이 기사는 Linux의 랜드락 샌드박싱 기능에 발생한 중요한 문제를 다룹니다. 랜드락은 권한이 없는 애플리케이션 샌드박싱을 위해 고안되었지만, 최근 패치에 따르면 프로세스의 credential 구조가 대체되면 cred_transfer 훅이 부재하여 랜드락 제한을 우회할 수 있습니다. 이 취약점으로 인해 fork()와 keyctl() 시스템 호출에 액세스할 수 있는 프로세스가 자신의 모든 랜드락 제한을 제거할 수 있어, 보안상 위험이 존재합니다.
이를 해결하기 위해 기사에서는 기존 cred_prepare 훅과 동일한 cred_transfer 훅을 구현할 것을 제안합니다. 이를 통해 향후 두 함수 간의 분기를 방지하고 랜드락 기능의 보안성을 높일 수 있습니다. 이 패치는 Linux 커널에 이미 병합되었으며, Linux 환경에서의 애플리케이션 샌드박싱 무결성을 유지하려는 적극적인 접근방식을 보여줍니다.
* 이 글은
phoronix.com의 기사를 요약한 것입니다. 전체 기사의 내용은
이곳에서 확인하실 수 있습니다.