[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:18572] Re: gnome-same-gnome とかの日本語表示



From: Toyohiko Nagai <nagai@xxxxxxxxxxxx>
Subject: [debian-users:18546] Re: gnome-same-gnomeとかの日本語表示
>   「SUID/GUIDのプログラムがシステムデフォルトおよびシステム管
> 理者が /etc/ld.so.conf で許容している場所以外に格納してある共
> 有ライブラリをリンクすることはセキュアでない」

これだけではありません。
もう一つの条件として

「system の defaut path である (例えば) /usr/lib/gconv 以外は
  insecure であるため検索しない」

From: Toyohiko Nagai <nagai@xxxxxxxxxxxx>
Subject: [debian-users:18546] Re: gnome-same-gnomeとかの日本語表示
>   しかしセキュアさを保つという意味では rpath の指定が無視され
> るのは正しいように思えます。実際 glibc 内部では、実効UID != 実
> UID もしくは 実効GID != 実GID のどちらかが成立する場合は内部変
> 数 __libc_enable_secure によってその動きを変え、結果ライブラリ
> のロードパターンを変化させているようにみえます。

secure 云々の以前にデフォルトパスにある /usr/lib/gconv の中の
libJIS.so が使えなければ、元も子もないのでは?
setuid されたプログラムが LD_LIBRARY_PATH に指定されたパスにある
libJIS.so を dynamic loading するとき、もしこれがユーザーが悪意
をもって作った .so だとすると system 的に insecure なので、
これは回避しなければなりませんが。

なお、EUC-JP の .so が正しく dynamic loading できている
(strace の結果による) ことから、またそのとき /usr/lib/gconv 
を正しく expand していることから、libJIS.so の問題であること
は間違いありません。

From: Toyohiko Nagai <nagai@xxxxxxxxxxxx>
Subject: [debian-users:18546] Re: gnome-same-gnomeとかの日本語表示
> ukai>  * glibc/iconvdata/Makefile で libJIS.so とかにも -rrpath,'$$ORIGIN'
> ukai>   が必要なのではないか?
> 
>   こっちの方法は、glibc の elf/dl-load.c ソースの中にある
> 
>   /* $ORIGIN is not expanded for SUID/GUID programs.  */
> 
> というくだりには引っかからないものでしょうか?実は私は、rpath 

こちらは現在、パッチをあてて調査中です。

# P5-90 のマシンで glibc をコンパイルすると
# 猛烈に時間がかかるので、まだ結果が出てません :-)

--
後藤 正徳