[devel] /lib/modules/ access permissions (was: libguestfs)

[Dmitry V. Levin]

On Fri, Dec 05, 2014 at 05:14:36PM +0400, Alexey Shabalin wrote:
> 30 ноября 2014 г., 2:47 пользователь Dmitry V. Levin <ldv на altlinux.org> написал:
> > On Sun, Nov 30, 2014 at 12:34:32AM +0300, Alexey Gladkov wrote:
> >> 28.11.2014 20:03, Dmitry V. Levin пишет:
> >> > https://bugzilla.altlinux.org/show_bug.cgi?id=5969
> >>
> >> Времена меняются и modutils и module-init-tools у нас не используются.
> >> Сейчас модули грузятся libkmod, которая не использует fcntl.
> >
> > Да, libkmod не занимается блокировкой файлов модулей, там все просто:
> >         open O_RDONLY
> >         mmap PROT_READ MAP_PRIVATE
> >         finit_module
> > (с разновидностями вида gzdopen/gzread с последующим init_module,
> > если поддерживаются сжатые модули).
> >
> > В ушедшем module-init-tools тоже на авось:
> >         open O_RDONLY
> >         read в цикле
> >         init_module
> >
> >> Я думаю, что описанная в баге проблема должна быть обсуждена ещё раз.
> >
> > Давайте обсудим.  Очевидно, что потенциальный DoS путем блокировки файла
> > модуля сейчас уже не реализуем.
> 
> Привели ли обсуждения к каким-нибудь результатам? Ждать ли каких-либо
> изменений в пакете filesystem?

Слегка обсудили только один вопрос (о блокировках файлов модулей)
и пришли к выводу, что блокировок уже нет.

Вопрос о доступе к vmlinuz (и полученному из него System.map) и модулям
с точки зрения автоматизации атаки на ядро не обсуждался совсем.


-- 
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 181 байтов
Описание: отсутствует
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20141206/bad3bf24/attachment-0001.bin>