<br><br><div class="gmail_quote">On Wed, Jan 4, 2012 at 12:55 PM, Eric Paris <span dir="ltr"><<a href="mailto:eparis@redhat.com">eparis@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div class="im">On Wed, 2012-01-04 at 15:47 -0500, Eric Paris wrote:<br>
> This allows audit to specify rules in which we compare two fields of a<br>
> process.  Such as is the running process uid != to the running process<br>
> euid?<br>
><br>
> Signed-off-by: Peter Moody <<a href="mailto:pmoody@google.com">pmoody@google.com</a>><br>
> Signed-off-by: Eric Paris <<a href="mailto:eparis@redhat.com">eparis@redhat.com</a>><br>
> ---<br>
<br>
</div>I broke this into a separate patch and didn't try to use the 'helper'<br>
function.  Using the helper would be wrong since the comparison was not<br>
supposed to involve fs objects.  Thus things which were passing it a<br>
task_struct and offset as the second pointer were walking the<br>
audit_names list dereferencing some random distance (distance of<br>
loginuid inside a task_struct) from the found name and using that memory<br>
location as a uid.  Opps.<br></blockquote><div><br></div><div>Whoops.</div><div><br></div><div>thanks for this Eric.</div><div><br></div><div>Cheers,</div><div>peter</div><div><br></div><div><br></div></div>-- <br><font face="arial, helvetica, sans-serif">Peter Moody      Google    1.650.253.7306     <br>

Security Engineer  pgp:0xC3410038</font><br><br>