Neradostná zpráva přišla z letošního USENIXu, kde Robert N. M. Watson (TrustedBSD projekt, FreeBSD) prezentoval ve své prezentaci Exploiting Concurrency Vulnerabilities in System Call Wrappers možnosti zneužití bezpečnostních nástrojů využívající kontrolu/omezení přes systémové volání – syscall
(doplňující dokument). Mezi nástroje patří bohužel i systrace(4)
.
Prezentace například demontrovala mimo jiné i příkladový exploit na sysjail
policy využívající systrace
. Což je nemilé, protože tento nástroj je na OpenBSD a NetBSD často používán jako alternativa k jailu(2)
.
Kompletnější bezpečnostní řešení jako TrustedBSD MAC Framework či Linux Security Modules (LSM) nepatří mezi problematické nástroje.