[tomoyo-users 984] TOMOYO/AKARI/CaitSith が bash 脆弱性に対してできること

Back to archive index

Tetsuo Handa from-****@I-lov*****
2014年 9月 27日 (土) 21:28:38 JST


Dan Walsh さんが What does SELinux do to contain the the bash exploit?
( http://danwalsh.livejournal.com/71122.html ) という記事を書いたので、
熊猫も TOMOYO/AKARI/CaitSith の場合について書こうと思います。



TOMOYO/AKARI/CaitSith はコマンドライン引数/環境変数の名前や値を検査する機能を
備えた名前ベースのアクセス制御を行います。そのため、「任意のOSコマンドを挿入
できる脆弱性」からの防御が得意です。

例えば、 /bin/bash から /bin/mail の実行のみを許可して強制モードを使用している
場合、 /bin/bash からは /bin/mail の実行しかできません。言い換えると、細工
された環境変数は /bin/cat /bin/mv /bin/rm 等を実行することはできず、 /bin/mail
だけを実行することができます。

例えば、 /bin/mail のコマンドライン引数(例: /bin/sh -c "mail root")を明示
した上で実行を許可して強制モードを使用している場合、指定されたコマンドライン
引数を伴った /bin/mail の実行しかできません。仮に /bin/mail のコマンドライン
引数を明示しなかったとしても、 /bin/mail がアクセス可能な資源にしかアクセス
できません。



ところで、 TOMOYO/AKARI を使用していないけれども、 CVE-2014-6271 による影響を
受ける可能性のある箇所を判断するために bash がどこから起動されているかを調査
したい場合、 TaskTracker カーネルモジュール
http://sourceforge.jp/projects/akari/scm/svn/tree/head/branches/tasktracker/
が役に立つかもしれません。

また、 LinuxCon Japan 2014 で発表した「 How to obtain information for
troubleshooting enterprise servers 」のスライド
http://I-love.SAKURA.ne.jp/tomoyo/LCJ2014-ja.pdf には、 Linux システムを理解
するための様々なアイデアが紹介されています。質問やフィードバックを歓迎します。




tomoyo-users メーリングリストの案内
Back to archive index