]> git.ipfire.org Git - thirdparty/mtr.git/commitdiff
projects / thirdparty / mtr.git / commitdiff
? search:
summary | shortlog | log | commit | commitdiff | tree
raw | patch | inline | side by side (parent: 0e9ec2a)
SECURITY: Improve/fix wording, spelling, and formatting 26/head
authorRichard Hartmann <richih.mailinglist@gmail.com>
Wed, 7 Aug 2013 10:41:18 +0000 (12:41 +0200)
committerRichard Hartmann <richih.mailinglist@gmail.com>
Wed, 7 Aug 2013 10:41:18 +0000 (12:41 +0200)
SECURITY patch | blob | blame | history

diff --git a/SECURITY b/SECURITY
index 6cfc40b1b6e563de37a80bd65b01e89b78e32425..4ff73a9eb65056223075ae74c01585e304df2c02 100644 (file)
--- a/SECURITY
+++ b/SECURITY
@@ -7,15 +7,16 @@ minimal.
 Or you can make mtr setuid-root, and the following applies to you....
 
 Since mtr is installed as suid-root, some concern over security is
-justified.  Since version 0.21 of mtr, does the following two things
+justified.  Since version 0.21, mtr does the following two things
 after it is launched:
 
 *  mtr requests a pair of raw sockets from the kernel.  
-*  mtr sets the effective uid to match the real uid.
+*  mtr drops root privileges by setting the effective uid to match
+   uid or the user calling mtr.
 
 See main() in mtr.c and net_preopen() in net.c for the details of this
-process.  Note that no code from GTK+ or curses is executed before the
-drop in permissions.
+process.  Note that no code from GTK+ or curses is executed before
+dropping root privileges.
 
 This should severely limit the possibilities of using mtr to breach
 system security.  This means the worst case scenerio is as follows:
@@ -24,10 +25,10 @@ Due to some oversight in the mtr code, a malicious user is able to
 overrun one of mtr's internal buffers with binary code that is
 eventually executed.  The malicious user is still not able to read
 from or write to any system files which they wouldn't normally have
-permission to write to.  The only priveledge gained is access to the
-raw socket descriptors, which would allow the malicious user to listen
-to all ICMP packets arriving at the system, and send forged packets
-with arbitrary contents.
+permission to read or write to, repectively.  The only privilege
+gained is access to the raw socket descriptors, which would allow
+the malicious user to listen to all ICMP packets arriving at the
+system, and to send forged packets with arbitrary contents.
 
 The mtr-code does its best to prevent calling of external library
 code before dropping privileges. It seems that C++ library code has 
@@ -36,7 +37,7 @@ loader/linker.  That would mean that we're still vulnerable to
 errors in that code. This is why I would prefer to drop the backends, 
 have mtr-core always run in "raw" mode, and have the backends interpret
 the output from the mtr-core. Maybe a nice project for a college-level
-student. 
+student.
 
 If you have further questions or comments about security issues,
 please direct them to the mtr mailing list.  See README for details.
Mirror of https://github.com/traviscross/mtr.git