディレクトリ以下にはrootしかアクセスできないようにパーミションが設定されており、各ユーザはcrontab(1)コマンドを通じてのみ、自分のcrontab(5)ファイルを編集できます。

 crontab(1)コマンドは「setuid root」されているため、一般ユーザが起動したときでもroot権限で動作し、/var/spool/cron/以下のファイルにアクセスすることができます。

 そして、crontab(1)を起動したユーザが自分のcrontab(5)ファイルのみ編集できるようにする仕掛けが上記コード中にあるswap_uids()とswap_uids_back()です。

 setuidされたプログラムは、起動したユーザのIDをプロセスの属性情報として覚えており、seteuid()などのシステムコールを使うことで、setuidされた権限で動作するか、それとも自分を起動した元のユーザの権限で動作するかを変更できます。edit_cmd()では、一時ファイルの生成やcrontab(5)ファイルの置き換えを元のユーザ権限で行うことにより、他のユーザのファイルを間違っていじれないようにしてあるのです。

 ところが、一か所、その仕組みをきちんと使っていないところがあります。さて、どこでしょう?

会員登録無料すると、続きをお読みいただけます

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

次のページ
脆弱性の解説

NEXT

この記事は参考になりましたか?

  • X ポスト
  • このエントリーをはてなブックマークに追加
実例で学ぶ脆弱性対策コーディング連載記事一覧

もっと読む

この記事の著者

戸田 洋三(JPCERT コーディネーションセンター)(トダ ヨウゾウ(JPCERT コーディネーションセンター))

リードアナリストJPCERTコーディネーションセンター東京工業大学情報理工学研究科修士課程修了。学生時代は、型理論および証明からのプログラム抽出を研究。その後、千葉大学総合情報処理センターのスタッフとして、学内ネットワークの運営、地域ネットワーク、IPマルチキャストの実験ネットワークであるJP-MB...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事

この記事は参考になりましたか?

この記事をシェア

  • X ポスト
  • このエントリーをはてなブックマークに追加
CodeZine(コードジン)
https://codezine.jp/article/detail/5360 2010/08/19 12:03
" ); }

おすすめ

アクセスランキング

  1. 1
    デスクトップアプリを開発しよう! 「Rust」と「Tauri 2.0」の基本情報と環境整備の仕方を解説
  2. 2
    "けしからん"精神が切り拓く未来──IPA登氏が語る、技術大国・日本が目指す復活戦略
  3. 3
    アジャイル開発の推進において、必ずしも"すごい人"は必要ない──現場のエンジニアがDevOps推進で実現する組織改革
  4. 4
    JavaScriptのWebフレームワーク、「Astro 5.1」リリース
  5. 5
    Linuxディストリビューション「Serpent OS」、アルファ版がリリース
  1. 6
    Google、社内AIエージェント「Google Agentspace」発表
  2. 7
    デスクトップアプリ開発に必要な「Rust」の文法を理解しよう
  3. 8
    AWS、ノーコードで生成AIアプリを作れる「PartyRock」の新機能を紹介、2025年以降は無料で誰でも利用できるように
  4. 9
    2024年は開発者にとってどんな年だったのか? CodeZineの人気ニュースランキングから振り返る
  5. 10
    VSCodeをドキュメント作成に活用――テキストエディタ、Markdownエディタの設定と拡張機能を解説

アクセスランキング

  1. 1
    デスクトップアプリを開発しよう! 「Rust」と「Tauri 2.0」の基本情報と環境整備の仕方を解説
  2. 2
    "けしからん"精神が切り拓く未来──IPA登氏が語る、技術大国・日本が目指す復活戦略
  3. 3
    アジャイル開発の推進において、必ずしも"すごい人"は必要ない──現場のエンジニアがDevOps推進で実現する組織改革
  4. 4
    JavaScriptのWebフレームワーク、「Astro 5.1」リリース
  5. 5
    Linuxディストリビューション「Serpent OS」、アルファ版がリリース
  6. 6
    Google、社内AIエージェント「Google Agentspace」発表
  7. 7
    デスクトップアプリ開発に必要な「Rust」の文法を理解しよう
  8. 8
    AWS、ノーコードで生成AIアプリを作れる「PartyRock」の新機能を紹介、2025年以降は無料で誰でも利用できるように
  9. 9
    2024年は開発者にとってどんな年だったのか? CodeZineの人気ニュースランキングから振り返る
  10. 10
    VSCodeをドキュメント作成に活用――テキストエディタ、Markdownエディタの設定と拡張機能を解説
  1. 1
    いいエンジニアになるための2つのポイント ──元Google技術者・石原氏が説く「シリコンバレー流ソフトウェア開発術」
  2. 2
    「CUDA」 ~マンガでプログラミング用語解説
  3. 3
    デスクトップアプリを開発しよう! 「Rust」と「Tauri 2.0」の基本情報と環境整備の仕方を解説
  4. 4
    アジャイル開発の推進において、必ずしも"すごい人"は必要ない──現場のエンジニアがDevOps推進で実現する組織改革
  5. 5
    ITエンジニア本大賞2025、投票締切直前! みんなで選んだ歴代の大賞本を振り返って一挙紹介
  6. 6
    Google、社内AIエージェント「Google Agentspace」発表
  7. 7
    デスクトップアプリ開発に必要な「Rust」の文法を理解しよう
  8. 8
    "けしからん"精神が切り拓く未来──IPA登氏が語る、技術大国・日本が目指す復活戦略
  9. 9
    JavaScriptのWebフレームワーク、「Astro 5.1」リリース
  10. 10
    日本在住の英語を話すソフトウェア開発者、年収の中央値は950万円に

イベント

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

新規会員登録無料のご案内

メールバックナンバー

アクセスランキング

  1. 1
    デスクトップアプリを開発しよう! 「Rust」と「Tauri 2.0」の基本情報と環境整備の仕方を解説
  2. 2
    "けしからん"精神が切り拓く未来──IPA登氏が語る、技術大国・日本が目指す復活戦略
  3. 3
    アジャイル開発の推進において、必ずしも"すごい人"は必要ない──現場のエンジニアがDevOps推進で実現する組織改革
  4. 4
    JavaScriptのWebフレームワーク、「Astro 5.1」リリース
  5. 5
    Linuxディストリビューション「Serpent OS」、アルファ版がリリース
  1. 6
    Google、社内AIエージェント「Google Agentspace」発表
  2. 7
    デスクトップアプリ開発に必要な「Rust」の文法を理解しよう
  3. 8
    AWS、ノーコードで生成AIアプリを作れる「PartyRock」の新機能を紹介、2025年以降は無料で誰でも利用できるように
  4. 9
    2024年は開発者にとってどんな年だったのか? CodeZineの人気ニュースランキングから振り返る
  5. 10
    VSCodeをドキュメント作成に活用――テキストエディタ、Markdownエディタの設定と拡張機能を解説

アクセスランキング

  1. 1
    デスクトップアプリを開発しよう! 「Rust」と「Tauri 2.0」の基本情報と環境整備の仕方を解説
  2. 2
    "けしからん"精神が切り拓く未来──IPA登氏が語る、技術大国・日本が目指す復活戦略
  3. 3
    アジャイル開発の推進において、必ずしも"すごい人"は必要ない──現場のエンジニアがDevOps推進で実現する組織改革
  4. 4
    JavaScriptのWebフレームワーク、「Astro 5.1」リリース
  5. 5
    Linuxディストリビューション「Serpent OS」、アルファ版がリリース
  6. 6
    Google、社内AIエージェント「Google Agentspace」発表
  7. 7
    デスクトップアプリ開発に必要な「Rust」の文法を理解しよう
  8. 8
    AWS、ノーコードで生成AIアプリを作れる「PartyRock」の新機能を紹介、2025年以降は無料で誰でも利用できるように
  9. 9
    2024年は開発者にとってどんな年だったのか? CodeZineの人気ニュースランキングから振り返る
  10. 10
    VSCodeをドキュメント作成に活用――テキストエディタ、Markdownエディタの設定と拡張機能を解説
  1. 1
    いいエンジニアになるための2つのポイント ──元Google技術者・石原氏が説く「シリコンバレー流ソフトウェア開発術」
  2. 2
    「CUDA」 ~マンガでプログラミング用語解説
  3. 3
    デスクトップアプリを開発しよう! 「Rust」と「Tauri 2.0」の基本情報と環境整備の仕方を解説
  4. 4
    アジャイル開発の推進において、必ずしも"すごい人"は必要ない──現場のエンジニアがDevOps推進で実現する組織改革
  5. 5
    ITエンジニア本大賞2025、投票締切直前! みんなで選んだ歴代の大賞本を振り返って一挙紹介
  6. 6
    Google、社内AIエージェント「Google Agentspace」発表
  7. 7
    デスクトップアプリ開発に必要な「Rust」の文法を理解しよう
  8. 8
    "けしからん"精神が切り拓く未来──IPA登氏が語る、技術大国・日本が目指す復活戦略
  9. 9
    JavaScriptのWebフレームワーク、「Astro 5.1」リリース
  10. 10
    日本在住の英語を話すソフトウェア開発者、年収の中央値は950万円に