驱动程序可以采取哪些防御措施来防止用户空间应用程序发出 ioctl 调用,该指针的指针的类型/大小与驱动程序期望/指定为其接口的一部分不同。
例如,IOCTL x 需要一个 (struct foo *) 但调用者使用 (unsigned long) ((struct bar *)&bar) 发出它。copy_from_user 会炸毁/损害系统稳定性吗?
也许一种方法是期望调用者拥有 CAP_SYS_ADMIN 并具有隐式信任,但是还有另一种/更好的方法吗?
谢谢。
问问题
197 次
1 回答
4
copy_to/from_user使用 void 指针,这意味着它们不知道您传递的任何数据类型。并以您的示例为例,即使他们知道数据类型,您仍然不能信任您的用户:他可以简单地转换为您想要的类型:
struct bar *x;
copy_to_kernel_aware_of_foo((struct foo*)x);
期望调用者拥有任何类型的 root 权限或能力也不能解决您的问题 - root 也可能犯错误或作恶。
可以帮助一点的事情:
- 仅用于
copy_to/from_user复制无类型字节缓冲区。不要依赖内核空间和用户空间具有相同的复杂数据结构概念。 - 如果您只担心数据类型错误,您可能会考虑标记您的数据结构,以便它在“真实”数据之间包含一些神奇的值。但是,这不会帮助您对抗故意伪造数据的调用者。
- 就攻击面而言,攻击者可能不会通过传递错误的数据类型来攻击您,而是提供错误的值。除了正确验证从用户空间传递给您的所有数据之外,没有什么可以帮助您。不检查就不要相信任何东西!
于 2012-08-17T18:02:03.667 回答