ID: 689 类型: 复合 | 状态:草稿 |
描述
复制或克隆资源时,在复制完成之前,产品不会设置资源的权限或访问控制,使资源在复制过程中暴露于其他领域。
复合组件
关系 | 类型 | ID | 名称 |
需要 | 362 | Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') | |
需要 | 732 |
相关视图
与“研究层面”视图(CWE-1000)相关
关系 | 类型 | ID | 名称 |
子女 | 732 |
引入模式
阶段 | 说明 |
实现 | 常见的例子出现在文件存档提取中,在这种情况下,产品以不安全的默认权限开始提取,然后仅在复制完成后设置最终权限(在存档中指定)。存档文件越大,比赛条件的计时窗口越大。 在一些操作系统实用程序中,也出现了这个弱点,这些实用程序执行包含大量文件的深度嵌套目录的副本。 这一弱点可能出现在涉及在多用户环境中(包括在应用程序级别)复制对象或资源的任何类型的功能中。例如,文档管理系统可能允许用户复制一个私有文档,但是如果它没有在复制开始时将新副本设置为私有,那么其他用户可能可以在复制仍在进行时查看文档。 |
应用平台
语言
C (出现的可能性不确定)
Perl (出现的可能性不确定)
后果
范围 | 冲击 | 可能性 |
保密性 | 技术冲击: 读应用数据; 修改应用数据 |
说明
研究空白
正在研究中。当资源一经创建就可供其他领域使用,但在初始化完成之前,在任何复杂或大型复制操作发生的情况下,似乎都可能出现这种弱点。