TOMOYO
Fork 熊猫です。
プログラム実行要求( execve() システムコール)のエラーハンドリング漏れが原因で、
1回目のプログラム実行要求が CaitSith のポリシー設定により拒否された後に、再度同じ
プログラム実行要求を行った場合に、プログラム実行要求が許可されてしまうという不具合の
報告が Luiz さんからありました。
例えば、 /usr/bin/top の実行を拒否するようなポリシーを設定をしている状態で
以下のプログラムを実行した場合に、この不具合の影響を受けます。
----------
#include <unistd.h>
int main(int argc, char *argv[])
{
execl("/usr/bin/top", "top", NULL); // <= ポリシー設定により拒否される。
execl("/usr/bin/top", "top", NULL); // <= 誤って許可される。
return 0;
}
----------
この不具合は、 execve() システムコールの終わりに必ず呼び出される LSM フックが
削除された Linux 2.6.29 以降のカーネルで、 AKARI または LKM-based LSM 版の
CaitSith を使用している場合に発生します。
この不具合は、 TOMOYO 1.8 および fully featured 版の CaitSith では発生しません。
( AKARI は LKM-based LSM 版の TOMOYO 1.8 です。)
そのため、 AKARI または LKM-based LSM 版の CaitSith を使用している場合は
アップデートをお願いします。
MD5 Filename
666667388cb548898521c2f64bc84979 akari-1.0.48-20230527.tar.gz
3333fd38701319b60a0f35ae413eea44 caitsith-patch-0.2-20230527.tar.gz
aaaa00bcf527233be826b58b57dc58f6 ccs-patch-1.8.9-20230527.tar.gz