Tetsuo Handa
from-****@I-lov*****
2008年 10月 14日 (火) 19:44:02 JST
TOMOYO
Fork 熊猫です。
TOMOYO Linux 1.6.4 に不具合が発見されました。例えば
allow_network TCP connect 10.0.0.1 80 if task.state[0]=100
のように、「パス名を扱わないアクセス許可の if 節において task.state を指定した
場合に、そのアクセス許可が存在しないかのように動作する」というものです。
TOMOYO Linux 1.6.0 〜 1.6.4 が影響を受けます。
TOMOYO Linux 1.5.5 までには影響しません。なお、
allow_network TCP connect 10.0.0.1 80 if task.uid=100
のように、 task.state を指定しないアクセス許可は影響を受けません。
次回リリース時に修正しますが、今すぐ修正されたい方は
以下のパッチを適用して再コンパイルしていただきますようにお願いします。
よろしくお願いします。
diff -urp 1.6.4/fs/tomoyo_cond.c 1.6.4-hotfix/fs/tomoyo_cond.c
--- 1.6.4/fs/tomoyo_cond.c 2008-09-03 00:00:00.000000000 +0900
+++ 1.6.4-hotfix/fs/tomoyo_cond.c 2008-10-14 16:38:51.000000000 +0900
@@ -1031,8 +1031,8 @@ bool ccs_check_condition(const struct ac
const u8 left = header >> 8;
const u8 right = header;
ptr++;
- if ((left >= PATH1_UID && left < MAX_KEYWORD) ||
- (right >= PATH1_UID && right < MAX_KEYWORD)) {
+ if ((left >= PATH1_UID && left < EXEC_ARGC) ||
+ (right >= PATH1_UID && right < EXEC_ARGC)) {
if (!obj)
goto out;
if (!obj->validate_done) {