selinux: handle TCP SYN-ACK packets correctly in selinux_ip_output()
commitda2ea0d05671f878196cc949906aa89d15c567db
authorPaul Moore <pmoore@redhat.com>
Tue, 3 Dec 2013 16:14:04 +0000 (3 11:14 -0500)
committerPaul Moore <pmoore@redhat.com>
Wed, 4 Dec 2013 21:06:47 +0000 (4 16:06 -0500)
treea9067db90c8d2da60f1a38ba649f793a09620f8d
parent8e645c345a4cf6b8b13054b4ec2f6371f05876a9
selinux: handle TCP SYN-ACK packets correctly in selinux_ip_output()

In selinux_ip_output() we always label packets based on the parent
socket.  While this approach works in almost all cases, it doesn't
work in the case of TCP SYN-ACK packets when the correct label is not
the label of the parent socket, but rather the label of the larval
socket represented by the request_sock struct.

Unfortunately, since the request_sock isn't queued on the parent
socket until *after* the SYN-ACK packet is sent, we can't lookup the
request_sock to determine the correct label for the packet; at this
point in time the best we can do is simply pass/NF_ACCEPT the packet.
It must be said that simply passing the packet without any explicit
labeling action, while far from ideal, is not terrible as the SYN-ACK
packet will inherit any IP option based labeling from the initial
connection request so the label *should* be correct and all our
access controls remain in place so we shouldn't have to worry about
information leaks.

Reported-by: Janak Desai <Janak.Desai@gtri.gatech.edu>
Tested-by: Janak Desai <Janak.Desai@gtri.gatech.edu>
Cc: stable@vger.kernel.org
Signed-off-by: Paul Moore <pmoore@redhat.com>
security/selinux/hooks.c