Программы с установленным ID пользователя или группы никогда не должны применять функцию system() во время работы в режиме повышенных привилегий. Даже если пользователь не может вводить текст выполняемой команды, командная оболочка все равно полагается на различные переменные среды, что в сочетании с вызовом system() открывает потенциальную брешь в безопасности системы.
Например, в старых версиях оболочки Bourne shell переменная среды IFS, которая устанавливает внутренний разделитель между отдельными словами командной строки, была источником целого ряда успешных взломов. Если присвоить IFS значение a, строка shar будет восприниматься командной оболочкой как слово sh, за которым следует аргумент r; Это, в свою очередь, приведет к вызову еще одной оболочки, которая вместо ожидаемого действия (запуска команды под названием shar) выполнит скрипт с именем r в текущем каталоге. Для исправления этой конкретной уязвимости переменную IFS стали применять только к словам, получаемым в результате расширения командной строки. Кроме того, современные командные оболочки сбрасывают переменную IFS при каждом запуске (присваивая ей строку с тремя символами: пробелом, табуляцией и переходом на новую строку), гарантируя тем самым предсказуемое поведение скриптов, которые наследуют необычное значение IFS. В качестве дополнительной меры безопасности оболочка bash при вызове из программы с установленным ID пользователя или группы сбрасывает соответствующие идентификаторы к их реальным значениям.
Безопасные приложения, которым необходимо запускать другие программы, должны использовать для этого непосредственно вызов fork() и одну из функций семейства exec(): execlp() или execvp().
В этом разделе рассказывается, как реализовать функцию system(). Для начала рассмотрим упрощенный вариант, разберем, каких элементов ему не хватает, и затем перейдем к полноценной реализации.
Ключ — c команды sh позволяет выполнить произвольные консольные команды, записанные в строку:
$ sh — c "ls | wc"
38 38 444
Таким образом, для реализации функции system() нам потребуется вызов fork(). Он будет создавать потомка, который вызывает execl() с описанными выше аргументами команды sh:
execl("/bin/sh", "sh", "-c", command, (char *) NULL);
Для получения статуса потомка, созданного с помощью system(), воспользуемся вызовом waitpid() с заданным идентификатором дочернего процесса (вызова wait() было бы недостаточно, поскольку он ожидает завершения любого потомка и может случайно получить статус не того дочернего процесса). Простая и неполная реализация функции system() показана в листинге 27.8.
Листинг 27.8. Реализация функции system(), не предусматривающая обработки сигналов
procexec/simple_system.c
#include
#include
#include
int
system(char *command)
{
int status;
pid_t childPid;
switch (childPid = fork()) {
case –1: /* Ошибка */
return –1;
case 0: /* Потомок */
execl("/bin/sh", "sh", "-c", command, (char *) NULL);
_exit(127); /* Неудачный запуск */
default: /* Родитель */
if (waitpid(childPid, &status, 0) == –1)
return –1;
else
return status;
}
}
procexec/simple_system.c
Корректная работа с сигналами усложняет реализацию функции system().
Прежде всего следует учитывать сигнал SIGCHLD. Допустим, программа, вызывающая system() и, помимо прочего, создающая напрямую дочерние процессы, устанавливает обработчик для SIGCHLD, который сам делает вызов wait(). В этой ситуации, если SIGCHLD сгенерирован в результате завершения потомка, созданного с помощью system(), может быть вызван обработчик из главной программы, который получит статус потомка до того, как system() сможет вызвать waitpid() (это пример состояния гонки). Из этого следует два нежелательных обстоятельства.
• Вызывающая программа будет ошибочно полагать, что один из ее потомков был завершен.
• Функция system() не сможет получить код завершения созданного ею потомка.
Таким образом, функция system() во время своей работы должна блокировать доставку сигнала SIGCHLD.
Также следует обратить внимание на сигналы, генерируемые терминалом в результате набора специальных симовольных последовательностей прерывания (обычно Ctrl+C) и выхода (обычно Ctrl+\), — соответственно SIGINT и SIGQUIT. Посмотрим, что произойдет, если выполнить следующий вызов:
system("sleep 20");
На данном этапе выполняется три процесса: процесс главной программы, командная оболочка и команда sleep (рис. 27.2).
