최근 랜드락 샌드박싱의 업데이트는 파일 시스템과 독립적으로 작동하는 로컬 프로세스 간 통신에 필수적인 추상 유닉스 소켓에 대한 향상된 제어 기능을 도입했습니다. 이전에는 샌드박스화된 프로세스가 추상 소켓 주소에 대한 제한이 없었기 때문에 환경 외부의 소켓에 연결할 수 있었습니다. 이는 보안 위험을 초래했으며, 이러한 소켓에 대한 접근은 ptrace와 유사하게 제한되어야 합니다.
이 취약점을 해결하기 위해 사용자 공간 인터페이스는 랜드락 규칙 세트 속성 구조에 새로운 'scoped' 필드를 추가하여 확장되었습니다. 이 필드는 다양한 기능을 제한하기 위해 서로 다른 권한을 지정할 수 있도록 합니다. 특히 'LANDLOCK_SCOPED_ABSTRACT_UNIX_SOCKET' 필드의 도입은 규칙 세트가 샌드박스 도메인 내에서 부모로의 연결을 거부할 수 있게 하여, 샌드박스화된 프로세스가 부모 샌드박스나 비샌드박스 프로세스에 접근하는 것을 효과적으로 방지합니다.
이러한 향상된 기능은 랜드락을 사용하는 애플리케이션의 보안 태세를 개선할 뿐만 아니라, 기존의 보안 관행과 기능을 더욱 밀접하게 일치시켜 기술 산업에서의 관련성을 높입니다.
* 이 글은
phoronix.com의 기사를 요약한 것입니다. 전체 기사의 내용은
이곳에서 확인하실 수 있습니다.