AKARI と LKM-based LSM 版の CaitSith に関して、プログラム実行要求時の権限チェックを回避できてしまう不具合を修正しています。
https://ja.osdn.net/projects/tomoyo/lists/archive/users/2023-May/001029.html
4年ほど前に、複数の LSM モジュールを同時に有効にできるようにするという LSM コミュニティの変化について紹介しました。
https://ja.osdn.net/projects/tomoyo/lists/archive/users/2019-March/001026.html
しかし、最近は LSM コミュニティが再び排他的になってきているようです。具体的には、文字列の名前で区別していた LSM モジュールを、 LSM モジュールに対応する数値のIDで区別するようにするという修正がまもなく採用され、このIDが割り当てられないと LSM モジュールを使えなくなります。
そのため、 AKARI や CaitSith のように、ローダブルカーネルモジュールとして LSM を利用している場合、他の LSM モジュールが使用するIDと競合することにより問題が発生するという可能性が生じます。一意に特定できないものをIDとして使うのは、退化です。
さらに、「メインラインに採用された LSM モジュールだけが、永続的なIDを獲得できる」という方針と、「レビューのための労力を確保できないことにより、新しい LSM モジュールをメインラインに追加することが年々難しくなってきている」という現実により、メインラインに採用されていない LSM モジュールは、永続的なIDを獲得することが困難な状況が発生することが予想されています。
つまり、「メインラインに採用されていない LSM モジュールをロックアウトする」という方向に進んでいるのです。
「ディストリビュータはサポートできないものを有効にできない」という方針と、「メインラインに採用されてもディストリビューションカーネルで有効にされないと使えない」という現実により、ローダブルカーネルモジュールとして LSM を利用するという抜け道は今後も必要になるため、熊猫は「メインラインに採用された LSM モジュールだけが、永続的なIDを獲得できる」という方針に猛反対しているのですが、 LSM コミュニティとしては「もう決着した話だ」という立場のようです。果たして、「 You security people are insane. I'm tired of this "only my version is correct" crap. 」の再来となるのでしょうか?
https://lkml.kernel.org/r/ff43e254-0f41-3f4f-f04d-63b76bed2ccf@I-love.SAKURA.ne.jp