熊猫です。 プログラム実行要求( execve() システムコール)のエラーハンドリング漏れが原因で、 1回目のプログラム実行要求が CaitSith のポリシー設定により拒否された後に、再度同じ プログラム実行要求を行った場合に、プログラム実行要求が許可されてしまうという不具合の 報告が Luiz さんからありました。 例えば、 /usr/bin/top の実行を拒否するようなポリシーを設定をしている状態で 以下のプログラムを実行した場合に、この不具合の影響を受けます。 ---------- #include <unistd.h> int main(int argc, char *argv[]) { execl("/usr/bin/top", "top", NULL); // <= ポリシー設定により拒否される。 execl("/usr/bin/top", "top", NULL); // <= 誤って許可される。 return 0; } ---------- この不具合は、 execve() システムコールの終わりに必ず呼び出される LSM フックが 削除された Linux 2.6.29 以降のカーネルで、 AKARI または LKM-based LSM 版の CaitSith を使用している場合に発生します。 この不具合は、 TOMOYO 1.8 および fully featured 版の CaitSith では発生しません。 ( AKARI は LKM-based LSM 版の TOMOYO 1.8 です。) そのため、 AKARI または LKM-based LSM 版の CaitSith を使用している場合は アップデートをお願いします。 MD5 Filename 666667388cb548898521c2f64bc84979 akari-1.0.48-20230527.tar.gz 3333fd38701319b60a0f35ae413eea44 caitsith-patch-0.2-20230527.tar.gz aaaa00bcf527233be826b58b57dc58f6 ccs-patch-1.8.9-20230527.tar.gz