Viewing: SECURITY_FIX_PLAN_2026-05-26.md
📄 SECURITY_FIX_PLAN_2026-05-26.md (Read Only) ⬅ To go back 
# Security Fix Plan - 2026-05-26

## Contexto

Este plano é baseado na reanálise completa do AdrOS (ZIP CDFA4C08) realizada em 2026-05-25, cruzada com as correções já implementadas em sessões anteriores (documentadas nas memórias do sistema).

## Status dos Itens do Relatório

### Itens JÁ Corrigidos (sessões anteriores)

| ID | Descrição | Status |
|---|---|---|
| A16 | pmm_decref underflow check | ✅ Corrigido |
| A03 | pread/pwrite mode validation | ✅ Corrigido |
| A04 | O_RDONLY\|O_TRUNC rejeição | ✅ Corrigido |
| A14 | truncate/ftruncate VFS integration | ✅ Corrigido |
| A17 | varargs open/openat/fcntl | ✅ Corrigido |
| U04 | execl/execlp varargs | ✅ Corrigido |
| U02 | scanf %s limit (255 bytes) | ✅ Corrigido |
| A18 | shell command substitution | ✅ Corrigido |
| A13 | posix_spawn PID fix | ✅ Corrigido |
| A19 | access() mode implementation | ✅ Corrigido |
| K21 | O_NOFOLLOW implementation | ✅ Corrigido |
| K35 | socket bounce buffers (SMAP) | ✅ Corrigido |
| K14 | SHM permissions | ✅ Corrigido |
| K22 | dlopen per-process isolation | ✅ Corrigido |
| K17 | futex keying (mm, uaddr) | ⚠️ Parcial (addr_space adicionado, mas não robusto) |
| K24 | NX flag in SHM | ⚠️ TODO (desabilitado temporariamente) |

### Itens Tentados mas Causaram Regressões

| ID | Descrição | Status |
|---|---|---|
| K12/K13/K23 | /proc access control (UID checks) | ❌ Requer infraestrutura UID completa |
| K15 | raw socket privilege (UID check) | ❌ Requer infraestrutura UID completa |

### Itens Remanescentes (não abordados)

Abaixo estão os itens que ainda precisam ser corrigidos, organizados por prioridade.

---

## Fase 1: Críticos de Memória e Parser (7 itens)

### C1: ELF Loader p_filesz > p_memsz Validation
**Severidade:** CRÍTICA  
**Arquivos:** `src/arch/x86/elf.c`  
**Problema:** O loader valida `p_offset + p_filesz <= file_len` mas não valida `p_filesz <= p_memsz`. Isso permite escrever além da área mapeada.  
**Solução:**
- Adicionar validação `if (ph[i].p_filesz > ph[i].p_memsz) return -EINVAL;` em `elf32_load_segments`
- Aplicar mesma validação em `elf32_load_shared_lib_at` (dlopen path)
- Validar também `p_align`, `e_phentsize`, `e_phnum`, tipo ELF, endianess e ABI

### C2: NX por Default em Todos os Mapeamentos User
**Severidade:** CRÍTICA  
**Arquivos:** `src/kernel/syscall.c`, `src/arch/x86/elf.c`, `src/kernel/shm.c`, `src/drivers/vbe.c`  
**Problema:** NX não é aplicado por default em mmap anônimo, brk, stack inicial, SHM e fb0_mmap.  
**Solução:**
- `mmap`: Adicionar `VMM_FLAG_NX` por default, remover apenas se `PROT_EXEC` presente
- `brk`: Adicionar `VMM_FLAG_NX` ao criar heap
- `elf32_load_user_from_initrd`: Stack inicial deve ter NX
- `shm_at`: Mapear com NX por default (já documentado como TODO K24)
- `fb0_mmap`: Aplicar NX e respeitar argumento `prot`

### C3: Initrd TAR Parser com Limites de Tamanho
**Severidade:** CRÍTICA  
**Arquivo:** `src/drivers/initrd.c`  
**Problema:** Loop TAR sem limite pelo tamanho do initrd, `tar_is_zero_block` sem validar 512 bytes disponíveis, acesso a header/payload sem bounds checking.  
**Solução:**
- Manter `end = base + size` e validar cada acesso
- Validar `p + TAR_BLOCK <= end` antes de `tar_is_zero_block`
- Validar `p + sizeof(tar_header_t) + payload <= end` antes de ler
- Validar checksum TAR e overflow em `adv`
- Validar `LZ4B_HDR_SIZE + comp_sz <= size`

### C4: pmm_boot.c Multiboot2 Parsing com Cursor/Limit
**Severidade:** CRÍTICA  
**Arquivo:** `src/arch/x86/pmm_boot.c`  
**Problema:** Loops sem validação de `total_size`, `tag->size >= 8`, limite do buffer, nem `mmap->entry_size`.  
**Solução:**
- Portar lógica de cursor/limite de `arch_early_setup.c` para `pmm_boot.c`
- Validar `tag->size >= 8` antes de acessar campos
- Validar `cursor + tag->size <= end` antes de `MB2_TAG_NEXT`
- Validar `mmap->entry_size` e bounds do array de entradas

### C5: VMA Table per Process para mprotect Robusto
**Severidade:** CRÍTICA  
**Arquivos:** `src/kernel/syscall.c`, `include/process.h`  
**Problema:** `mprotect` tem fallback permissivo para endereços não modelados como VMA.  
**Solução:**
- Criar tabela VMA unificada por processo (struct vma_region com start, end, prot)
- Registrar cada mmap, brk, stack, ELF segment na tabela VMA
- `mprotect` deve aceitar apenas ranges completamente cobertos por VMAs
- Remover fallback permissivo

### C6: Ext2 Superblock/GDT Validation
**Severidade:** CRÍTICA  
**Arquivo:** `src/kernel/ext2.c`  
**Problema:** `s_blocks_per_group`, `s_inodes_per_group` podem ser zero; `num_groups` e `gdt_bytes` podem overflowar; validação incompleta.  
**Solução:**
- Validar `s_blocks_per_group > 0` e `s_inodes_per_group > 0`
- Validar overflow em `num_groups = (s_blocks_count - s_first_data_block + s_blocks_per_group - 1) / s_blocks_per_group`
- Validar `gdt_bytes = num_groups * sizeof(ext2_group_desc_t)` não overflow
- Validar `block_size` é potência de 2 e >= 1024
- Validar inode size, GDT blocks e bitmap blocks contra limites do dispositivo

### C7: FAT BPB Validation
**Severidade:** CRÍTICA  
**Arquivo:** `src/kernel/fat.c`  
**Problema:** `total_sectors - (data_lba - partition_lba)` pode underflowar; `sectors_per_cluster` não validado como potência de 2; cadeias de cluster sem limite.  
**Solução:**
- Validar `data_lba >= partition_lba` antes de subtração
- Validar `sectors_per_cluster` é potência de 2 entre 1 e 128
- Validar `fat_size`, `reserved_sectors`, `root_cluster` contra limites do dispositivo
- Limitar caminhada de cluster por `total_clusters` em `fat_extend_chain`/`fat_free_chain`
- Detectar ciclos em cadeias de cluster

---

## Fase 2: Isolamento e Políticas de Segurança (8 itens)

### H1: AIO fd Mode e Read-Only Mount Validation
**Severidade:** ALTA  
**Arquivo:** `src/kernel/syscall.c`  
**Problema:** `syscall_aio_rw_impl` não reutiliza política de read/write/pread/pwrite.  
**Solução:**
- Centralizar validação de modo e mount em helper usado por todas as rotas de I/O
- `aio_write` deve rejeitar fd `O_RDONLY` e mount `MS_RDONLY`
- `aio_read` deve rejeitar fd `O_WRONLY`

### H2: /proc Access Control
**Severidade:** ALTA  
**Arquivo:** `src/kernel/procfs.c`  
**Problema:** Entradas `/proc/dmesg`, `/proc/cmdline`, `/proc/<pid>/status`, `/proc/<pid>/maps`, `/proc/<pid>/cmdline` sem controle de acesso.  
**Solução:**
- Implementar função `proc_may_access(pid, uid)` similar a `ptrace_may_access`
- Redigir endereços em `/proc/<pid>/maps` para não-root
- Implementar hidepid (2 = hide all pids from non-root)
- Usar pin/refcount ou snapshot sob lock para evitar UAF
- **NOTA:** Requer infraestrutura UID completa (ver Fase 4)

### H3: SHM Permissões Completas
**Severidade:** ALTA  
**Arquivo:** `src/kernel/shm.c`  
**Problema:** Falta mode por segmento, grupos, attach read-only, NX default.  
**Solução:**
- Adicionar campo `mode`, `gid` em `struct shm_segment`
- Implementar attach read-only (sem flag SHM_RDONLY no momento)
- Aplicar NX por default (já documentado como TODO K24)
- Modelar uid/gid/mode como SysV/POSIX SHM

### H4: SOCK_RAW Privilege Check
**Severidade:** ALTA  
**Arquivo:** `src/kernel/socket.c`  
**Problema:** `ksocket_create` aceita `SOCK_RAW` sem checar `current_process->euid`.  
**Solução:**
- Adicionar verificação `if (type == SOCK_RAW && current_process->euid != 0) return -EPERM`
- **NOTA:** Requer infraestrutura UID completa (ver Fase 4)

### H5: Futex Robusto com Spinlock e Shared Memory Keying
**Severidade:** ALTA  
**Arquivo:** `src/kernel/syscall.c`  
**Problema:** Tabela global sem lock; futex em memória compartilhada não usa objeto físico/inode+offset.  
**Solução:**
- Adicionar spinlock para proteger tabela global de futex
- Chavear futex privado por `(mm, uaddr)` (já parcialmente feito)
- Chavear futex compartilhado por página física ou inode+offset
- Coordenar wait/wake com scheduler de forma mais robusta

### H6: Remover Fixed VAs (KVA_PHYS_MAP)
**Severidade:** ALTA  
**Arquivos:** `src/hal/x86/mm.c`, `src/drivers/virtio_blk.c`, `include/arch/x86/kernel_va_map.h`  
**Problema:** `hal_mm_map_physical_range` usa sempre `KVA_PHYS_MAP` sem alocador; colisão virtio-blk/E1000 em VAs fixas.  
**Solução:**
- Criar alocador de VA kernel para MMIO/DMA/mapeamentos temporários
- Remover VAs fixas locais (KVA_PHYS_MAP)
- Resolver colisão virtio-blk (0xC0340000) com E1000 (0xC0330000..0xC034FFFF)

### H7: Tmpfs Locking, Quotas e Overflow Validation
**Severidade:** ALTA  
**Arquivo:** `src/kernel/tmpfs.c`  
**Problema:** Sem locks, sem quotas, `new_cap *= 2` pode virar zero, metadados não inicializados.  
**Solução:**
- Adicionar lock por árvore/inode
- Adicionar quota global
- Validar overflow em `new_cap *= 2`
- Inicializar `uid/gid/mode` corretamente

### H8: rumpuser_free Alignment Handling
**Severidade:** ALTA  
**Arquivo:** `src/rump/rumpuser_adros.c`  
**Problema:** Quando `alignment > 16`, `rumpuser_free` chama `kfree(mem)` diretamente em vez do ponteiro bruto.  
**Solução:**
- Armazenar header uniforme para todas as alocações rumpuser
- Recuperar ponteiro bruto antes de chamar `kfree`

---

## Fase 3: Polimento de VFS e Userspace (12 itens)

### M1: VFS Permissions - mode != 0 e execve Bit Check
**Severidade:** MÉDIA  
**Arquivos:** `src/kernel/fs.c`, `src/kernel/syscall.c`  
**Problema:** `vfs_check_permission` retorna sucesso quando `node->mode == 0`; `execve` não verifica bit executável.  
**Solução:**
- Remover caso permissivo quando `mode == 0`
- `execve` deve verificar bit executável do inode (S_IXUSR|S_IXGRP|S_IXOTH)

### M2: POSIX access() Completo
**Severidade:** MÉDIA  
**Arquivo:** `src/kernel/syscall.c`  
**Problema:** `access()` simplificado - `R_OK` assume legível se existir, `X_OK` testa apenas arquivo regular.  
**Solução:**
- Implementar `F_OK/R_OK/W_OK/X_OK` sobre mesma função de permissão
- Usar uid/gid reais em vez de efetivos

### M3: O_NOFOLLOW -ELOOP Return
**Severidade:** MÉDIA  
**Arquivos:** `src/kernel/syscall.c`, `src/kernel/fs.c`  
**Problema:** `vfs_lookup_nofollow` evita seguir symlink mas não retorna erro POSIX claro quando componente final é symlink.  
**Solução:**
- Se `O_NOFOLLOW` presente e componente final for `FS_SYMLINK`, retornar `-ELOOP`

### M4: Truncate Fallback Remoção
**Severidade:** MÉDIA  
**Arquivo:** `src/kernel/fs.c`  
**Problema:** `vfs_truncate` altera apenas `node->length` se backend não implementa truncate.  
**Solução:**
- Sem `i_ops->truncate`, retornar `-ENOSYS`
- Limitar fallback a filesystems explicitamente marcados como seguros (se necessário)

### M5: Socket copy_to_user Ignored Failures
**Severidade:** MÉDIA  
**Arquivo:** `src/kernel/syscall.c`  
**Problema:** `accept`, `recvfrom`, `recvmsg`, `getsockname`, `getpeername` usam `(void)copy_to_user(...)`.  
**Solução:**
- Retornar `-EFAULT` quando copyout obrigatório falhar
- Para campos opcionais, validar ponteiro e tamanho antes

### M6: Overlayfs Wrapper Lifetime/Refcount
**Severidade:** MÉDIA  
**Arquivo:** `src/kernel/overlayfs.c`  
**Problema:** `overlay_wrap_child` aloca wrappers sem caminho claro de liberação.  
**Solução:**
- Introduzir cache/refcount/release para wrappers
- Ou simplificar overlayfs até haver ownership claro

### M7: fb0_mmap Respeitar prot e NX
**Severidade:** MÉDIA  
**Arquivo:** `src/drivers/vbe.c`  
**Problema:** `fb0_mmap` ignora argumento `prot` e sempre mapeia RW sem NX.  
**Solução:**
- Respeitar `PROT_READ/PROT_WRITE`
- Negar execução e aplicar NX

### M8: CSPRNG Implementation
**Severidade:** MÉDIA  
**Arquivos:** `src/kernel/devfs.c`, `include/net/lwipopts.h`, `user/ulibc/src/rand.c`, `src/rump/rumpuser_adros.c`  
**Problema:** `/dev/random`, `/dev/urandom`, lwIP, libc usam RNGs previsíveis.  
**Solução:**
- Implementar CSPRNG de kernel com seed de entropia real (RDRND se disponível, ou TSC + timer)
- Fazer lwIP/devfs/userspace consumirem essa fonte

### M9: mkstemp Retry Multiple Names
**Severidade:** MÉDIA  
**Arquivo:** `user/ulibc/src/stdlib.c`  
**Problema:** `mkstemp` tenta apenas um nome; se colidir, falha.  
**Solução:**
- Após corrigir CSPRNG, fazer `mkstemp` tentar múltiplos nomes (loop com limite)
- Documentar/desencorajar `tmpnam`

### M10: fcntl Varargs em ulibc
**Severidade:** MÉDIA  
**Arquivo:** `user/ulibc/src/unistd.c`  
**Problema:** `fcntl` lê vararg para `F_GETFD` e `F_GETFL` que não exigem argumento.  
**Solução:**
- Ler vararg somente nos comandos que precisam: `F_SETFD`, `F_SETFL`, `F_DUPFD`, `F_DUPFD_CLOEXEC`

### M11: newlib libgloss Varargs
**Severidade:** MÉDIA  
**Arquivo:** `newlib/libgloss/adros/posix_stubs.c`  
**Problema:** `fcntl` e `openat` leem vararg incondicionalmente.  
**Solução:**
- Aplicar mesma correção que ulibc: leitura condicional de vararg

### M12: scanf Field Width e Buffer Size
**Severidade:** MÉDIA  
**Arquivo:** `user/ulibc/src/stdio.c`  
**Problema:** Limite 255 bytes não resolve API - `%s` não sabe tamanho real do buffer.  
**Solução:**
- Respeitar largura de campo (ex: `%255s`)
- Suportar formatos de largura corretamente
- Auditar comandos que usam `%s`

---

## Fase 4: Infraestrutura UID (Pré-requisito para H2, H4)

### UID Infrastructure
**Severidade:** ALTA (pré-requisito)  
**Descrição:** AdrOS é um OS single-user sem infraestrutura de autenticação multi-usuário completa.  
**Solução:**
- Implementar `/etc/passwd` parsing
- Implementar login com autenticação
- UID/EUID inheritance em fork/clone
- Per-process mount namespaces (opcional, mas desejável)
- **Estimativa:** 3-4 dias de trabalho

---

## Fase 5: Low Priority (2 itens)

### L1: Path Truncation - ENAMETOOLONG
**Severidade:** BAIXA  
**Arquivos:** `src/kernel/syscall.c`, `src/kernel/fs.c`  
**Problema:** `path_resolve_user` e `vfs_lookup_parent` truncam strings silenciosamente.  
**Solução:**
- Tratar truncamento como erro em todos os caminhos de path
- Retornar `-ENAMETOOLONG` quando input excede limite

### L2: getlogin/who Session/TTY/utmp
**Severidade:** BAIXA  
**Arquivos:** `user/ulibc/src/unistd.c`, `user/cmds/who/who.c`  
**Problema:** `getlogin()` usa fallback `"root"`, `who` imprime linha fixa.  
**Solução:**
- Conectar login a sessões/TTY/utmp
- Retornar erro quando não houver informação confiável

---

## Itens NÃO Incluídos (Falsos Positivos ou Fora de Escopo)

### sysenter.S (A02)
**Status:** NÃO incluído neste plano  
**Motivo:** Relatório menciona problema mas validação atual (`ECX < 0xC0000000` e `ECX >= 8`) é razoável para ABI sysenter. Melhoria seria mudança de ABI, não correção de bug.

### posix_spawn Kernel Implementation (A13)
**Status:** NÃO incluído neste plano  
**Motivo:** Wrapper userspace foi corrigido. Implementação kernel como fork+execve é padrão POSIX e funciona corretamente.

---

## Ordem de Execução Sugerida

1. **Fase 1 (Críticos):** 7 itens - estimativa 10-14 dias
2. **Fase 4 (UID Infrastructure):** Pré-requisito para H2, H4 - estimativa 3-4 dias
3. **Fase 2 (Isolamento):** 8 itens (H1, H3, H5, H6, H7, H8 primeiro; H2, H4 após UID) - estimativa 8-10 dias
4. **Fase 3 (Polimento):** 12 itens - estimativa 6-8 dias
5. **Fase 5 (Low):** 2 itens - estimativa 1-2 dias

**Total estimado:** 28-38 dias de trabalho focado

---

## Notas Importantes

- Este plano assume que os itens já corrigidos (sessões anteriores) permanecem estáveis.
- Itens marcados como "REQUIRES UID INFRASTRUCTURE" devem ser implementados após Fase 4.
- Testes de regressão devem ser executados após cada fase completa.
- Alguns itens (como VMA table per process) são arquiteturais e podem ter impactos amplos.