forum.opennet.ru

Составление сообщения

Исходное сообщение

"Удалённая уязимость в ядре NetBSD, эксплуатируемая из локаль..."
Отправлено Аноним, 16-Окт-20 18:01

> в openbsd не стали делать самый дубовый из возможных вариантов противодействия, а именно - ломать возможность делать mprotect'ом +x для участка памяти принудительно. Если автор приложения уверен, что подобное его приложению и не нужно - он может отозвать prot_exec через pledge. Причём, в любом нужном участке кода программы, а не только сразу после старта. А не учить своё приложение гадать в рантайме, умеет mprotect в prot_exec или нет (или прибивать, в зависимости от настроек).
В OpenBSD Тео отдал программисту право изменят исполняемый код программы. И это очень плохо. Я на стороне строгой реализации W^X не допускающий JIT в принципе.
Тео поступил плохо, мотивируя что chrome & firefox требуют JIT. Google таки прогнулся под Apple в которых тоже строгая реализация W^X и нетерпимость к JIT - сегодня хромого можно собрать без поддержки JIT!
И какому такому "умному" пользователю OpenBSD нужны проги с JIT?
> умение pax mprotect в dlopen и возможность его (pax mprotect'а) отключения через pax-flags - это достоинство. К разговору о том, где W^X pt2 позволяет что-то гарантировать, а где нет, ага.
PAX - правильная реализация строгой защиты памяти которая таки дает гарантии!
Только если при сборке ядра разрешить отключать защиту для некоторых бинарей:
CONFIG_PAX_XATTR_PAX_FLAGS=y
https://en.m.wikibooks.org/wiki/Grsecurity/Appendix/Grsecuri...
то откроется дыра и с помощью paxctl-ng можно отключать, дискретно, некоторую защиту по файлам, храня информацию в xattr файловой системы (может и в заглавиях бинарей) это значит что админ может отключить какую-то защиту:
* постраничный защиту памяти
* посегментную защиту памяти
* защиту памяти mprotect
* мелкие области памяти emutramp
* рандомизацию адресного пространства
Защиту pax атрибутов можно организовать простым патчем к IMA/EVM. И при этом есть гарантии неизменности PAX атрибутов. Если вы отключили защиту для некого бинаря то защиты естественно у вас нет, но это ваш выбор, как и выбор CONFIG_PAX_XATTR_PAX_FLAGS=y

Исходное сообщение
"Удалённая уязимость в ядре NetBSD, эксплуатируемая из локаль..." Отправлено Аноним, 16-Окт-20 18:01
> в openbsd не стали делать самый дубовый из возможных вариантов противодействия, а именно - ломать возможность делать mprotect'ом +x для участка памяти принудительно. Если автор приложения уверен, что подобное его приложению и не нужно - он может отозвать prot_exec через pledge. Причём, в любом нужном участке кода программы, а не только сразу после старта. А не учить своё приложение гадать в рантайме, умеет mprotect в prot_exec или нет (или прибивать, в зависимости от настроек). В OpenBSD Тео отдал программисту право изменят исполняемый код программы. И это очень плохо. Я на стороне строгой реализации W^X не допускающий JIT в принципе. Тео поступил плохо, мотивируя что chrome & firefox требуют JIT. Google таки прогнулся под Apple в которых тоже строгая реализация W^X и нетерпимость к JIT - сегодня хромого можно собрать без поддержки JIT! И какому такому "умному" пользователю OpenBSD нужны проги с JIT? > умение pax mprotect в dlopen и возможность его (pax mprotect'а) отключения через pax-flags - это достоинство. К разговору о том, где W^X pt2 позволяет что-то гарантировать, а где нет, ага. PAX - правильная реализация строгой защиты памяти которая таки дает гарантии! Только если при сборке ядра разрешить отключать защиту для некоторых бинарей: CONFIG_PAX_XATTR_PAX_FLAGS=y https://en.m.wikibooks.org/wiki/Grsecurity/Appendix/Grsecuri... то откроется дыра и с помощью paxctl-ng можно отключать, дискретно, некоторую защиту по файлам, храня информацию в xattr файловой системы (может и в заглавиях бинарей) это значит что админ может отключить какую-то защиту: * постраничный защиту памяти * посегментную защиту памяти * защиту памяти mprotect * мелкие области памяти emutramp * рандомизацию адресного пространства Защиту pax атрибутов можно организовать простым патчем к IMA/EVM. И при этом есть гарантии неизменности PAX атрибутов. Если вы отключили защиту для некого бинаря то защиты естественно у вас нет, но это ваш выбор, как и выбор CONFIG_PAX_XATTR_PAX_FLAGS=y

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> в openbsd не стали делать самый дубовый из возможных вариантов противодействия, а именно - ломать возможность делать mprotect'ом +x для участка памяти принудительно. Если автор приложения уверен, что подобное его приложению и не нужно - он может отозвать prot_exec через pledge. Причём, в любом нужном участке кода программы, а не только сразу после старта. А не учить своё приложение гадать в рантайме, умеет mprotect в prot_exec или нет (или прибивать, в зависимости от настроек). > В OpenBSD Тео отдал программисту право изменят исполняемый код программы. И это > очень плохо. Я на стороне строгой реализации W^X не допускающий JIT > в принципе. > Тео поступил плохо, мотивируя что chrome & firefox требуют JIT. Google таки > прогнулся под Apple в которых тоже строгая реализация W^X и нетерпимость > к JIT - сегодня хромого можно собрать без поддержки JIT! > И какому такому "умному" пользователю OpenBSD нужны проги с JIT? >> умение pax mprotect в dlopen и возможность его (pax mprotect'а) отключения через pax-flags - это достоинство. К разговору о том, где W^X pt2 позволяет что-то гарантировать, а где нет, ага. > PAX - правильная реализация строгой защиты памяти которая таки дает гарантии! > Только если при сборке ядра разрешить отключать защиту для некоторых бинарей: > CONFIG_PAX_XATTR_PAX_FLAGS=y > https://en.m.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity_and_PaX_Configuration_Options#Use_filesystem_extended_attributes_marking > то откроется дыра и с помощью paxctl-ng можно отключать, дискретно, некоторую защиту > по файлам, храня информацию в xattr файловой системы (может и в > заглавиях бинарей) это значит что админ может отключить какую-то защиту: > * постраничный защиту памяти > * посегментную защиту памяти > * защиту памяти mprotect > * мелкие области памяти emutramp > * рандомизацию адресного пространства > Защиту pax атрибутов можно организовать простым патчем к IMA/EVM. И при этом > есть гарантии неизменности PAX атрибутов. Если вы отключили защиту для некого > бинаря то защиты естественно у вас нет, но это ваш выбор, > как и выбор CONFIG_PAX_XATTR_PAX_FLAGS=y
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру