[Security][Tainted File] File status check before fopen()
■ 위치 :
resource/csdk/security/provisioning/ck_manager/src/ck_manager.c:321
resource/csdk/security/provisioning/ck_manager/src/ckm_info.c:87
resource/csdk/security/provisioning/ck_manager/src/ckm_info.c:113
resource/csdk/security/provisioning/ck_manager/src/ckm_info.c:330
resource/csdk/security/src/Psinterface.c:187
■ 내용 :
write 권한으로 fopen() 함수 호출 시에 해당 파일의 경로 및 상태(symbolic link인지)를 체크하지 않음.
write 하려는 파일이 symbolic link가 걸려 있을 경우 의도하지 않은 파일을 삭제하고 내용을 바꿀 수 있음
■ 대응 방안 :
fopen() 호출 전에 파일 경로 및 상태 체크 수행
■ 비고 (사용된 Tool 또는 환경 등)
<대상 버전>
IoTivity_1.1.0_RC1
============= Defect 수정 관련 Comment 내용 요청사항 ==========
-
git commit ID 또는 gerrit 링크 명시
-
=========================================================
JIRA migration meta data
- JIRA Issue ID: IOT-1047
- Reporter: jspark
- Assignee: dimzh
- Creator: jspark
- Created at: 2016-03-28T23:52:21.000-0700
- Found in Version: 1.1.0
- Fix in Version: None
- Issue Severity: Major
- Reproducibility: Always (100%)
- Operating System: Ubuntu
- Hardware/ OEM Platform: None
-
External URL:
https://gerrit.iotivity.org/gerrit/#/c/7491/ - Bugzilla ID: None
- Product: None
- Status: Closed
- Components: SDK
- Priority: Undecided
- Due Date: None
-
Issue Type: Bug
END of JIRA migration meta data