¿Por qué systrace es inseguro?

Esto se basó en un documento presentado en la conferencia de USENIX titulada "" Explotación de vulnerabilidades de concurrencia en envolturas de llamadas del sistema "

Según el autor en un entrada de blog :

La información clave aquí es que el supuesto histórico de "atomicidad" de las llamadas al sistema es falso, y que tanto en los sistemas de un solo procesador y multiprocesamiento, es trivial construir una carrera entre envoltorios de llamadas del sistema y procesos maliciosos del usuario para Protecciones de bypass. Demostré el código de ejemplo de explotación contra la política de Sysjail en Systrace y los IDwrappers en GSWTK, pero el documento incluye una discusión más extensa que incluye vulnerabilidades en el modo de monitoreo Systrace de sudo. "

Aunque puede ser trivial eludir el ajuste de llamadas del sistema, no estoy seguro de que otras protecciones (por ejemplo, en directorios, archivos, URL, etc.) que están envueltas también se vean afectadas. Tampoco estoy seguro de cuánto daño pueden hacer estos procesos maliciosos si se ven obligados a tener condiciones de carrera con las llamadas al sistema. Quizás alguien que entienda esto mejor pueda aclararlo.

No encontré nada en esa página que describiera Systrace como inseguro.

Systrace fue el resultado de una investigación innovadora, que se describe aquí:

• Mejora de la seguridad del host con políticas del sistema de llamadas , Niels Provos, USENIX Security 2003.

Investigaciones posteriores informaron vulnerabilidades en las herramientas de monitoreo de llamadas al sistema (incluida Systrace):

• Explotación de vulnerabilidades de concurrencia en las llamadas del sistema , Robert Watson, WOOT 2007. blog post .

No conozco el estado de esas vulnerabilidades. No sé si Systrace ha sido parcheado para defenderse contra esos ataques.