<div dir="ltr"><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">From our discussion tonight: it can be dangerous to replace strncpy() calls with strlcpy() in a kernel setting [1].  The problem is that since strlcpy() doesn't zero out the remainder of a string buffer like strncpy(), it can lead to inadvertent leaks of data from the kernel.  If that unzeroed section of memory happens to contain internal kernel memory addresses, it could be used to help defeat ASLR.<br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">[1] <a href="https://twitter.com/grsecurity/status/1082957293489147904">https://twitter.com/grsecurity/status/1082957293489147904</a><br></div></div>