В системе принудительного контроля доступа SELinux обнаружена (http://seclists.org/oss-sec/2016/q3/606) уязвимость (CVE-2016-7545 (https://security-tracker.debian.org/tracker/CVE-2016-7545)), позволяющая приложению обойти режим sandbox-изоляции SELinux и выполнить любую команду в рамках текущего пользовательского сеанса. Суть уязвимости в том, что приложение может воспользоваться ioctl-интерфейсом  TIOCSTI для помещения произвольных символов в буфер ввода терминала, т.е. может симулировать набор команды в текущем терминале.

Уязвимость затрагивает утилиту /bin/sandbox из набора policycoreutils. Проблема уже устранена в Debian GNU/Linux и ожидает исправления в других дистрибутивах (RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2016-7545),  CentOS (https://lists.centos.org/pipermail/centos-announce/2016-Augu...), Fedora (https://bodhi.fedoraproject.org/updates/?releases=F23&type=s...), SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2016-7545)). Исправление также доступно в виде патча (https://github.com/SELinuxProject/selinux/commit/acca96a135a...).

URL: http://seclists.org/oss-sec/2016/q3/606
Новость: http://www.opennet.me/opennews/art.shtml?num=45210

• Уязвимость, позволяющая обойти режим sandbox-изоляции SELinu...,Max, 21:09 , 25-Сен-16
  • Уязвимость, позволяющая обойти режим sandbox-изоляции SELinu...,Вячеслав, 21:52 , 25-Сен-16
    • Уязвимость, позволяющая обойти режим sandbox-изоляции SELinu...,Аноним, 12:27 , 26-Сен-16
  • Уязвимость, позволяющая обойти режим sandbox-изоляции SELinu...,кельвин, 22:15 , 25-Сен-16
• Уязвимость, позволяющая обойти режим sandbox-изоляции SELinu...,Аноним, 21:55 , 25-Сен-16
  • Уязвимость, позволяющая обойти режим sandbox-изоляции SELinu...,d4re, 22:14 , 25-Сен-16
• Уязвимость, позволяющая обойти режим sandbox-изоляции SELinu...,Аноним, 00:03 , 26-Сен-16
• Уязвимость, позволяющая обойти режим sandbox-изоляции SELinu...,Аноним, 11:01 , 26-Сен-16
• Уязвимость, позволяющая обойти режим sandbox-изоляции SELinu...,robux, 11:22 , 26-Сен-16
  • Уязвимость, позволяющая обойти режим sandbox-изоляции SELinu...,аноном, 11:38 , 26-Сен-16
    • Уязвимость, позволяющая обойти режим sandbox-изоляции SELinu...,Аноним, 12:01 , 26-Сен-16
      • Уязвимость, позволяющая обойти режим sandbox-изоляции SELinu...,Аноним, 12:29 , 26-Сен-16
    • Уязвимость, позволяющая обойти режим sandbox-изоляции SELinu...,Аноним, 16:13 , 26-Сен-16
    • Уязвимость, позволяющая обойти режим sandbox-изоляции SELinu...,Аноним, 23:52 , 26-Сен-16
      • Уязвимость, позволяющая обойти режим sandbox-изоляции SELinu...,rt, 10:40 , 27-Сен-16
  • Уязвимость, позволяющая обойти режим sandbox-изоляции SELinu...,Анжелика, 12:45 , 26-Сен-16
    • Уязвимость, позволяющая обойти режим sandbox-изоляции SELinu...,Аноним, 14:26 , 26-Сен-16
  • Уязвимость, позволяющая обойти режим sandbox-изоляции SELinu...,Leap42, 14:55 , 26-Сен-16
• Уязвимость, позволяющая обойти режим sandbox-изоляции SELinu...,Uri, 12:39 , 26-Сен-16
  • Уязвимость, позволяющая обойти режим sandbox-изоляции SELinu...,Аноним, 15:37 , 28-Сен-16
• Уязвимость, позволяющая обойти режим sandbox-изоляции SELinu...,Аноним, 15:35 , 28-Сен-16
  • Уязвимость, позволяющая обойти режим sandbox-изоляции SELinu...,Аноним, 19:13 , 28-Сен-16
    • Уязвимость, позволяющая обойти режим sandbox-изоляции SELinu...,Аноним, 16:13 , 24-Мрт-23

Андроид подвержен этой уязвимости?

Разве мало того что уже есть?

Вы всегда отвечаете вопросом на вопрос?

Мало. Ещё глупые вопросы будут?

полагаю зависит от того есть у тебя в андроиде /bin/sandbox

> SELinux обнаружена уязвимость
> Проблема уже устранена в Debian GNU/Linux и ожидает исправления в других дистрибутивах (RHEL, CentOS, Fedora, SUSE).

Ха-ха

Действительно, ржач

Вся суть Python /bin/ и Red Hat.

Уязвимость, заложенная архитектурно NSA ? ;) Больше доверяйте этому NSA Selinux, ага.

> В системе принудительного контроля доступа SELinux обнаружена уязвимость

С учётом того, что SELinux пропихнули в ядро Linux сотрудники АНБ, удивляться не приходится. Поэтому я всегда отключаю эту хрень параметром ядра:

"selinux=0"

И работает быстрее, и бэкдора в системе нет.

Чушь собачья. Особенно про бэкдор. Доказательств нет.

Вера не нуждается в доказательствах.

Более того, вера нуждается в отсутствии доказательств, иначе вера превращается в знание.

Чтобы не доверять плохим людям by default доказательства в каждм конкретном случае и не нужны.

> Чушь собачья. Особенно про бэкдор. Доказательств нет.

Очевидно, у вас есть доказательства отсутствия бэкдора? Вы в курсе вообще, как такие системы верифицируются или живёте по принципу "гром не грянет - мужик не перекрестится"?

Вы предметно лучше отписывайтесь. А то ля-ля получается, про какое-то крещение и все такое.

А зачем через параметр ядра? Конфиг же есть!

увы, это единственный случай когда selinux реально отключен.
можете посмотреть по всяким security slab и ftrace.

На одной бересте читал, что всё было по-другому. Сотрудники АНБ пропихивали SELinux в ядро, но  Линус (или кто-то помельче) отказался брать код как есть, отмазавшись архитектурными соображениями. Чуваки из SUSE по-быстрому запилили LSM и AppArmor, а АНБ было предложено адаптировать SELinux под LSM (хотя занимались этим всё теже чуваки из SUSE, так SLE стал первым дистрибутивом с SELinux, в последствии отказавшись от него).

Извините неграмотного, но это не SECCOMP ли случайно?

нет.

вообще-то новость - невменяемая херня человека, не понявшего, о чем речь.
Я уж подумал,  правда уязвимость в selinux. А оказывается - есть мелкая проблема в косорылом питоновском скрипте, позволяющем кое-как создать selinux-изолированное приложение, изначально на такое не рассчитанное.
Понятия не имею, кто этой поделкой пользовался - я вот счастливо не знал по сей день о ее существовании.

>       default sandbox domain only allows applications the ability to read and
>       write  stdin, stdout and any other file descriptors handed to it. It is
>       not allowed to open any other files.  

Что, чорд подери, вы собрались в таком виде запускать и что полезного оно могло бы в принципе делать?

В новости ровно об этом и написано "Уязвимость затрагивает утилиту /bin/sandbox из набора policycoreutils".  Просто читать нужно весь текст, а не только первое предложение.

"Уязвимость затрагивает утилиту /bin/sandbox из набора policycoreutils" может трактоватся и как уязвимость в самом механизме SELinux, который использует этот скрипт. Он прав в том, что текст новости написан неоднозначно.