这是uaccess的议题。根据lwn这篇文章,主要有以下几个考虑:
- 检查被传递的地址是否是一个无效地址,或者被paged out了,这时候copy_from_user会返回-EFAULT;
- 检查被传递的地址是否指向的是kernel的数据(
access_ok()
会检查它们);但实际上这个检查反而造成了攻击者对kernel space的探索,即传递一个地址,如果返回了-EFAULT,则表示该地址是属于kernel态。 - 如果用户地址空间和内核地址空间重合,则同一个虚拟地址会指向2个数据,这样会有问题。地址重合的情况包括:
- 4G:4G mode for x86 32bit;
- defensive technologies like kernel page-table isolation
文章中这句话讲的很好:
许多类型的攻击依赖于让内核读取位于用户空间并受攻击者控制的数据(或执行代码)。
除此之外,arch层面的改进也在阻止内核从随机的地方访问用户空间的数据。如Intel处理器的SMAP和ARM的PAN,内核会检测这些特性是否可以使用,如果可以则会用它。当然内核可以合法地访问用户空间,那么如果这些特性(SMAP/PAN)被启用,则需要临时将他们禁用,这些禁用的代码在user_access_begin()
和user_access_end()
中,它们越短越好。在begin和end期间,也不能调用schedule()
函数。
最后,不论如何请记住:
Both of these cases show that user-space access is trickier and less well understood than many developers expect. 访问用户空间,没有你想的那么简单!