forum.opennet.ru

Составление сообщения

Исходное сообщение

"В Glibc обнаружена серьезная уязвимость"
Отправлено paxuser, 19-Окт-10 16:40

>> Бага, к сожалению, не в ядре, а в glibc. Что до FreeBSD,
>> то по наличию мер предотвращения эксплуатации уязвимостей она до сих пор
>> находится на уровне года, эдак, 2001-го и отстаёт от NetBSD и
>> тем более от OpenBSD.
> Обоснуете? Или так, ваше личное мнение?
Конечно обосную. Во FreeBSD не ни аналогов W^X, ни ASLR, ни PIE, даже возмоность сборки с SSP добавили лишь недавно. В том же CentOS всё это в той или иной мере есть (для юзерспейса). В ванильном линуксе уже реализован аналог W^X, ASLR, поддержка PIE и защита от маппинга памяти по нулевому адресу (с 2008 г.). Не говоря уже о PaX и Grsecurity, где на данный момент реализованы защиты ядра от классов уязвимостей для нескольких аппаратных архитектур, включая аналог W^X для юзерспецса (KERNEXEC), защиту от обращения по указателям на юзерспейс (UDEREF), проверки границ данных при копировании из юзерспейса в ядро (USERCOPY) и т.д.. С полным списком можете ознакомиться сами на grsecurity.net и pax.grsecurity.net + помощь в конфигураторе ядра с PaX и Grsecurity. Датировка первых реализаций PaX - 2001-2002 г. (точнее не вспомню), Grsecurity - 2003-ий год, начала аудита кода ядра и юзерспейса в OpenBSD - 96-ой год, начала включения ProPolice (SSP) - если не ошибаюсь, то 2001-ый год. В 2004-ом году (в сети есть слайды с презентации) в OpenBSD уже были W^X, аналог SSP, StackGhost (продвинутый аналог SSP для Sparc) и ASLR, в 2007-2008 г. была реализована поддержка PIE, в 2009-ом - запрет на памминг нулевого адреса. За NetBSD я не слежу, но пару-тройку лет назад они начали портировать что-то из PaX - гугль в помощь.

Исходное сообщение
"В Glibc обнаружена серьезная уязвимость" Отправлено paxuser, 19-Окт-10 16:40
>> Бага, к сожалению, не в ядре, а в glibc. Что до FreeBSD, >> то по наличию мер предотвращения эксплуатации уязвимостей она до сих пор >> находится на уровне года, эдак, 2001-го и отстаёт от NetBSD и >> тем более от OpenBSD. > Обоснуете? Или так, ваше личное мнение? Конечно обосную. Во FreeBSD не ни аналогов W^X, ни ASLR, ни PIE, даже возмоность сборки с SSP добавили лишь недавно. В том же CentOS всё это в той или иной мере есть (для юзерспейса). В ванильном линуксе уже реализован аналог W^X, ASLR, поддержка PIE и защита от маппинга памяти по нулевому адресу (с 2008 г.). Не говоря уже о PaX и Grsecurity, где на данный момент реализованы защиты ядра от классов уязвимостей для нескольких аппаратных архитектур, включая аналог W^X для юзерспецса (KERNEXEC), защиту от обращения по указателям на юзерспейс (UDEREF), проверки границ данных при копировании из юзерспейса в ядро (USERCOPY) и т.д.. С полным списком можете ознакомиться сами на grsecurity.net и pax.grsecurity.net + помощь в конфигураторе ядра с PaX и Grsecurity. Датировка первых реализаций PaX - 2001-2002 г. (точнее не вспомню), Grsecurity - 2003-ий год, начала аудита кода ядра и юзерспейса в OpenBSD - 96-ой год, начала включения ProPolice (SSP) - если не ошибаюсь, то 2001-ый год. В 2004-ом году (в сети есть слайды с презентации) в OpenBSD уже были W^X, аналог SSP, StackGhost (продвинутый аналог SSP для Sparc) и ASLR, в 2007-2008 г. была реализована поддержка PIE, в 2009-ом - запрет на памминг нулевого адреса. За NetBSD я не слежу, но пару-тройку лет назад они начали портировать что-то из PaX - гугль в помощь.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>>> Бага, к сожалению, не в ядре, а в glibc. Что до FreeBSD, >>> то по наличию мер предотвращения эксплуатации уязвимостей она до сих пор >>> находится на уровне года, эдак, 2001-го и отстаёт от NetBSD и >>> тем более от OpenBSD. >> Обоснуете? Или так, ваше личное мнение? > Конечно обосную. Во FreeBSD не ни аналогов W^X, ни ASLR, ни PIE, > даже возмоность сборки с SSP добавили лишь недавно. В том же > CentOS всё это в той или иной мере есть (для юзерспейса). > В ванильном линуксе уже реализован аналог W^X, ASLR, поддержка PIE и > защита от маппинга памяти по нулевому адресу (с 2008 г.). Не > говоря уже о PaX и Grsecurity, где на данный момент реализованы > защиты ядра от классов уязвимостей для нескольких аппаратных архитектур, включая аналог > W^X для юзерспецса (KERNEXEC), защиту от обращения по указателям на юзерспейс > (UDEREF), проверки границ данных при копировании из юзерспейса в ядро (USERCOPY) > и т.д.. С полным списком можете ознакомиться сами на grsecurity.net и > pax.grsecurity.net + помощь в конфигураторе ядра с PaX и Grsecurity. Датировка > первых реализаций PaX - 2001-2002 г. (точнее не вспомню), Grsecurity - > 2003-ий год, начала аудита кода ядра и юзерспейса в OpenBSD - > 96-ой год, начала включения ProPolice (SSP) - если не ошибаюсь, то > 2001-ый год. В 2004-ом году (в сети есть слайды с презентации) > в OpenBSD уже были W^X, аналог SSP, StackGhost (продвинутый аналог SSP > для Sparc) и ASLR, в 2007-2008 г. была реализована поддержка PIE, > в 2009-ом - запрет на памминг нулевого адреса. За NetBSD я > не слежу, но пару-тройку лет назад они начали портировать что-то из > PaX - гугль в помощь.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру