ID: 689
类型: 复合 结构:混合
状态:草稿
描述
复制或克隆资源时,在复制完成之前,产品不会设置资源的权限或访问控制,使资源在复制过程中暴露于其他领域。
复合组件
关系
类型
ID
名称
需要
362
Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition')
需要
732
Incorrect Permission Assignment for Critical Resource
相关视图
与“研究层面”视图(CWE-1000)相关
关系
类型
ID
名称
子女
732
Incorrect Permission Assignment for Critical Resource
引入模式
阶段
说明
实现
常见的例子出现在文件存档提取中,在这种情况下,产品以不安全的默认权限开始提取,然后仅在复制完成后设置最终权限(在存档中指定)。存档文件越大,比赛条件的计时窗口越大。
在一些操作系统实用程序中,也出现了这个弱点,这些实用程序执行包含大量文件的深度嵌套目录的副本。
这一弱点可能出现在涉及在多用户环境中(包括在应用程序级别)复制对象或资源的任何类型的功能中。例如,文档管理系统可能允许用户复制一个私有文档,但是如果它没有在复制开始时将新副本设置为私有,那么其他用户可能可以在复制仍在进行时查看文档。
应用平台
语言
C (出现的可能性不确定)
Perl (出现的可能性不确定)
后果
范围
冲击
可能性
保密性 完整性
技术冲击: 读应用数据; 修改应用数据
说明
研究空白
正在研究中。当资源一经创建就可供其他领域使用,但在初始化完成之前,在任何复杂或大型复制操作发生的情况下,似乎都可能出现这种弱点。
