漏洞总结:touch 创建路径 TOCTOU 竞争条件 漏洞概述 在 的 命令中,当处理缺失路径时,存在一个竞争条件(TOCTOU)。 原因: 使用 标志,导致在 检查存在性和 创建文件之间存在时间窗口。如果其他进程在此期间创建路径(或将其替换为符号链接指向现有文件), 将以截断模式打开该文件。 对比:GNU 使用 配合 标志,没有先验存在性检查,因此不存在此问题。 影响范围 当 在攻击者可写的目录中运行,或在攻击者控制的路径上以高权限运行时,存在意外截断/破坏文件的风险。 修复方案 建议调用 以避免在 之前发生潜在的 TOCTOU 竞争。 POC / 复现步骤 (Syscall trace on a missing path) uutils: GNU: