[devel] __libc_enable_secure в openssl libcrypto

Dmitry V. Levin ldv на altlinux.org
Сб Апр 18 02:54:46 MSK 2020


On Sat, Apr 18, 2020 at 02:21:43AM +0300, Mikhail Novosyolov wrote:
> Попробовал собрать AppImage на основе библиотек из Альта. AppImage - это такая штука, где сбандлены необходимые для работы программы библиотеки, но libc используется системная, что позволяет и программу запускать в разных дистрибутивах, и системные плагины NSS использовать. Для этой цели собрал в сизиф пакет linuxdeployqt.
> 
> Оказалось, что libcrypto.so.10 (я делал на основе p8, то же самое будет относиться и к сизифу) использует внутренний в glibc интерфейс __libc_enable_secure, который не выведен наружу в других дистрибутивах.

Всё-таки __libc_enable_secure выведен у всех, потому что этот символ
определён в ld, а используется ещё и в libc.  Но у нас этот символ
версионирован не как у всех в GLIBC_PRIVATE, а в baseline version, что,
наверное, было не совсем правильно сделано, лучше было бы выделить для
этого отдельную версию, но потом уже поздно было это менять.

У нас в libc есть ещё несколько символов, которые широко используются
нашими пакетами, но которых пока нет в других libc:
__strlcat_chk
__strlcpy_chk
strlcat
strlcpy

> Это сделано патчем openssl-owl-alt-issetugid.patch:
> > --- openssl/crypto/uid.c
> > +++ openssl/crypto/uid.c
> > @@ -77,8 +77,12 @@ int OPENSSL_issetugid(void)
> >  # include OPENSSL_UNISTD
> >  # include <sys/types.h>
> >  
> > +extern int __libc_enable_secure;
> > +
> >  int OPENSSL_issetugid(void)
> >  {
> > +    if (__libc_enable_secure)
> > +        return 1;
> >      if (getuid() != geteuid())
> >          return 1;
> >      if (getgid() != getegid())
> В связи с этим возник вопрос: в Альте glibc запатчен, чтобы вывести эту внутреннюю функцию?

Да, коммит 730399f767758a200256d7eb20f74d2310ab973b.

> Используется ли она в каких-либо еще внешних потребителях?

Как минимум ещё в libtinfo.


-- 
ldv


Подробная информация о списке рассылки Devel