WIP/fixbpf #13

crtxcr · 2021-08-12T12:30:59+02:00

crtxcr hat

2021-08-12 12:30:59 +02:00

kommentiert

Besitzer

TODO:

EACCES is hardcoded
Shrink BPF filter.

TODO: - EACCES is hardcoded - Shrink BPF filter.

crtxcr hat 3 Commits 2021-08-12 12:31:00 +02:00 hinzugefügt

bpf: Use SECCOMP_RET_KILL_PROCESS instead SECCOMP_RET_KILL 5cd45c09b7

We generally want to kill the process not the thread.

bpf: Check arch value 66c6d28dcd

The filter was missing this check for arch, allowing bypasses
by using different calling conventions of other architectures.

A trivial example is execve() of x86 from and x86_64 process.

bpf: Deny x32 system calls for now 51844ea3ab

The arch field is the same for x86_64 and x32, thus checking it
is not enough.

Simply using x32 system calls would allow a bypass. Thus,
we must check whether the system call number is in __X32_SYSCALL_BIT.

This is of course a lazy solution, we could also add the
same system call number + _X32_SYSCALL_BIT to our black/whitelists.

For now however, this however will do.

crtxcr hat 2021-09-05 12:32:25 +02:00 WIP/fixbpf von 89c5496fab zu 83487c1699 force-gepusht Vergleichen

crtxcr hat 2021-09-05 17:14:14 +02:00 WIP/fixbpf von 91a9b778eb zu 8a9b1730de force-gepusht Vergleichen

crtxcr hat 1 Commit 2021-09-05 17:24:46 +02:00 hinzugefügt

Rename qssb_append_default_syscall_policy() to better distinguish it from qssb_append_syscall_default_policy() 411e00715d

crtxcr hat 1 Commit 2021-09-06 21:53:45 +02:00 hinzugefügt

enable_no_fs(): Fix corresponding test by adding missing default policy 215032f32c

crtxcr hat diesen Pull-Request

2021-09-06 21:58:06 +02:00

geschlossen

Pull-Request geschlossen

Dieser Pull-Request kann nicht wieder geöffnet werden, da die Branch bereits gelöscht wurde.

Anmelden, um an der Diskussion teilzunehmen.

1 Beteiligte

Nachrichten

Fällig am

Kein Fälligkeitsdatum gesetzt.

Abhängigkeiten

Keine Abhängigkeiten gesetzt.

Referenz: crtxcr/exile.h#13