]> git.saurik.com Git - apt.git/blobdiff - apt-pkg/acquire.cc
do not use _apt for file/copy sources if it isn't world-accessible
[apt.git] / apt-pkg / acquire.cc
index 75df858a83219fb056041f5b1a23ab9aaa064ced..fb1210750f41b3b2699be4e9c9e5d50ccc64662e 100644 (file)
 #include <apt-pkg/fileutl.h>
 
 #include <algorithm>
+#include <numeric>
 #include <string>
 #include <vector>
 #include <iostream>
 #include <sstream>
 #include <iomanip>
+#include <memory>
 
 #include <stdio.h>
 #include <stdlib.h>
 #include <string.h>
 #include <unistd.h>
+#include <fcntl.h>
 #include <pwd.h>
 #include <grp.h>
 #include <dirent.h>
@@ -41,7 +44,6 @@
 #include <sys/select.h>
 #include <errno.h>
 #include <sys/stat.h>
-#include <sys/types.h>
 
 #include <apti18n.h>
                                                                        /*}}}*/
@@ -51,13 +53,13 @@ using namespace std;
 // Acquire::pkgAcquire - Constructor                                   /*{{{*/
 // ---------------------------------------------------------------------
 /* We grab some runtime state from the configuration space */
-pkgAcquire::pkgAcquire() : LockFD(-1), Queues(0), Workers(0), Configs(0), Log(NULL), ToFetch(0),
+pkgAcquire::pkgAcquire() : LockFD(-1), d(NULL), Queues(0), Workers(0), Configs(0), Log(NULL), ToFetch(0),
                           Debug(_config->FindB("Debug::pkgAcquire",false)),
                           Running(false)
 {
    Initialize();
 }
-pkgAcquire::pkgAcquire(pkgAcquireStatus *Progress) : LockFD(-1), Queues(0), Workers(0),
+pkgAcquire::pkgAcquire(pkgAcquireStatus *Progress) : LockFD(-1), d(NULL), Queues(0), Workers(0),
                           Configs(0), Log(NULL), ToFetch(0),
                           Debug(_config->FindB("Debug::pkgAcquire",false)),
                           Running(false)
@@ -75,7 +77,7 @@ void pkgAcquire::Initialize()
 
    // chown the auth.conf file as it will be accessed by our methods
    std::string const SandboxUser = _config->Find("APT::Sandbox::User");
-   if (getuid() == 0 && SandboxUser.empty() == false) // if we aren't root, we can't chown, so don't try it
+   if (getuid() == 0 && SandboxUser.empty() == false && SandboxUser != "root") // if we aren't root, we can't chown, so don't try it
    {
       struct passwd const * const pw = getpwnam(SandboxUser.c_str());
       struct group const * const gr = getgrnam("root");
@@ -101,7 +103,7 @@ static bool SetupAPTPartialDirectory(std::string const &grand, std::string const
       return false;
 
    std::string const SandboxUser = _config->Find("APT::Sandbox::User");
-   if (getuid() == 0 && SandboxUser.empty() == false) // if we aren't root, we can't chown, so don't try it
+   if (getuid() == 0 && SandboxUser.empty() == false && SandboxUser != "root") // if we aren't root, we can't chown, so don't try it
    {
       struct passwd const * const pw = getpwnam(SandboxUser.c_str());
       struct group const * const gr = getgrnam("root");
@@ -447,8 +449,125 @@ void pkgAcquire::RunFds(fd_set *RSet,fd_set *WSet)
 /* This runs the queues. It manages a select loop for all of the
    Worker tasks. The workers interact with the queues and items to
    manage the actual fetch. */
+static bool IsAccessibleBySandboxUser(std::string const &filename, bool const ReadWrite)
+{
+   // you would think this is easily to answer with faccessat, right? Wrong!
+   // It e.g. gets groups wrong, so the only thing which works reliable is trying
+   // to open the file we want to open later on…
+   if (unlikely(filename.empty()))
+      return true;
+
+   if (ReadWrite == false)
+   {
+      errno = 0;
+      // can we read a file? Note that non-existing files are "fine"
+      int const fd = open(filename.c_str(), O_RDONLY | O_CLOEXEC);
+      if (fd == -1 && errno == EACCES)
+        return false;
+      close(fd);
+      return true;
+   }
+   else
+   {
+      // the file might not exist yet and even if it does we will fix permissions,
+      // so important is here just that the directory it is in allows that
+      std::string const dirname = flNotFile(filename);
+      if (unlikely(dirname.empty()))
+        return true;
+
+      char const * const filetag = ".apt-acquire-privs-test.XXXXXX";
+      std::string const tmpfile_tpl = flCombine(dirname, filetag);
+      std::unique_ptr<char, decltype(std::free) *> tmpfile { strdup(tmpfile_tpl.c_str()), std::free };
+      int const fd = mkstemp(tmpfile.get());
+      if (fd == -1 && errno == EACCES)
+        return false;
+      RemoveFile("IsAccessibleBySandboxUser", tmpfile.get());
+      close(fd);
+      return true;
+   }
+}
+static void CheckDropPrivsMustBeDisabled(pkgAcquire const &Fetcher)
+{
+   if(getuid() != 0)
+      return;
+
+   std::string const SandboxUser = _config->Find("APT::Sandbox::User");
+   if (SandboxUser.empty() || SandboxUser == "root")
+      return;
+
+   struct passwd const * const pw = getpwnam(SandboxUser.c_str());
+   if (pw == NULL)
+      return;
+
+   gid_t const old_euid = geteuid();
+   gid_t const old_egid = getegid();
+
+   long const ngroups_max = sysconf(_SC_NGROUPS_MAX);
+   std::unique_ptr<gid_t[]> old_gidlist(new gid_t[ngroups_max]);
+   if (unlikely(old_gidlist == NULL))
+      return;
+   ssize_t old_gidlist_nr;
+   if ((old_gidlist_nr = getgroups(ngroups_max, old_gidlist.get())) < 0)
+   {
+      _error->FatalE("getgroups", "getgroups %lu failed", ngroups_max);
+      old_gidlist[0] = 0;
+      old_gidlist_nr = 1;
+   }
+   if (setgroups(1, &pw->pw_gid))
+      _error->FatalE("setgroups", "setgroups %u failed", pw->pw_gid);
+
+   if (setegid(pw->pw_gid) != 0)
+      _error->FatalE("setegid", "setegid %u failed", pw->pw_gid);
+   if (seteuid(pw->pw_uid) != 0)
+      _error->FatalE("seteuid", "seteuid %u failed", pw->pw_uid);
+
+   for (pkgAcquire::ItemCIterator I = Fetcher.ItemsBegin();
+       I != Fetcher.ItemsEnd(); ++I)
+   {
+      // no need to drop privileges for a complete file
+      if ((*I)->Complete == true)
+        continue;
+
+      // if destination file is inaccessible all hope is lost for privilege dropping
+      if (IsAccessibleBySandboxUser((*I)->DestFile, true) == false)
+      {
+        _error->WarningE("pkgAcquire::Run", _("Can't drop privileges for downloading as file '%s' couldn't be accessed by user '%s'."),
+              (*I)->DestFile.c_str(), SandboxUser.c_str());
+        _config->Set("APT::Sandbox::User", "");
+        break;
+      }
+
+      // if its the source file (e.g. local sources) we might be lucky
+      // by dropping the dropping only for some methods.
+      URI const source = (*I)->DescURI();
+      if (source.Access == "file" || source.Access == "copy")
+      {
+        std::string const conf = "Binary::" + source.Access + "::APT::Sandbox::User";
+        if (_config->Exists(conf) == true)
+           continue;
+
+        if (IsAccessibleBySandboxUser(source.Path, false) == false)
+        {
+           _error->NoticeE("pkgAcquire::Run", _("Can't drop privileges for downloading as file '%s' couldn't be accessed by user '%s'."),
+                 source.Path.c_str(), SandboxUser.c_str());
+           _config->CndSet("Binary::file::APT::Sandbox::User", "root");
+           _config->CndSet("Binary::copy::APT::Sandbox::User", "root");
+        }
+      }
+   }
+
+   if (seteuid(old_euid) != 0)
+      _error->FatalE("seteuid", "seteuid %u failed", old_euid);
+   if (setegid(old_egid) != 0)
+      _error->FatalE("setegid", "setegid %u failed", old_egid);
+   if (setgroups(old_gidlist_nr, old_gidlist.get()))
+      _error->FatalE("setgroups", "setgroups %u failed", 0);
+}
 pkgAcquire::RunResult pkgAcquire::Run(int PulseIntervall)
 {
+   _error->PushToStack();
+   CheckDropPrivsMustBeDisabled(*this);
+
    Running = true;
    
    for (Queue *I = Queues; I != 0; I = I->Next)
@@ -484,11 +603,9 @@ pkgAcquire::RunResult pkgAcquire::Run(int PulseIntervall)
         _error->Errno("select","Select has failed");
         break;
       }
-            
+
       RunFds(&RFds,&WFds);
-      if (_error->PendingError() == true)
-        break;
-      
+
       // Timeout, notify the log class
       if (Res == 0 || (Log != 0 && Log->Update == true))
       {
@@ -513,9 +630,11 @@ pkgAcquire::RunResult pkgAcquire::Run(int PulseIntervall)
 
    // Shut down the items
    for (ItemIterator I = Items.begin(); I != Items.end(); ++I)
-      (*I)->Finished(); 
-   
-   if (_error->PendingError())
+      (*I)->Finished();
+
+   bool const newError = _error->PendingError();
+   _error->MergeWithStack();
+   if (newError)
       return Failed;
    if (WasCancelled)
       return Cancelled;
@@ -581,7 +700,7 @@ bool pkgAcquire::Clean(string Dir)
       
       // Nothing found, nuke it
       if (I == Items.end())
-        unlink(Dir->d_name);
+        RemoveFile("Clean", Dir->d_name);
    };
    
    closedir(D);
@@ -595,10 +714,10 @@ bool pkgAcquire::Clean(string Dir)
 /* This is the total number of bytes needed */
 APT_PURE unsigned long long pkgAcquire::TotalNeeded()
 {
-   unsigned long long Total = 0;
-   for (ItemCIterator I = ItemsBegin(); I != ItemsEnd(); ++I)
-      Total += (*I)->FileSize;
-   return Total;
+   return std::accumulate(ItemsBegin(), ItemsEnd(), 0,
+      [](unsigned long long const T, Item const * const I) {
+        return T + I->FileSize;
+   });
 }
                                                                        /*}}}*/
 // Acquire::FetchNeeded - Number of bytes needed to get                        /*{{{*/
@@ -606,11 +725,13 @@ APT_PURE unsigned long long pkgAcquire::TotalNeeded()
 /* This is the number of bytes that is not local */
 APT_PURE unsigned long long pkgAcquire::FetchNeeded()
 {
-   unsigned long long Total = 0;
-   for (ItemCIterator I = ItemsBegin(); I != ItemsEnd(); ++I)
-      if ((*I)->Local == false)
-        Total += (*I)->FileSize;
-   return Total;
+   return std::accumulate(ItemsBegin(), ItemsEnd(), 0,
+      [](unsigned long long const T, Item const * const I) {
+        if (I->Local == false)
+           return T + I->FileSize;
+        else
+           return T;
+   });
 }
                                                                        /*}}}*/
 // Acquire::PartialPresent - Number of partial bytes we already have   /*{{{*/
@@ -618,11 +739,13 @@ APT_PURE unsigned long long pkgAcquire::FetchNeeded()
 /* This is the number of bytes that is not local */
 APT_PURE unsigned long long pkgAcquire::PartialPresent()
 {
-  unsigned long long Total = 0;
-   for (ItemCIterator I = ItemsBegin(); I != ItemsEnd(); ++I)
-      if ((*I)->Local == false)
-        Total += (*I)->PartialSize;
-   return Total;
+   return std::accumulate(ItemsBegin(), ItemsEnd(), 0,
+      [](unsigned long long const T, Item const * const I) {
+        if (I->Local == false)
+           return T + I->PartialSize;
+        else
+           return T;
+   });
 }
                                                                        /*}}}*/
 // Acquire::UriBegin - Start iterator for the uri list                 /*{{{*/
@@ -653,8 +776,8 @@ pkgAcquire::MethodConfig::MethodConfig() : d(NULL), Next(0), SingleInstance(fals
 // Queue::Queue - Constructor                                          /*{{{*/
 // ---------------------------------------------------------------------
 /* */
-pkgAcquire::Queue::Queue(string Name,pkgAcquire *Owner) : d(NULL), Next(0),
-   Name(Name), Items(0), Workers(0), Owner(Owner), PipeDepth(0), MaxPipeDepth(1)
+pkgAcquire::Queue::Queue(string const &name,pkgAcquire * const owner) : d(NULL), Next(0),
+   Name(name), Items(0), Workers(0), Owner(owner), PipeDepth(0), MaxPipeDepth(1)
 {
 }
                                                                        /*}}}*/
@@ -846,8 +969,8 @@ bool pkgAcquire::Queue::Cycle()
         return true;
 
       I->Worker = Workers;
-      for (QItem::owner_iterator O = I->Owners.begin(); O != I->Owners.end(); ++O)
-        (*O)->Status = pkgAcquire::Item::StatFetching;
+      for (auto const &O: I->Owners)
+        O->Status = pkgAcquire::Item::StatFetching;
       PipeDepth++;
       if (Workers->QueueItem(I) == false)
         return false;
@@ -899,11 +1022,11 @@ HashStringList pkgAcquire::Queue::QItem::GetExpectedHashes() const       /*{{{*/
 APT_PURE unsigned long long pkgAcquire::Queue::QItem::GetMaximumSize() const   /*{{{*/
 {
    unsigned long long Maximum = std::numeric_limits<unsigned long long>::max();
-   for (pkgAcquire::Queue::QItem::owner_iterator O = Owners.begin(); O != Owners.end(); ++O)
+   for (auto const &O: Owners)
    {
-      if ((*O)->FileSize == 0)
+      if (O->FileSize == 0)
         continue;
-      Maximum = std::min(Maximum, (*O)->FileSize);
+      Maximum = std::min(Maximum, O->FileSize);
    }
    if (Maximum == std::numeric_limits<unsigned long long>::max())
       return 0;
@@ -925,15 +1048,15 @@ void pkgAcquire::Queue::QItem::SyncDestinationFiles() const              /*{{{*/
       if (lstat((*O)->DestFile.c_str(),&file) == 0)
       {
         if ((file.st_mode & S_IFREG) == 0)
-           unlink((*O)->DestFile.c_str());
+           RemoveFile("SyncDestinationFiles", (*O)->DestFile);
         else if (supersize < file.st_size)
         {
            supersize = file.st_size;
-           unlink(superfile.c_str());
+           RemoveFile("SyncDestinationFiles", superfile);
            rename((*O)->DestFile.c_str(), superfile.c_str());
         }
         else
-           unlink((*O)->DestFile.c_str());
+           RemoveFile("SyncDestinationFiles", (*O)->DestFile);
         if (symlink(superfile.c_str(), (*O)->DestFile.c_str()) != 0)
         {
            ; // not a problem per-se and no real alternative