ALT Linux Bugzilla – Full Text Bug Listing
| Summary: | kernel.userns_restrict regression | ||
|---|---|---|---|
| Product: | Sisyphus | Reporter: | Dmitry V. Levin <ldv> |
| Component: | kernel-image-std-def | Assignee: | Vitaly Chikunov <vt> |
| Status: | CLOSED FIXED | QA Contact: | qa-sisyphus |
| Severity: | blocker | ||
| Priority: | P5 | CC: | andy, kernelbot, placeholder, vt |
| Version: | unstable | ||
| Hardware: | all | ||
| OS: | Linux | ||
|
Description
Dmitry V. Levin
2021-11-03 13:41:54 MSK
(In reply to Dmitry V. Levin from comment #0) > kernel.userns_restrict default changed silently from 1 to 0, making the > system open to all kinds of userns attacks by unprivileged users. It changed for std-def kernel during 5.4 -> 5.10 update, for un-def 5.7 -> 5.8. Ooops... To be fixed today it was a fault using git rebase. I've reprodused it :( kernel-image-std-def-2:5.10.78-alt2 -> sisyphus: Tue Nov 09 2021 Kernel Bot <kernelbot@altlinux> 2:5.10.78-alt2 - CLONE_USERNS default restriction restored (Closes: 41283) - NVME fix for TF307-MB-S-D (Closes: 40718) - use VIRT_CPU_ACCOUNTING_NATIVE instead of TICK_CPU_ACCOUNTING А в un-def не нужно? andy@andy:((kernel-image-un-def-5.14.17-alt1-0-g03720ea10a8a))$ gg sysctl_userns_restrict ... kernel/user_namespace.c:int sysctl_userns_restrict __read_mostly; (Ответ для Andrew Vasilyev на комментарий #5) > А в un-def не нужно? > > andy@andy:((kernel-image-un-def-5.14.17-alt1-0-g03720ea10a8a))$ gg > sysctl_userns_restrict > ... > kernel/user_namespace.c:int sysctl_userns_restrict __read_mostly; Конечно, нужно. В git я уже поменял, но хотел дождаться сборки std-def и определённости -- помогла ли эта сборка с проблемами учёта времени (это не связанная проблема, но исправлялась той же сборкой). (In reply to Repository Robot from comment #4) > kernel-image-std-def-2:5.10.78-alt2 -> sisyphus: > > Tue Nov 09 2021 Kernel Bot <kernelbot@altlinux> 2:5.10.78-alt2 > - CLONE_USERNS default restriction restored (Closes: 41283) > - NVME fix for TF307-MB-S-D (Closes: 40718) > - use VIRT_CPU_ACCOUNTING_NATIVE instead of TICK_CPU_ACCOUNTING Попытка заменить TICK_CPU_ACCOUNTING на что-нибудь приличное не нашла отражение в /proc/config.gz: -# Linux/x86_64 5.10.76-std-def-alt1 Kernel Configuration +# Linux/x86_64 5.10.78-std-def-alt2 Kernel Configuration Видимо, VIRT_CPU_ACCOUNTING_NATIVE на x86_64 нет, и это делается как-то иначе. (Ответ для Dmitry V. Levin на комментарий #7) > (In reply to Repository Robot from comment #4) > > kernel-image-std-def-2:5.10.78-alt2 -> sisyphus: > > > > Tue Nov 09 2021 Kernel Bot <kernelbot@altlinux> 2:5.10.78-alt2 > > - CLONE_USERNS default restriction restored (Closes: 41283) > > - NVME fix for TF307-MB-S-D (Closes: 40718) > > - use VIRT_CPU_ACCOUNTING_NATIVE instead of TICK_CPU_ACCOUNTING > > Попытка заменить TICK_CPU_ACCOUNTING на что-нибудь приличное не нашла > отражение в /proc/config.gz: > -# Linux/x86_64 5.10.76-std-def-alt1 Kernel Configuration > +# Linux/x86_64 5.10.78-std-def-alt2 Kernel Configuration > > Видимо, VIRT_CPU_ACCOUNTING_NATIVE на x86_64 нет, и это делается как-то > иначе. Ок, буду копать дальше, но, видимо это не в этой баге... |
