Directory Restriction

chroot() システムコールを不適切に使用すると、攻撃者が chroot jail を回避できてしまうことがあります。

chroot() システムコールを使い、File System のルートディレクトリに関するプロセスの認識方法を変更することができます。chroot() を適切に呼び出すと、プロセスは、新しいルートディレクトリにより定義されたディレクトリツリーの外部のファイルにアクセスできません。このような環境は chroot jail と呼ばれ、プロセスが侵犯されて未承認のファイルへのアクセスに利用される可能性を阻止するために広く使用されています。たとえば、多くの FTP サーバーで chroot jail を実行しており、サーバーの新しい脆弱性を発見した攻撃者がパスワードファイルなどの機密性が高いファイルをシステムからダウンロードできないようにしています。

chroot() を不適切に使用すると、攻撃者が chroot jail を回避できてしまうことがあります。chroot() 関数をコールしてもプロセスの現在の作業ディレクトリは変更されないため、chroot() がコールされた後も相対パスが chroot jail 外の File System リソースを参照したままになることがあります。

例 1: 例として想定した FTP サーバーの、次のソースコードを見てみましょう。

chroot("/var/ftproot");
...
fgets(filename, sizeof(filename), network);
localfile = fopen(filename, "r");
while ((len = fread(buf, 1, sizeof(buf), localfile)) != EOF) {
  fwrite(buf, 1, sizeof(buf), network);
}
fclose(localfile);

このコードはネットワークからファイル名を読み、ローカルマシン上で対応するファイルを開き、ネットワーク経由でコンテンツを送信します。このコードは FTP の GET コマンドを実装するために使用される可能性があります。FTP サーバーは、/var/ftproot 外部のファイルへのアクセスを阻止するために、初期化ルーチンで chroot() をコールします。しかし、サーバーが chdir("/") をコールしても現在の作業ディレクトリを変更できないため、攻撃者はファイル "../../../../../etc/passwd" をリクエストしてシステムのパスワードファイルのコピーを入手できる可能性があります。