[Security] Keys: Fix oops when adding key to non-keyring
authorDavid Howells <dhowells@redhat.com>
Mon, 10 Apr 2006 14:15:21 +0000 (15:15 +0100)
committerLinus Torvalds <torvalds@g5.osdl.org>
Mon, 10 Apr 2006 16:33:46 +0000 (09:33 -0700)
This fixes the problem of an oops occuring when a user attempts to add a
key to a non-keyring key [CVE-2006-1522].

The problem is that __keyring_search_one() doesn't check that the
keyring it's been given is actually a keyring.

I've fixed this problem by:

 (1) declaring that caller of __keyring_search_one() must guarantee that
     the keyring is a keyring; and

 (2) making key_create_or_update() check that the keyring is a keyring,
     and return -ENOTDIR if it isn't.

This can be tested by:

keyctl add user b b `keyctl add user a a @s`

Signed-off-by: David Howells <dhowells@redhat.com>
Signed-off-by: Linus Torvalds <torvalds@osdl.org>
security/keys/key.c
security/keys/keyring.c

index a057e3311aad662f1ebcd8e79919fe76ea947e4b..b6061fa29da7fc7eb5278530ebb26769dc4ebcde 100644 (file)
@@ -785,6 +785,10 @@ key_ref_t key_create_or_update(key_ref_t keyring_ref,
 
        key_check(keyring);
 
+       key_ref = ERR_PTR(-ENOTDIR);
+       if (keyring->type != &key_type_keyring)
+               goto error_2;
+
        down_write(&keyring->sem);
 
        /* if we're going to allocate a new key, we're going to have
index d65a180f888d2475aeb444c04d4c1f9b5b42d23b..bffa924c1f88240b088e5c30ee7d9363849c45e2 100644 (file)
@@ -437,6 +437,7 @@ EXPORT_SYMBOL(keyring_search);
 /*
  * search the given keyring only (no recursion)
  * - keyring must be locked by caller
+ * - caller must guarantee that the keyring is a keyring
  */
 key_ref_t __keyring_search_one(key_ref_t keyring_ref,
                               const struct key_type *ktype,