Openwall linux kernel patch Een verzameling beveiligingsgerelateerde functies voor de Linux-kernel
Download nu

Openwall linux kernel patch Rangschikking & Samenvatting

Openwall linux kernel patch Tags

linux kernel kernel patch Openwall OpenWall-patch Openwall kernel

Openwall linux kernel patch Beschrijving

Een verzameling beveiligingsgerelateerde functies voor de Linux-kernel OpenWall Linux Kernel Patch is een verzameling beveiligingsgerelateerde functies voor de Linux-kernel, allemaal configureerbaar via het gedeelte 'Beveiligingsopties'. Naast de nieuwe functies, bevatten enkele versies van de patch verschillende beveiligingsfixes. Het aantal van dergelijke oplossingen verandert van versie naar versie, omdat sommigen verouderd worden (zoals vanwege hetzelfde probleem met een nieuwe kernel-release), Hoewel andere beveiligingsproblemen worden ontdekt. Naar de uitvoerbare gebruikersstapel. Most buffer overflow-exploits zijn gebaseerd op het overschrijven van het retouradres van een functie op de stapel om te wijzen op een willekeurige code, die ook op de stapel wordt geplaatst. Als het stapelgebied niet-uitvoerbaar is, worden bufferoverloop kwetsbaarheden moeilijker te exploiteren. Een andere manier om een bufferoverloop te exploiteren is om het retouradres naar een functie in Libc te wijzen, meestal systeem (). Deze patch verandert ook het standaardadres dat de gedeelde bibliotheken MMAP () 'ED is om het altijd een nulbyte te laten bevatten. Dit maakt het onmogelijk om meer gegevens (parameters op de functie of meer exemplaren van het retouradres op te geven bij het vullen met een patroon), - in veel exploits die te maken hebben met ASCIIZ-snaren. Merk echter op dat deze patch geen volledige oplossing is, het voegt gewoon een extra beveiligingslaag toe. Veel bufferoverloopkwetsbaarheden blijven een meer gecompliceerde manier, en sommige zullen zelfs niet beïnvloed blijven door de patch. De reden voor het gebruik van een dergelijke patch is om te beschermen tegen enkele van de bufferoverloopkwetsbaarheden die nog onbekend zijn. Merk ook op dat sommige bufferoverloop kunnen worden gebruikt voor ontkenning van servicevallen (meestal in niet-reagerende daemons en netwerkklanten). Een plek als deze kan daar niets aan doen. Het is belangrijk dat u kwetsbaarheden vaststelt zodra ze bekend worden, zelfs als u de patch gebruikt. Hetzelfde geldt voor andere kenmerken van de patch (hieronder besproken) en hun bijbehorende kwetsbaarheden. Beperkte links in /TMP.I hebben ook een link-in-+ t-beperking toegevoegd, oorspronkelijk voor Linux 2.0, door Andrew Tridgell. Ik heb het bijgewerkt om in plaats daarvan een harde link in een aanval te gebruiken, door normale gebruikers geen harde links naar bestanden te maken die ze niet bezitten, tenzij ze het bestand kunnen lezen en schrijven (vanwege groepsmachtigingen). Dit is toch meestal het gewenste gedrag, want anders konden gebruikers dergelijke links niet verwijderen die ze zojuist in een + T-directory hebben gemaakt (helaas is dit nog steeds mogelijk voor groepsbeschrijfbare bestanden) en vanwege schijfquota. Helaas kan dit bestaande toepassingen doorbreken. Beperkte FIFOS in /TMP.In aanvulling op het beperken van links, kunt u ook beperken schrijft in onbetwiste FIFOS (genoemde buizen), om data spoofing aanvallen harder te maken. Als u deze optie mogelijk maakt die het schrijven in FIFOS niet in het bezit is van de gebruiker in + T-directory's, tenzij de eigenaar hetzelfde is als die van de map of de FIFO wordt geopend zonder de O_CREAT-vlag. Beperkte /Proc.Dit was oorspronkelijk een patch per route die alleen de machtigingen op sommige mappen in / proc, dus je moest rooten om ze te openen. Dan waren er soortgelijke patches door anderen. Ik vond ze allemaal vrij onbruikbaar voor mijn doeleinden, op een systeem waar ik verschillende admins wilde hebben om alle processen, enzovoort te kunnen zien, enzovoort, zonder te hoeft te rooten (of sudo) elke keer te gebruiken. Dus ik moest mijn eigen patch maken die ik hier opnam. Deze optie beperkt de machtigingen aan / proc, zodat niet-root-gebruikers alleen hun eigen processen kunnen zien, en niets over actieve netwerkverbindingen, tenzij ze in een speciale groep zijn. De ID van deze groep wordt gespecificeerd via de optie GID = Mount en is standaard. (Opmerking: als u Identd gebruikt, moet u de INETD.CONF-lijn bewerken om te worden uitgevoerd als deze speciale groep.) Schakelt ook DMESG (8) voor de gebruikers uit. Misschien wilt u dit gebruiken op een ISP-shell-server waar privacy een probleem is. Merk op dat deze extra beperkingen triviaal kunnen worden omzeild met fysieke toegang (zonder opnieuw op te starten) .Wanneer het gebruik van dit deel van de patch, de meeste programma's (PS, TOP, WHO) werken als gewenst - tonen ze alleen de processen van deze gebruiker ( Tenzij root of in de speciale groep of het uitvoeren van de relevante capaciteiten op 2,2+), en niet klagen, hebben ze geen toegang tot anderen. Er is echter een bekend probleem met w (1) in recente versies van PROCPS, dus u moet de meegeleverde patch toepassen op PROCPS als dit voor u van toepassing is. Wat is er nieuw in deze release: · De patch is bijgewerkt naar Linux 2.4.37.6. · Een oplossing voor een typografische fout in een van de informatie-lekfixes die zijn opgenomen in 2.4.37.6 is toegevoegd.

Openwall linux kernel patch Gerelateerde software