次期Linuxカーネルバージョン7.2では、openat2システムコールにフラグOPENAT2_REGULARが追加されます。この機能により、プログラムは通常のファイルのみを開くことを保証し、/dev/nullやFIFOなどの特殊デバイスへのリダイレクトを防ぎます。これらは予期しないブロッキング動作やセキュリティ脆弱性を引き起こす可能性があります。
カーネルにおけるOPENAT2_REGULARの仕組み 🛡️
OPENAT2_REGULARフラグは、openat2呼び出しにおけるフィルターとして機能します。有効化されると、カーネルはオープンを許可する前に、対象ファイルが通常のファイルタイプ(S_IFREG)であることを確認します。ファイルがブロックデバイス、FIFO、またはソケットである場合、操作はEISDIRまたはEPERMエラーで失敗します。このチェックはシンボリックリンクの解決後に行われ、リンクを使用して特殊デバイスを指し示す攻撃の経路を遮断します。この実装は、ユーザーファイルを処理するアプリケーションを保護するためにUAPIグループによって要求されました。
/dev/nullやいたずらFIFOによる驚きとはおさらば 😅
これまでは、信頼したプログラムがファイルを開こうとして、それがFIFOだったために永久にデータを待ち続けたり、さらに悪いことに、/dev/nullが出力を何も言わずにすべて飲み込んでしまうことがありました。OPENAT2_REGULARを使えば、そうした驚きはなくなります。ファイルが通常のファイルでなければ、カーネルが拒否し、開発者は何時間ものデバッグを省けます。まるで、ディスクの入り口にフィルターを設置して、仮装したものではなく、本物のファイルだけを通すようなものです。