Use resolved path for both checking and opening.
Jeff Sharkey [Thu, 7 Jan 2016 21:15:59 +0000 (14:15 -0700)]
This avoids a race condition where someone can change a symlink
target after the security checks have passed.

Bug: 26211054
Change-Id: I5842aaecc7b7d417a3b1902957b59b8a1f3c1ccb

src/com/android/providers/downloads/DownloadProvider.java
src/com/android/providers/downloads/Helpers.java

index 4b23024..2d914c4 100644 (file)
@@ -1230,9 +1230,15 @@ public final class DownloadProvider extends ContentProvider {
             throw new FileNotFoundException("No filename found.");
         }
 
-        final File file = new File(path);
+        final File file;
+        try {
+            file = new File(path).getCanonicalFile();
+        } catch (IOException e) {
+            throw new FileNotFoundException(e.getMessage());
+        }
+
         if (!Helpers.isFilenameValid(getContext(), file)) {
-            throw new FileNotFoundException("Invalid file: " + file);
+            throw new FileNotFoundException("Invalid file path: " + file);
         }
 
         final int pfdMode = ParcelFileDescriptor.parseMode(mode);
index eb07139..7ca50bb 100644 (file)
@@ -341,7 +341,6 @@ public class Helpers {
     static boolean isFilenameValid(Context context, File file) {
         final File[] whitelist;
         try {
-            file = file.getCanonicalFile();
             whitelist = new File[] {
                     context.getFilesDir().getCanonicalFile(),
                     context.getCacheDir().getCanonicalFile(),