forum.opennet.ru

"Уязвимость в гипервизоре VMM, развиваемом проектом OpenBSD"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Уязвимость в гипервизоре VMM, развиваемом проектом OpenBSD"	+/–
Сообщение от Аноним (83), 19-Фев-20, 16:58
Много писать не хочется, буду краток. 1. Если идти путем разработки микроядра с текущей мат моделью UNIX, то тормоза по сравнению с монолитным ядром будут ~10 раз! В монолите поток проходит проверку ACL один раз, а в микроядра при каждом обращении к микросервисам должна проходить проверка ACL. Безопасные ОС на микроядрах будут очень сильно тормозными. DAC, MAC придется выкинуть. Хорошо работает ASLR рандомизация, будет работать Integrity. 2. В монолитных ядрах, в класической модели UNIX, разные модели безопасности применяются последовательно и друг с другом почти не взаимодействуют. Сперва применяется Integroty, потом DAC, если все проверки прошли, то применяем MAC. Реализация Integrity, DAC и MAC почти не связаны. Связь есть но минимальна. Каждая ступенька имеет свою матмодель. Эти мат модели не связаны между собой, почти. MAC от Bella и LaPadula просто подогнана под документооборот в DoD US не есть универсальна и очень сложно внедряема на обычном предприятии. MAC вообще очень дорогая штука в плане написания правил. RSBAC от grsecurity с возможностью самообучения и простым форматом правил выглядит вполне привлекательно и capabilities он тоже контролирует. Capabilities предполагает в общем еще адаптацию ПО, написание правил это тоже дорого. Можно схитрить, на уровне ядра создать изоляцию в которой capabilities запрещены и помещать туда сервисы - это дешево. Опять ПО написано криво, бинари пытаются создать каталог для логов, установить на него права... и при заруске в изоляции от capabilities ядро их убивает. Cgruops, namespaces, виртуализация мне не нравятся вообще. 3. Аудит кода трудоемок и не предполагался вообще. Кроме минимальных участков которые модифицируются. Для гарантий безопасности ОС необходимо и достаточно "контролировать", изменить: ядро, гсс, глибс, бинутилс. Газпром был тогда заинтеиесован, хотел, но мы не договорились. Я требовал гарантий полного покоя, чтобы ничего меня не отвлекало, а они соглашались только на общих условиях.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость в гипервизоре VMM, развиваемом проектом OpenBSD, opennews, 16-Фев-20, 08:44 [смотреть все]

Но как же хвалёное внимание BSD-шников к безопасности , Аноним, 16-Фев-20, 08:44 (1) //
- непрерывный аудит и находит такие ошибки, б.б., 16-Фев-20, 08:50 (2) //
  - Да, тут было бы интересно узнать, какое время эта уязвимость просидела незамечен, Андрей, 16-Фев-20, 18:26 (32) //
    - судя по тому, что патч вышел для 6 6, но не вышел, как обычно, для 6 5, значит у, б.б., 17-Фев-20, 07:15 (49)
  - Но тогда получается что линуксоиды со своим syzkaller ом и сотнями тестов, аудит, Аноним, 16-Фев-20, 20:30 (38) //
    - Отдельные линуксоиды опеннета, по понтам -- так уж точно , Аноним, 16-Фев-20, 22:52 (43)
      - У кого ж они этому научились Вроде, говорят что BSD до Linux появились , Аноним, 16-Фев-20, 23:12 (44)
        
        И часовню - тоже они , Аноним, 17-Фев-20, 00:37 (46)
        
        BSDшники написали Unix, да , Аноним, 17-Фев-20, 11:48 (51)
        
        Да они рядом, это просто соседняя стайка напыщеных гусей Что характерно, и тем , Аноним, 17-Фев-20, 15:11 (56)
        Авотфиг Вон там Euler Linux таки сертифицЫровли как UNIX facepalm А бздов в, Аноним, 20-Фев-20, 22:43 (92)
    - Да , Аноним, 17-Фев-20, 17:22 (60)
    - syzkaller ом и сотнями тестов, аудитов и фуззинга не гарантируют нахождение ошиб, Аноним, 17-Фев-20, 17:47 (61)
      - Стопроцентные гарантии в этом мире даже страховой полис, увы, не дает Работает , Аноним, 17-Фев-20, 21:13 (65)
- Так вот же оно - были столь внимательны, что обнаружили очередную уязвимость , Валик, 16-Фев-20, 08:52 (3)
- BSD большой и все 1782 4 BSDшника не смогут выловить все баги до очередного рел, A.Stahl, 16-Фев-20, 08:54 (4) //
  - По-моему, ваша оценка числа разработчиков опёнка сильно завышена На пару порядк, Аноним, 17-Фев-20, 11:50 (52)
  - Активных разработчиков OpenBSD одномоментно порядка 70, всего 8212 несколько , Аноним, 17-Фев-20, 21:35 (67)
- Тео изначально сказал что защита памяти в опенке будет не строгая, а со щелями , Аноним, 16-Фев-20, 08:58 (6) //
  - А есть пруфы , Аноним, 16-Фев-20, 13:23 (22) //
    - Были, надо искать, даже здесь писали Смотри планы по защите памяти в опенке, осо, Аноним, 18-Фев-20, 08:49 (68)
    - paxtest запусти , Аноним, 18-Фев-20, 09:54 (74)
    - https security stackexchange com questions 139238 why-does-paxtest-show-openbs, Аноним, 18-Фев-20, 09:58 (75)
  - Так говорил Заратустра , xm, 16-Фев-20, 16:19 (25)
- Сейчас тебе расскажут, что поэтому и находят уязвимости, что внимательно следят, llol, 16-Фев-20, 11:59 (20) //
  - Дегенераты из линуксового мира до сих пор не могут понять что основные BSD это , xm, 16-Фев-20, 16:21 (26) //
    - Знаете, я не специалист по таким состояниям, но Вашу мысль можно было переформул, Michael Shigorin, 16-Фев-20, 18:18 (30)
    - Жителю Санкт-Петербурга простительно не понимать тонкой разницы между чеченцем и, Аноним, 17-Фев-20, 11:51 (53)
      - Жителям Санкт-Петербурга прежде чем искать всякого рода тонкие разницы недур, xm, 17-Фев-20, 13:07 (54)
        
        Да вот знаете, если так посмотреть кто в парадных ссыт, у них почему-то обычно ч, Аноним, 17-Фев-20, 15:23 (57)
- Во-первых, не BSD-шников , а опёнковцев Во-вторых, на всякого Акелу в сходяще, Michael Shigorin, 16-Фев-20, 18:13 (29) //
  - При том если Акелла вдруг удумает лечить что, например, виртуализация не нужна -, Аноним, 16-Фев-20, 20:34 (39) //
    - Потому что аноним, как обычно, слышал звон И ЧСЗ, самозабвенно повторяет его уж, Аноним, 16-Фев-20, 23:14 (45)
      - Во первых, я видел виртуализаторы самого разного пошиба в продакшнах и тестлабах, Аноним, 17-Фев-20, 04:50 (48)
        
        Разве что в параллельной вселенной Ну или все эти ваши жирные корпорации с мир, Аноним, 17-Фев-20, 14:45 (55)
        
        Это годные сельпо, оно завалили глобус продукцией С хорошей вероятностью вы их , Аноним, 17-Фев-20, 16:51 (58)
        
        Вряд ли Два комментария с морем пафоса, воды, повторов одно и того же на разные , анонн, 17-Фев-20, 18:40 (63)
        
        Мегакорпорации штука забавная - ухитряются пролезть в самые неожиданные области , Аноним, 17-Фев-20, 21:34 (66)
В OpenBSD защита памяти сделана хуже чем в Linux PAX GrSecurity https pax , Аноним, 16-Фев-20, 08:56 (5) //
- В дополнение к защите памяти с помощью классических R, W, X, UNIX должен защищат, Аноним, 16-Фев-20, 09:13 (8) //
  - мы выслушали очередную рекламу Grsec не осилившего прочитать штатные средства за, Аноним, 16-Фев-20, 09:24 (13) //
    - После Grsecurity, Аноним, 17-Фев-20, 17:50 (62)
      - да да, вот шнурки отглажу тогда уж grsec спер из Virtuozzo Linux-VServer, Аноним, 17-Фев-20, 20:51 (64)
- мы выслушали очередную рекламу grsec Как там в у вас с нарушениями GPL , Аноним, 16-Фев-20, 09:22 (11) //
  - https www opennet ru openforum vsluhforumID3 119728 html 31https www opennet, Аноним, 16-Фев-20, 09:32 (14)
- The restrictions prevent - creating executable anonymous mappings - creatin, Аноним, 16-Фев-20, 09:22 (12)
- Конечно же, вы правы Только хотелось бы уточнить, почему пользователей дистрибу, Аноним, 16-Фев-20, 11:06 (18) //
  - Хорош вопрос Вернемся к истокам и вспомним историю первого безопасного дистрибут, Аноним, 16-Фев-20, 11:57 (19) //
    - Это был линукс , Consta, 16-Фев-20, 12:50 (21)
      - Да, GNU Linux, но с расширенными возможностями ядра, компилятора, глибс и бинути, Аноним, 18-Фев-20, 09:00 (69)
        
        Это не спасает Дело не только в формальной матмодели как таковой как в совокуп, Consta, 18-Фев-20, 17:41 (80)
        
        Много писать не хочется, буду краток 1 Если идти путем разработки микроядра с т , Аноним, 19-Фев-20, 16:58 (83)
        
        Зачем Там свое Кроме того, я не предлагал такое Смысл моего прсыла был в том,, Consta, 20-Фев-20, 13:47 (89)
        
        Доказано что любая реализация DAC и MAC в микроядерных OS будет работать более ч, Аноним, 22-Фев-20, 11:48 (101)
        
        Где можно ознакомиться с соответствующими доказательствами Может, хоть у меня п, Consta, 22-Фев-20, 15:06 (102)
        
        Мы когда-то посовещались и Я так решил https www opennet ru openforum vsluhfor, Аноним, 26-Фев-20, 16:43 (114)
        
        - Вы не хотите настроить простую DAC, спорите о том, что можно выделять память о, Аноним, 26-Фев-20, 17:25 (117)
        Правильно понимаю, что предлагается в качестве доказательств рассматривать ссылк, Consta, 02-Мрт-20, 15:24 (130)
        Там вполне достаточно чтобы сложить 2 2 Дополнения для безопасности Писал уже, c, Аноним, 04-Мрт-20, 16:24 (135)
        Да я и не сомневался, что сразу все ясно Решение, безусловно, новаторское Снач, Consta, 06-Мрт-20, 11:12 (146)
        Нет времени спорить и что то доказывать Это сложные вещи Кратко Сетевой экран, , Аноним, 07-Мрт-20, 12:40 (147)
    - Теперь это Астра , pin, 16-Фев-20, 13:42 (23)
      - Если вдруг Вы угадали -- то было бы особенно пикантно, потому как несколько лет , Michael Shigorin, 16-Фев-20, 18:27 (33)
      - Нет не Астра , Аноним, 18-Фев-20, 09:01 (70)
    - Спектре матмодель учитывала , cutlass, 16-Фев-20, 14:59 (24)
      - Это было 10 лет назад , Аноним, 18-Фев-20, 09:02 (71)
    - На ентерпрайз-дистрибутивах можно неплохо попилить, а на твоей разработке как , Аноним, 16-Фев-20, 16:23 (27)
    - Во-первых, если он и претендовал на первый безопасный , это была ложь Во-вторых, Michael Shigorin, 16-Фев-20, 18:24 (31)
    - Всё уже придумано полвека назад, но только не бздунами под дырявую платформу htt, tensor, 16-Фев-20, 19:57 (36)
    - Да, в донкихотство теперь не верит даже Газпром, им видимо донесли что бюджет вс, Аноним, 17-Фев-20, 17:00 (59)
      - Речь шла об ОС общего назначения , Аноним, 18-Фев-20, 09:10 (72)
        
        В ос общего назначения крапа слишком уж много, все предусмотреть имхо малореальн, Аноним, 19-Фев-20, 01:00 (81)
- Она, главным образом, сделана по другому И OpenBSD, в отличие от NetBSD и Harde, Дон Ягон, 16-Фев-20, 20:18 (37) //
  - Спасибо за расширенный ответ Неизыблемое правило DAC - все исполняемое не должно, Аноним, 18-Фев-20, 09:50 (73) //
    - Это которая с питоном и шеллскриптами, умеющими в eval и чьи интерпрета, анонн, 18-Фев-20, 13:27 (77)
      - Интерпретаторы, с питоном включительно, можно обрезать простым DAC Обычному пол, Аноним, 19-Фев-20, 17:24 (84)
        
        Угу, обрежь пакетный менеджер простым DAC И чего он сможет потом А ежели это, Аноним, 20-Фев-20, 22:54 (93)
        
        Именно так и надо делать Пакетным менеджером должен рулить отдельный пользовате, Аноним, 22-Фев-20, 09:07 (98)
        
        А как насчет простого тезиса Подлом этого юзера почти эквивалентен подлому рута, Аноним, 01-Мрт-20, 21:11 (127)
        
        О, а попробуйте так сделать вот прям сейчас на localhost Разумеется, используемо, Michael Shigorin, 22-Фев-20, 16:18 (103)
        
        У меня именно так все и настроено Пользователям права на их shell даю На остал, Аноним, 26-Фев-20, 16:48 (115)
    - Это общеиспользуемые стандарты, других нет Реальность, увы, иная JIT используе, Дон Ягон, 18-Фев-20, 14:31 (78)
      - del, Дон Ягон, 18-Фев-20, 14:50 (79)
      - Желаю все оптимизировать во время компиляции под свой проц, а во время исполнени, Аноним, 19-Фев-20, 17:54 (85)
        
        Это желания и только Реальность есть реальность Некоторые подвижки есть, но и , Дон Ягон, 20-Фев-20, 07:48 (87)
        
        У меня source based дистрибутив вопрошающий мои желания в реальность И по этому , Аноним, 22-Фев-20, 10:45 (99)
        
        Нет, это не так Было бы хорошо, если бы это было так, но это не так и игнориров, Дон Ягон, 23-Фев-20, 06:31 (105)
        
        Потому что никто не хочет лепить свои костыли вместо стандартных возможностей ff, Аноним, 26-Фев-20, 17:09 (116)
        
        Пример, который я описывал был не про обход W X pt 2 pax mprotect , а про обход, Дон Ягон, 26-Фев-20, 23:29 (118)
        
        Рандомизацтя адресного пространства сильно затрудняет поиск нужного кода Ты не с, Аноним, 27-Фев-20, 16:01 (119)
        
        Я про это, да Я не про это Божечки, да причём тут это Когда-то у меня был арч с , Дон Ягон, 27-Фев-20, 16:11 (120)
        Мое мнение, контроль за памятью должен быть только у ядра Изменение исполняемых, Аноним, 28-Фев-20, 15:44 (121)
        Ради бога Почему я считаю, что такой максималистский подход малоприменим для вс, Дон Ягон, 28-Фев-20, 15:49 (122)
        Надеюсь, что всем уже стало понятно необходимость, ядром OS или аппаратно процес, Аноним, 29-Фев-20, 09:07 (123)
        Я прочитал сейчас что-то, по меньшей мере, очень странное И в случае pledge, и в, Дон Ягон, 01-Мрт-20, 05:07 (124)
        Нет, в OpenBSD ядро не дает никаких гарантий, оставляя возможность приложениям и, Аноним, 01-Мрт-20, 15:26 (126)
        Прости, но ты пишешь ахинею Pledge - это системный вызов, как следствие, вся ра, Дон Ягон, 02-Мрт-20, 00:44 (129)
        Плохо то, что есть в ядре OpenBSD возможность дать программ право изменять испол, Аноним, 02-Мрт-20, 15:51 (131)
        Нет, это не плохо, это адекватно требованиям, выдвигаемым к ОС общего назначения, Дон Ягон, 02-Мрт-20, 16:10 (132)
        Нет сегодня возможности проверить логику работы всех программ А безопасность им, Аноним, 03-Мрт-20, 15:55 (133)
        Ну, я к тому, что можно и заканчивать Кажется, друг друга мы поняли, друг с дру, Дон Ягон, 03-Мрт-20, 16:05 (134)
        Вы не сказали самый главный аргумент против использования W X А его надо понима, Аноним, 04-Мрт-20, 16:38 (136)
        ИМХО, это всё совсем не про ОС общего назначения И даже не только лишь по требо, Дон Ягон, 04-Мрт-20, 16:41 (137)
        Про OS общего назначения это Реализация PaX в GNU Linux очень правильная и преду, Аноним, 04-Мрт-20, 16:48 (138)
        Я понял На эту тему все мысли, которые у меня были я уже написал, больше не х, Дон Ягон, 04-Мрт-20, 17:20 (139)
        Классика жанра В спец ПО для райнимации больного допустили ошибку переполнения б, Аноним, 04-Мрт-20, 17:41 (140)
        Логика рассуждения мне понятна, спасибо Мне не понятно, почему бы не резервиров, Дон Ягон, 04-Мрт-20, 17:58 (141)
        А кто даст гарантию что не упадет процесс отвечающий за переключения или вообще , Аноним, 05-Мрт-20, 16:31 (144)
        Всё зависит от того, как именно всё реализовано Мы этих моментов не уточнили - , Дон Ягон, 05-Мрт-20, 17:06 (145)
        Например, переключатель может быть вообще исполнен в железе Есть общая теория пр, Аноним, 07-Мрт-20, 14:28 (148)
  - А кто за лоббирование бесполезной для жизни и очень вредной для безопасности, те, Аноним, 18-Фев-20, 10:02 (76)
  - Типичная апологетика и двойные стандарты Зато соответствует модели угроз с учёто, недобрый, 19-Фев-20, 07:49 (82) //
    - При чём тут мои критерии Приложения хромиум, java перестанут работать Лично , Дон Ягон, 20-Фев-20, 07:27 (86)
      - Что ты тут ёрничаешь Перестанут работать, только если не будет способа снять дл, недобрый, 20-Фев-20, 12:06 (88)
        
        Ну то есть ещё раз если для некоторых приложений не ОТКЛЮЧИТЬ pax-защиты, они р, Дон Ягон, 20-Фев-20, 17:55 (90)
        
        А если отключить - будут Ещё раз это whitelisting, лучшая практика по индустри, недобрый, 20-Фев-20, 22:33 (91)
        
        Вместо решения конкретных проблем - мантры о стандартах индустрии В случае проб, Дон Ягон, 21-Фев-20, 06:34 (94)
        
        ничего себе тут войну и мир пишут можно уже на бумаге издавать, б.б., 21-Фев-20, 08:04 (95)
        Это ты сейчас свои отсылки к стандартам хорошо охарактеризовал Да мне всё равно,, недобрый, 21-Фев-20, 12:48 (96)
        
        Это твои домыслы В первом комментарии речь шла не про paxd и прочие костыли, чт, Дон Ягон, 22-Фев-20, 06:22 (97)
        
        Ты не читатель ты, судя по этому посту писатель https www opennet ru openf, Аноним, 22-Фев-20, 10:59 (100)
        Не домыслы, а хорошо обоснованные выводы Уродство - слово литературное Потом ты, недобрый, 24-Фев-20, 20:11 (106)
        
        Извини, но далее я буду стараться отвечать только на то, на что есть смысл отвеч, Дон Ягон, 25-Фев-20, 03:29 (109)
        Очевидно, что не безразлично Но мне удобнее, чтобы ты не слился, а наоборот про, недобрый, 26-Фев-20, 10:47 (110)
        Ты можешь быть уверен в чём угодно - я не против Во всех ОС общего назначения по, Дон Ягон, 26-Фев-20, 15:54 (112)
        Это ты на словах не против А на деле две недели упражняешься в зарабатывании пр, недобрый, 04-Мрт-20, 20:42 (142)
        Рассуждать отказался Ну, кто бы сомневался И это твоё замечание могло бы иметь , недобрый, 04-Мрт-20, 20:44 (143)
        Вопрос выбора абстракций определений Как по мне, меры защиты должны быть реакцие, Дон Ягон, 26-Фев-20, 15:58 (113)
        Сразу - это прям сразу Значит, у тебя в голове вместо целостной картины не один, недобрый, 26-Фев-20, 10:50 (111)
        
        А где я утверждал, что делали неосознанно и что чинить надо В OpenBSD пусть хот, недобрый, 24-Фев-20, 20:13 (107)
        Это где _пакетный менеджер_ ругается на битые чексуммы у _пакета_ Если пакетный , недобрый, 24-Фев-20, 20:17 (108)
У опенка нет будущего Впрочем, как и у бсд Куда корпорации и большой бизнес вл, Аноним, 16-Фев-20, 09:15 (9) //
- В рекламу , neAnonim, 16-Фев-20, 09:53 (15)
- В слежку за тобой через гаджеты , Ананимус, 16-Фев-20, 10:14 (16)
- В геноцид , Аноним, 16-Фев-20, 10:52 (17)
- звук загружающейся плойки , pda, 16-Фев-20, 18:09 (28)
- Смотря какие, штатовские вот последнее время -- всё больше в помойку но тут луч, Michael Shigorin, 16-Фев-20, 18:30 (34) //
  - А что им достанется то В сухом остатке они как делали более 90 софта на планет, Аноним, 16-Фев-20, 20:37 (40) //
    - и это я слышу, если не ошибаюсь, от любителя порой вспомнить изобретение коле, Michael Shigorin, 16-Фев-20, 21:10 (41)
      - Даже и не знаю Я изобретаю велосипеды если вижу в в этом какой-то пойнт А если, Аноним, 16-Фев-20, 21:20 (42)
А ещё лет 10 назад на опеннете Да кому ты нужен, зачем фаервол настраивать, заче, Аноним, 16-Фев-20, 18:37 (35) //
- 10 лет назад ещё не изобрели китайцев Некомпетентные люди существуют во все вре, Аноним, 17-Фев-20, 03:45 (47)
Если помечено уже read-only кем-то третьим, то зачем же второй раз уже самому за, Аноним, 17-Фев-20, 08:08 (50)
https marc info l openbsd-tech m 158237030723610 w 2Трололо, там с первого ра, Дон Ягон, 22-Фев-20, 22:33 (104) //
- https www opennet ru opennews art shtml num 52418, Аноним, 01-Мрт-20, 14:30 (125) //
  - Спасибо, видел Мой комментарий был раньше, когда я ещё не знал, что Максим план, Дон Ягон, 01-Мрт-20, 23:16 (128)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру