Race Condition: File System Access

ファイルのプロパティが確認される時点と、ファイルが使用される時点の間の時間枠は、権限エスカレーション攻撃の起動に悪用される可能性があります。

ファイル アクセス競合状態 (確認時使用時 (TOCTOU) 競合状態ともいう) は、以下の状況で発生します。

1.プログラムは、ファイルを名前で照合して、ファイルのプロパティを確認します。

2.後でプログラムは、同じファイル名を使用し、前に確認したプロパティが変更されていないと仮定して、ファイル システム オペレーションを実行します。
例: 以下のプログラムは CBL_CHECK_FILE_EXIST ルーチンを呼び出して、ファイルを作成して必要な操作を実行する前に、ファイルが存在するかどうかを確認します。

  CALL "CBL_CHECK_FILE_EXIST" USING
      filename
      file-details
      RETURNING status-code
  END-CALL

  IF status-code NOT = 0
      MOVE 3 to access-mode
      MOVE 0 to deny-mode
      MOVE 0 to device

      CALL "CBL_CREATE_FILE" USING
          filename
          access-mode
          deny-mode
          device
          file-handle
          RETURNING status-code
      END-CALL
  END-IF

CBL_CHECK_FILE_EXIST の呼び出しは想定通りに動作し、0 以外の値を返して、ファイルが存在しないことを示します。ただし、CBL_CHECK_FILE_EXIST と CBL_CREATE_FILE の両方がファイルのハンドルではなくファイル名に対して操作を行うため、CBL_CHECK_FILE_EXIST に渡されたときに行ったのと同様に、CBL_CREATE_FILE に渡されるときに filename 変数が引き続きディスク上の同じファイルを参照するという保証はありません。CBL_CHECK_FILE_EXIST を呼び出した後に攻撃者が filename を作成した場合、CBL_CREATE_FILE の呼び出しは失敗し、プログラムは、実際には攻撃者によって制御されているデータが含まれるにもかかわらず、ファイルが空であると認識してしまいます。

そのような攻撃に対する脆弱性の時間帯は、プロパティがテストされた時点と、ファイルが使用される時点の間の期間です。確認後ただちに使用した場合でも、最新のオペレーティング システムは、プロセスが CPU を明け渡す前に実行されるコードの量について保証していません。攻撃者は、より簡単に悪用するための機会の時間枠を拡張するさまざまなテクニックを持っています。ただし、時間枠が短くても、悪用の試みは、成功するまで単純に何度も繰り返される可能性があります。

さらに、この種類の脆弱性は、権限が付与されていないユーザーの代わりに特定のファイル操作を実行する、root 権限を使用するプログラムに適用される場合があります。また、アクセスチェックを用いて、現在のユーザーが利用できないはずの操作を、root 権限で行わないようにします。プログラムを操作して許可されていない操作を実行させることにより、攻撃者は高い権限を手に入れる可能性があります。