CWE ID: 379
Name: Creation of Temporary File in Directory with Insecure Permissions
Das Produkt erstellt eine temporäre Datei in einem Verzeichnis, dessen Berechtigungen es unbefugten Akteuren ermöglichen, die Existenz der Datei zu erkennen oder diese Datei anderweitig zu access.
Auf einigen Betriebssystemen kann die Existenz der temporären Datei für jeden Benutzer erkennbar sein, der die entsprechenden Berechtigungen zum access dieses Verzeichnisses besitzt. Da die Datei sichtbar ist, kann die Anwendung, die die temporäre Datei verwendet, identifiziert werden. Verfügt ein Angreifer zudem über die Möglichkeit, die laufenden processes auf dem System aufzulisten, erhält er Informationen darüber, was der Benutzer zu diesem Zeitpunkt tut. Durch die Korrelation dieser Informationen mit den ausgeführten Anwendungen könnte ein Angreifer potenziell die Aktionen des Benutzers herausfinden und so höhere Sicherheitsstufen durchbrechen.
Effektivität: Unknown
Beschreibung: Viele moderne Programmiersprachen verfügen über Funktionen, die diese Situation korrekt behandeln. Ältere C-Funktionen zur Erstellung temporärer Dateien sind hierbei besonders anfällig.
Effektivität: Unknown
Beschreibung: Versuchen Sie, sensible temporäre Dateien in einem Verzeichnis zu speichern, das nicht für alle Benutzer lesbar ist – beispielsweise in benutzerbezogenen Verzeichnissen.
Effektivität: Unknown
Beschreibung: Vermeiden Sie die Verwendung anfälliger temporärer Dateifunktionen.
