名词释义： PAC: Pointer Authentication Code PA: Pointer Authentication SCTLR: System ConTroL Register 该特性为指针值提供【签名】和【校验】的能力。ARM64 硬件上提供 5 个秘钥，分别用于为三种地址生成 PAC： 代码地址：API{A,B}Key 数据地址：APD{A,B}Key 通用地址：APGAKey PAC 的值是关于以下三者的函数：1、指针本身；2、上下文相关值（也称 Modifier）1；3、秘钥。 生成后，PAC 会被附在指针值上（即“签在上面”），其所处的位置和长度与当前处理器：1）设置的虚拟地址长度以及；2） …

TL;DR su 与单纯的 set{u,g}id 不一样：前者会通过 setgroups 系统调用来设置进程的 Supplementary Group1；而后者不会，只会修改进程的 {,s,e,fs}{u,g}id。 Supplementary Group 在内核中体现为 struct cred 下的 group_info，本质上是一个长度不固定的 gid 数组（类似 C++ 中的 string_view） 通过内核代码（init_cred 和 init_groups）确认，内核不会为进程添加 Supplementary Group；且 /etc/group 中也没有对应的条目，但 root 用户进程的 Supplementary …

要使能一个 LSM 有两个步骤： 1、该 LSM 的编译选项被打开 各 LSM 代码中都会使用 DEFINE_LSM() 在内核中创建该模块。这个宏的定义如下： 1// include/linux/lsm_hooks.h 2 3#define DEFINE_LSM(lsm) \ 4 static struct lsm_info __lsm_##lsm \ 5 __used __section(".lsm_info.init") \ 6 __aligned(sizeof(unsigned long)) 其实就是创建了一个 struct lsm_info 的实例， …

Linux 内核主线相关补丁： 1ecd5f82e05dd LSM: Infrastructure management of the ipc security blob 2019bcca4626a Smack: Abstract use of ipc security blobs 37c6538280ae9 SELinux: Abstract use of ipc security blobs 4f4ad8f2c4076 LSM: Infrastructure management of the task security 5afb1cbe37440 LSM: Infrastructure management of the …

0x00 基本信息 信息总览：NVD 链接 漏洞披露：bugs.chromium.org 漏洞评估：CVSS 7.8 上游补丁：链接 0x01 详细描述 在 selinux_ptrace_traceme 函数（即 SELinux 对 PTRACE_TRACEME 的 LSM 接口的实现）中发现一个 Use-After-Free 问题，该问题是由于错误地尝试获取其他内核任务的*主体凭证（Subjective Credential）*而导致的。具体情况如下： 原先在 SELinux 中，有个函数 task_sid() 可以获取一个内核任务的*客体凭证（Objective Credential）*所对应的 SID，但却被用在了一些应该使用 …