%60%20%E3%82%92%E4%BD%BF%E7%94%A8%E3%81%97%E3%81%A6%200%20%E3%82%92%E8%BF%94%E3%81%99%E3%82%88%E3%81%86%E3%81%AB%E3%81%99%E3%82%8B%E3%81%AB%E3%81%AF%E3%81%A9%E3%81%86%E3%81%99%E3%82%8C%E3%81%B0%E3%82%88%E3%81%84%E3%81%A7%E3%81%97%E3%82%87%E3%81%86%E3%81%8B%E3%80%82.png)
私は Debian システムのドキュメントを読んでいたのですseccomp(2)が、以下の段落の次の文に偶然出会いました。
このような悪意のあるフィルターにより、たとえば、
setuid(2)呼び出し元のユーザー ID をゼロ以外の値に設定しようとして、実際にシステム コールを行わずに 0 を返すようにする可能性があります。
seccompフィルターを悪用して、上記のようなことを実現するにはどうすればよいでしょうか?
悪意のあるフィルターが を許可しない場合setuid(2)、プロセスはSIGSYSシグナルを受信して終了し、システムコールは実行されなくなります。
悪意のあるフィルターが許可した場合setuid(2)、execve(2)プログラムはユーザーの UID を正しく変更します。
何が足りないのでしょうか?
man seccomp:
...
それ以外の場合、SECCOMP_SET_MODE_FILTER 操作は失敗し、errno に EACCES を返します。この要件により、権限のないプロセスが悪意のあるフィルタを適用して、 を使用して set-user-ID またはその他の権限のあるプログラムを呼び出し
execve(2)、そのプログラムを危険にさらす可能性がなくなります。(このような悪意のあるフィルタにより、たとえば、 を 使用しsetuid(2)て呼び出し元のユーザ ID を 0 以外の値に設定しようとすると、実際にはシステム コールを行わずに 0 が返される可能性があります。そのため、実際には権限を放棄していないため、危険なことを行うようにプログラムが影響を受ける可能性がある状況で、プログラムがスーパーユーザ権限を保持するように誘導される可能性があります。)...