apparmor-admin_en: SLED AppArmor Admin Guide (English)
----------------------------------------------------------------------
Datei: apparmor-admin_en-10-7.5.noarch.rpm
Patchrpm: apparmor-admin_en-10-7.5.noarch.patch.rpm
Version: 10-7.5
Größe: 2863 kB
Patchgröße: 1621 kB
Datum: Mon 17 Jul 2006 14:8:33 CEST
Source: apparmor-admin_en-10-7.5.src.rpm
Security: Ja
----------------------------------------------------------------------
Beschreibung: Dieses Update behebt mehrere Sicherheitsprobleme in der AppArmor Technologie.

Da neue Flags zur Profilsyntax hinzugefügt wurden, wird ein Review der
selbsterstellten Profile empfohlen.

- Wenn ein AppArmor Profil unbeschränktes Ausführen von Kind Programmen
  erlaubt (mittels "ux") dann ist es einem Angreifer möglich, durch
  Umgebungsvariablen wie z.B. LD_PRELOAD Code in dieses Programm zu injizieren
  und ohne Schutz des Profils auszuführen. Das gleiche gilt für "px",
  hier können von einem Angreifer alle Rechte im neuen Profil erlangt werden.
  Dies setzt voraus, das der Angreifer bereits Code im dem betroffenen Programm
  ausführen kann.

  Die Syntax der AppArmor Profile wurde um "Ux" und "Px" erweitert, diese
  löschen kritische Umgebungsvariablen beim Ausführen des Programms (ähnlich
  wie bei setuid Programmen).
  Es muss natürlich weiterhin beachtet werden, das der aufrufende Vaterprozess
  nicht durch andere Methoden Sicherheitslücken im Kind ausnutzen kann, 
  um sich dessen Rechte anzueignen.
 
- Wenn eine Ressource (Datei) im Profil als "r" (read only) markiert ist,
  war es dennoch möglich in ihr enthaltenen Code durch mmap mit PROT_EXEC
  auszuführen. Dies ist nun nicht mehr möglich.

  Sollte es dennoch benötigt werden, wurde das Flag "m" eingeführt.

Bitte beachten sie auch die erneuerte Dokumentation.