Hello,
basically what we are just discussing in
[PATCH 1/4] security: add security_path_chdir hook
also applies here:
Am Donnerstag, 28. November 2013 schrieb Seth Arnold:
> On Tue, Nov 05, 2013 at 05:35:00AM -0800, John Johansen wrote:
> > diff --git a/fs/open.c b/fs/open.c
> > index 9505fc5..f3e276e 100644
> > --- a/fs/open.c
> > +++ b/fs/open.c
> > @@ -343,6 +343,10 @@ retry:
> > goto out_path_release;
> > }
> >
> > + res = security_path_access(&path, mode | MAY_ACCESS);
> > + if (res)
> > + goto out_path_release;
> > +
> >
> > res = inode_permission(inode, mode | MAY_ACCESS);
> > /* SuS v2 requires we report a read only fs too */
> > if (res || !(mode & S_IWOTH) || special_file(inode->i_mode))
Please insert the hook _after_ checking the file/directory permissions,
not before.
Regards,
Christian Boltz
--
> Ich hab letztens nen Film gesehen, in dem sich zwei Irre unterhalten
> haben. Da hat der eine den anderen auch nicht verstanden.
Stimmt, hast Recht. Wann haben wir übrigens wieder Freigang? ;)
[> Martin Borchert und Bernd Brodesser in suse-linux]
--
AppArmor mailing list
AppArmor@lists.ubuntu.com
Modify settings or unsubscribe at:
https://lists.ubuntu.com/mailman/listinfo/apparmor
