forum.opennet.ru

Составление сообщения

Исходное сообщение

"Анализ безопасности показал переоценку защиты с использовани..."
Отправлено PereresusNeVlezaetBuggy, 10-Янв-11 16:43

> То есть вполне очевидно что сбросить эти флажки можно, ровно в том
> же духе что и суид.
> Таким образом, разработчикам федоры да убунты просто стоит позаботиться о том чтобы
> пропатчить код суидных программ - дропать capabilities вместо suid/sgid/
Угу, вот собсно код проверки в kernel/capability.c, capset(2):
    if (get_user(pid, &header->pid))
        return -EFAULT;
    /* may only affect current now */
    if (pid != 0 && pid != task_pid_vnr(current))
        return -EPERM;
И код обновления привилегий в security/commoncap.c:
int cap_capset(struct cred *new,
           const struct cred *old,
           const kernel_cap_t *effective,
           const kernel_cap_t *inheritable,
           const kernel_cap_t *permitted)
{
    if (cap_inh_is_capped() &&
        !cap_issubset(*inheritable,
              cap_combine(old->cap_inheritable,
                      old->cap_permitted)))
        /* incapable of using this inheritable set */
        return -EPERM;
    if (!cap_issubset(*inheritable,
              cap_combine(old->cap_inheritable,
                      old->cap_bset)))
        /* no new pI capabilities outside bounding set */
        return -EPERM;
    /* verify restrictions on target's new Permitted set */
    if (!cap_issubset(*permitted, old->cap_permitted))
        return -EPERM;
    /* verify the _new_Effective_ is a subset of the _new_Permitted_ */
    if (!cap_issubset(*effective, *permitted))
        return -EPERM;
    new->cap_effective   = *effective;
    new->cap_inheritable = *inheritable;
    new->cap_permitted   = *permitted;
    return 0;
}
Значит, претензия действительно чисто к невнимательным товарищам из Ubuntu & Co.

Исходное сообщение
"Анализ безопасности показал переоценку защиты с использовани..." Отправлено PereresusNeVlezaetBuggy, 10-Янв-11 16:43
> То есть вполне очевидно что сбросить эти флажки можно, ровно в том > же духе что и суид. > Таким образом, разработчикам федоры да убунты просто стоит позаботиться о том чтобы > пропатчить код суидных программ - дропать capabilities вместо suid/sgid/ Угу, вот собсно код проверки в kernel/capability.c, capset(2): if (get_user(pid, &header->pid)) return -EFAULT; /* may only affect current now / if (pid != 0 && pid != task_pid_vnr(current)) return -EPERM; И код обновления привилегий в security/commoncap.c: int cap_capset(struct cred new, const struct cred old, const kernel_cap_t effective, const kernel_cap_t inheritable, const kernel_cap_t permitted) { if (cap_inh_is_capped() && !cap_issubset(inheritable, cap_combine(old->cap_inheritable, old->cap_permitted))) / incapable of using this inheritable set / return -EPERM; if (!cap_issubset(inheritable, cap_combine(old->cap_inheritable, old->cap_bset))) /* no new pI capabilities outside bounding set / return -EPERM; / verify restrictions on target's new Permitted set / if (!cap_issubset(permitted, old->cap_permitted)) return -EPERM; /* verify the _new_Effective_ is a subset of the _new_Permitted_ / if (!cap_issubset(effective, permitted)) return -EPERM; new->cap_effective = effective; new->cap_inheritable = inheritable; new->cap_permitted = permitted; return 0; } Значит, претензия действительно чисто к невнимательным товарищам из Ubuntu & Co.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>> То есть вполне очевидно что сбросить эти флажки можно, ровно в том 
>> же духе что и суид.
>> Таким образом, разработчикам федоры да убунты просто стоит позаботиться о том чтобы 
>> пропатчить код суидных программ - дропать capabilities вместо suid/sgid/

> Угу, вот собсно код проверки в kernel/capability.c, capset(2):

> [code] if (get_user(pid, &header->pid)) 
>   return -EFAULT;

>  /* may only affect current now */ 
>  if (pid != 0 && pid != task_pid_vnr(current)) 
>   return -EPERM;[/code]

> И код обновления привилегий в security/commoncap.c:

> [code]int cap_capset(struct cred *new, 
>         const struct cred *old, 
 
>         const kernel_cap_t *effective, 
>         const kernel_cap_t *inheritable, 
>         const kernel_cap_t *permitted) 
> { 
>  if (cap_inh_is_capped() && 
>      !cap_issubset(*inheritable, 
>      cap_combine(old->cap_inheritable, 
>           old->cap_permitted))) 
>   /* incapable of using this inheritable set */ 
>   return -EPERM;

>  if (!cap_issubset(*inheritable, 
>      cap_combine(old->cap_inheritable, 
>           old->cap_bset))) 
>   /* no new pI capabilities outside bounding set */ 
>   return -EPERM;

>  /* verify restrictions on target's new Permitted set */ 
>  if (!cap_issubset(*permitted, old->cap_permitted)) 
>   return -EPERM;

>  /* verify the _new_Effective_ is a subset of the _new_Permitted_ */ 
 
>  if (!cap_issubset(*effective, *permitted)) 
>   return -EPERM;

>  new->cap_effective   = *effective; 
>  new->cap_inheritable = *inheritable; 
>  new->cap_permitted   = *permitted; 
>  return 0; 
> }[/code]

> Значит, претензия действительно чисто к невнимательным товарищам из Ubuntu & Co.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру