半年前给Reactos提交的一个off-by-one 安全bug总算打算修补了。。。

2.6.37-rc3的kernel已经把/proc/kallsyms的权限改成0400了:

周末早上起床后， 没打算看大片， 直接把VM跑起来继续读apparmor的代码， 提了一个code cleanup的补丁过去后， john很久都没回我邮件， 这个cleanup还是比较合理的， 用现有的api接口替换掉了老的代码。今早睡不着了， 回个邮件追问下为啥不评论下这个patch， 结果john很快就回了， 原来这位大哥度假去了。。。最近在hack apparmor, 发现比selinux轻量级多了， 规则都很好写， 比较适合做sandbox。 selinux相比就太庞大了， 当初孟哲看其文档都睡着了， 哈哈。 很看好apparmor， ubuntu新版本已经把它作为默认的security module了， 有

在centos5.4上按常规方法编译高版本内核重启后会出错， 解决办法是cp /boot/config-2.6.18-164.el5 .config后， 在make menuconfig， 然后修改.config， 把CONFIG_SYSFS_DEPRECATED选项开启， 在make的时候会提示是否要开启CONFIG_SYSFS_DEPRECATEDV2，选择开启， make modules_install install完毕， 重启后应该还是会报错的：insmod: error inserting ‘/lib/dm-region-hash.ko’: –1 File exits，这时要修改下initrd文件： 
cp /boot/initrd-2.6.36+.img /tmp
mkdir new
cd new
zcat ../initrd-2.6.36+.im

apparmor是最近才加入到kernel主线里的， 昨天看了下代码， 发现了一个memory leak bug和一个kernel crash bug。算了下大概有半年没给kernel贡献补丁了， 以后还是要把主要精力放在kernel开发上。

看完LWN这篇文章， 终于知道这个内核漏洞的来龙去脉了。 自从kernel 2.6时代， 进程的堆栈和堆都是紧挨着的， 这样如果一个进程的stack全部用完后， 内核扩展堆栈的时候， 数据就会写入到相邻的堆区中（可以递归的调用某个函数试试）， 在这个可写的堆区中填入精心构造好的数据，

最近在看老潘的《Windows内核原理与实现》， 在讲windows页目录自映射的时候发现很有意思。

BOOLEAN
MmInitSystem (
IN ULONG Phase,
IN PLOADER_PARAMETER_BLOCK LoaderBlock
)
{
...
//
// 初始化一些与体系结构相关的数据结构
//

MiInitMachineDependent (LoaderBlock);
...
}

VOID
MiInitMachineDependent (
IN PLOADER_PARAMETER_BLOCK LoaderBlock
)
{
...
// 这里开始建立一些页表用来映射系统pte, 扩展的非换页内存池

//++
// ULONG
// MiGetPteOffset (
//    IN PVOID va
//    );
//
// Routine Description:
//
//    MiGetPteOffset returns the offset into a page table page
//    for a given virtual address.
//
// Arguments
//
//    Va - Supplies the virtual address to locate the offset for.
//
// Return Value:
//
//    The offset into the page table page t

5.1去老婆家玩了几天， 一天早上闲着没事， 随手在drivers/下grep了kmalloc， 在屏幕输出中随便选了一个文件出来， 发现了1个赤裸裸的bug。 捉kernel bug就是这样， 感觉来了的时候，怎么找都有， 在随手选一个文件， 还是同样的bug~
static inline u16 auth_parse(struct sk_buff *skb, u8** challenge, int *chlen)
{
struct ieee80211_authentication *a;
u8 *t;
if (skb->len <  (sizeof(struct ieee80211_authentication)-sizeof(struct ieee80211_info_element))){
IEEE80211_DEBUG_MGMT(

分析execve过程中队进程权能计算的笔记， 分析的是as5.4 2.6.18-164代码：

arch/x86_64/kernel/process.c：
asmlinkage
long sys_execve(char __user *name, char __user * __user *argv,
char __user * __user *envp, struct pt_regs regs)
{
long error;
char * filename;

/* 从用户空间拷贝文件名进来 */
filename = getname(name);
error = PTR_ERR(filename);
if (IS_ERR(filename))
return error;
error = do_execve(filename, argv, envp, &regs);
putna