<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Aug 3, 2020 at 5:07 PM Jamie Strandboge <<a href="mailto:jamie@canonical.com">jamie@canonical.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Mon, 03 Aug 2020, Christian Ehrhardt wrote:<br>
<br>
> From: Stefan Bader <<a href="mailto:stefan.bader@canonical.com" target="_blank">stefan.bader@canonical.com</a>><br>
> <br>
> On some architectures (ppc, s390x, sparc, arm) qemu will read auxv<br>
> to detect hardware capabilities via qemu_getauxval.<br>
> <br>
> Allow that access read-only for the entry owned by the current<br>
> qemu process.<br>
> <br>
> Signed-off-by: Christian Ehrhardt <<a href="mailto:christian.ehrhardt@canonical.com" target="_blank">christian.ehrhardt@canonical.com</a>><br>
> Signed-off-by: Stefan Bader <<a href="mailto:stefan.bader@canonical.com" target="_blank">stefan.bader@canonical.com</a>><br>
> ---<br>
>  src/security/apparmor/libvirt-qemu | 1 +<br>
>  1 file changed, 1 insertion(+)<br>
> <br>
> diff --git a/src/security/apparmor/libvirt-qemu b/src/security/apparmor/libvirt-qemu<br>
> index b132cf0226..25eff20b82 100644<br>
> --- a/src/security/apparmor/libvirt-qemu<br>
> +++ b/src/security/apparmor/libvirt-qemu<br>
> @@ -33,6 +33,7 @@<br>
>    owner @{PROC}/@{pid}/task/@{tid}/comm rw,<br>
>    @{PROC}/sys/kernel/cap_last_cap r,<br>
>    @{PROC}/sys/vm/overcommit_memory r,<br>
> +  owner @{PROC}/*/auxv r,<br>
<br>
+1 to apply. A code comment that is simply the first sentence of<br>
Stefan's commit message might be a nice touch, but that is not a<br>
blocker.<br></blockquote><div><br></div><div>Yeah I added that comment when researching the reason - added a comment to the commit, but not worth a v2 submission.</div><div><br></div><div>Tanks for reading through all of these changes!</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
-- <br>
Jamie Strandboge             | <a href="http://www.canonical.com" rel="noreferrer" target="_blank">http://www.canonical.com</a><br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature">Christian Ehrhardt<br>Staff Engineer, Ubuntu Server<br>Canonical Ltd</div></div>