Patch Kernel OpenWall Linux Una raccolta di funzioni relative alla sicurezza per il kernel Linux
Scarica ora

Patch Kernel OpenWall Linux Classifica e riepilogo

Patch Kernel OpenWall Linux Tag

linux. kernel patch del kernel Openwall. cerotto Openwall Openwall kernel

Patch Kernel OpenWall Linux Descrizione

Una raccolta di funzioni relative alla sicurezza per il kernel Linux OpenWall Linux Kernel Patch è una raccolta di funzionalità relative alla sicurezza per il kernel Linux, tutto configurabile tramite la nuova sezione di configurazione "Opzioni di sicurezza". Oltre alle nuove funzionalità, alcune versioni della patch contengono varie correzioni di sicurezza. Il numero di correzioni di tali correzioni varia dalla versione alla versione, poiché alcuni stanno diventando obsoleti (come a causa dello stesso problema che viene riparato con una nuova versione del kernel), Mentre altri problemi di sicurezza sono scoperti. AREA AREA DELL'UTENTE UTENTE ESEGURAbile. Le sfruttature di overflow più buffer si basano sulla sovrascrittura dell'indirizzo di ritorno di una funzione sullo stack per puntare ad un codice arbitrario, che viene anche messo in pila. Se l'area dello stack non è eseguibile non eseguibile, le vulnerabilità del trflow del buffer diventano più difficili da sfruttare. Un altro modo per sfruttare un overflow del buffer è puntare l'indirizzo di ritorno a una funzione in libc, di solito sistema (). Questa patch modifica anche l'indirizzo predefinito che le librerie condivise sono mmap () "ed per farlo contenere sempre un byte zero. Ciò rende impossibile specificare ulteriori dati (parametri alla funzione o più copie dell'indirizzo di ritorno durante il riempimento con un motivo), - in molti exploit che devono fare con le corde ASCIIZ. Tuttavia, nota che questa patch non è affatto una soluzione completa, aggiunge solo uno strato extra di sicurezza. Molte vulnerabilità di overflow del buffer rimarranno sfruttabili un modo più complicato, e alcuni rimarranno ancora inalterati dalla patch. Il motivo per l'uso di tale patch è quello di proteggere da alcune delle vulnerabilità del deflusso del buffer ancora sconosciute. Inoltre, notare che alcuni cuscinetti possono essere utilizzati per gli attacchi negativi dei servizi (solitamente in demoni non respirawning e clienti di rete). Una patch come questa non può fare nulla contro questo. È importante risolvere le vulnerabilità non appena saranno conosciute, anche se stai usando la patch. Lo stesso vale per altre caratteristiche della patch (discussa di seguito) e le loro corrispondenti vulnerabilità. Collegamenti limitati in /tmp. Ho anche aggiunto una restrizione di link-in- + t, originariamente per Linux 2.0 solo, da Andrew Tridgell. L'ho aggiornato per impedire l'utilizzo di un collegamento rigido in un attacco invece, non consentendo agli utenti regolari di creare collegamenti duri ai file che non possiedono, a meno che non possano leggere e scrivere il file (a causa delle autorizzazioni di gruppo). Questo di solito è comunque il comportamento desiderato, poiché altrimenti gli utenti non potevano rimuovere tali collegamenti che hanno appena creato nella directory A + T (sfortunatamente, questo è ancora possibile per i file scrivibili di gruppo) e a causa di quote disco. Sfortunatamente, questa potrebbe interrompere le applicazioni esistenti. Trasformd FIFOS in /tmp.in aggiunta di limitare i collegamenti, è inoltre possibile limitare le scritture in FIFOS non affidate (tubi denominati), per rendere più difficili attacchi di spoofing dei dati. Abilitazione di questa opzione Diselosa Scrittura nei FIFOS non possedute dalle directory utente in + T, a meno che il proprietario non sia uguale a quello della directory o la FIFO è aperta senza la bandiera O_Creat. Restricted /proc.Questo è stato originariamente una patch per rotta che ha cambiato solo le autorizzazioni su alcune directory in / proc, quindi dovevi essere root per accedervi. Poi c'erano patch simili da parte di altri. Li ho trovati tutti inutilizzabili per i miei scopi, su un sistema in cui volevo che molti amministratori siano in grado di vedere tutti i processi, ecc., Senza dover su root (o usare sudo) ogni volta. Quindi ho dovuto creare la mia patch che includo qui. Questa opzione limita le autorizzazioni su / proc in modo che gli utenti non root possano vedere solo i propri processi e nulla delle connessioni di rete attive, a meno che non siano in un gruppo speciale. L'ID di questo gruppo è specificato tramite l'opzione GID = montaggio ed è 0 per impostazione predefinita. (Nota: se si utilizza IDDEND, è necessario modificare la riga inetd.conf per eseguire Diredd come gruppo speciale.) Inoltre, questo disabilita DMESG (8) per gli utenti. Potresti voler utilizzare questo su un server Shell ISP dove la privacy è un problema. Si noti che queste restrizioni extra possono essere byvialmente bypassate con accesso fisico (senza dover riavviare). Quando utilizzare questa parte della patch, la maggior parte dei programmi (PS, Top, Who) funziona come desiderato - mostrano solo i processi di questo utente ( A meno che la radice o nel gruppo speciale o in esecuzione con le relative funzionalità di 2.2+) e non lamentarsi di non poter accedere ad altri. Tuttavia, c'è un problema conosciuto con w (1) nelle versioni recenti dei PROCPS, quindi è necessario applicare la patch inclusa a procps se ciò si applica a te. Cosa c'è di nuovo in questa versione: · La patch è stata aggiornata a Linux 2.4.37.6. · È stata aggiunta una correzione per un errore tipografico in una delle correzioni di perdite di informazioni incluse in 2.4.37.6.

Patch Kernel OpenWall Linux Software correlato