home *** CD-ROM | disk | FTP | other *** search
/ Usenet 1994 January / usenetsourcesnewsgroupsinfomagicjanuary1994.iso / sources / std_unix / volume.20 / text0155.txt < prev    next >
Encoding:
Internet Message Format  |  1990-08-02  |  1.9 KB
  1. From:  Bob Lenk <rml@hpfcdc.fc.hp.com>
  2.  
  3. In article <404@usenix.ORG>,jfh@rpp386.cactus.org (John F. Haugh II) says:
  4.  
  5. > The conflict between 4.2.2.2 and System V setuid is that System V states
  7. >     "If the effective user ID of the calling process is super-user,
  8. >      the real user (group) ID and effective user (group) ID are set
  9. >      to uid (gid)."
  11. > and 4.2.2.2 states
  13. >     "(1) If the process has appropriate privileges, the setuid()
  14. >      function sets the real user ID, effective user ID, and the
  15. >      saved set-user-ID to uid."
  16.  
  17. The behavior required in 4.2.2.2 is understood to be the actual behavior
  18. of System V (at least Release 2, assuming that appropriate privilege
  19. means super-user).
  20.  
  21. > The first problem is that a program which is set-user-ID to an ID other
  22. > than super-user will behave quite differently when executed by root.
  23.  
  24. Correct.
  25.  
  26. > The second problem relates to processes which are set-user-ID to super-user.
  27.  
  28. Correct.
  29.  
  30. Contrary to the rationale, this behavior does not permit the application
  31. to toggle between the real and saved set-user-ID unless both are not the
  32. super-user's ID.
  33.  
  34. I'm not sure if this is contrary to the rationale, though it is more
  35. complete.  The third paragraph of B.4.2.2 (top of page 236) explains
  36. that the behavior for privileged processes is different.  The problem is
  37. that setuid() and setgid() are overloaded with two behaviors, and the
  38. behavior is selected by privilege (traditionally uid).  The fact that a
  39. portable POSIX application has no way to determine whether it is
  40. privileged makes this even worse.
  41.  
  42. > So, how does an application toggle between a non-super user and a super-user?
  43.  
  44. The only ways I know of are to use non-(POSIX/SysV) features or to use
  45. two processes.  The current draft of the 1003.1a supplement (formerly
  46. 1003.1b, *not* the 1003.1-1990 revision) introduces the functions
  47. seteuid() and setegid() to address this.
  48.  
  49.         Bob Lenk
  50.         rml@hpfcla.hp.com
  51.         hplabs!hpfcla!rml
  52.  
  53.  
  54. Volume-Number: Volume 20, Number 152
  55.  
  56.