Race Condition: File System Access

从检查到文件资源到使用文件的这段时间间隙，可以用来发动一次扩大权限的攻击。

文件访问的 race condition（如已知的 time-of-check、time-of-use (TOCTOU) race condition）在以下情况中出现：

1. 程序检查某个文件的属性时，根据名称来引用文件。

2.程序稍后使用相同的文件名执行文件系统操作，并假定先前检查的属性没有改变。
示例 1：以下代码来自已安装 setuid root 的程序。该程序代表非特权用户执行某些文件操作，并使用访问检查来确保它不会使用其 root 权限执行当前用户不应该执行的操作。该程序使用 access() 系统调用来检查运行该程序的人员是否有权访问指定的文件，然后再打开该文件并执行必要的操作。

  if (!access(file,W_OK)) {
    f = fopen(file,"w+");
    operate(f);
    ...
  }
  else {
    fprintf(stderr,"Unable to open file %s.\n",file);
  }

对 access() 的调用按照预期计划的那样执行，而且如果运行程序的用户具有编辑文件的必要权限，则会返回 0，反之则会返回 -1。然而，因为 access() 和 fopen() 都是对文件名进行操作，而不是文件句柄，所以当 file 变量传递到 fopen() 时，就无法保证该变量仍能像传递到 access() 时那样引用磁盘上相同的文件。如果攻击者在调用 access() 之后，用指向其他文件的象征性链接来取代 file，程序就会使用根权限对文件进行操作，即便这个文件是攻击者在其他情况下无法进行更改的。通过欺骗程序去运行其他情况下不允许执行的操作，从而使攻击者获得更高的权限。

这种形式的漏洞不限于具有 root 权限的程序。如果应用程序能够执行本不允许攻击者执行的操作，那么有可能就会成为攻击目标。

此类攻击的漏洞窗口是测试属性和使用文件之间的时间段。即使在检查后立即使用，现代操作系统也不能保证进程挂起 CPU 之前执行的代码量。攻击者有多种技术来延长机会窗口的长度，以便更容易地利用漏洞。然而，即使窗口很小，漏洞利用尝试也可以简单地重复一遍又一遍，直到成功。

示例 2：以下代码将生成一个文件，然后更改该文件的所有者。

    fd = creat(FILE, 0644);  /* Create file */
    if (fd == -1)
        return;
    if (chown(FILE, UID, -1) < 0) {  /* Change file owner */
      ...
    }

该代码假定通过调用 chown() 操作的文件与通过调用 creat() 创建的文件是一样的，但事实未必如此。因为 chown() 根据文件名而不是文件句柄操作，攻击者可以将该文件替换为指向不归他所有的文件的链接。调用 chown() 将给予攻击者链接文件的所有权。