Parche de Kernel OpenWall Linux Una colección de características relacionadas con la seguridad para el kernel de Linux
Descargar ahora

Parche de Kernel OpenWall Linux Clasificación y resumen

Parche de Kernel OpenWall Linux Etiquetas

linux núcleo parche de kernel Openwall Parche de openwall Kernel OpenWall

Parche de Kernel OpenWall Linux Descripción

Una colección de características relacionadas con la seguridad para el kernel de Linux. OpenWall Linux Kernel Patch es una colección de características relacionadas con la seguridad para el kernel de Linux, todas configurables a través de la nueva sección de configuración de 'opciones de seguridad'. Además de las nuevas características, algunas versiones del parche contienen varias correcciones de seguridad. El número de dichas correcciones cambia de la versión a la versión, ya que algunos se están volviendo obsoletos (como el mismo problema que se arregla con un nuevo lanzamiento de kernel), Si bien se descubren otros problemas de seguridad. Área de pila de usuarios ejecutables. La mayoría de las hazañas de desbordamiento del búfer se basan en sobrescribir la dirección de retorno de una función en la pila para que le apunte a algún código arbitrario, que también se coloca en la pila. Si el área de la pila no es ejecutable, las vulnerabilidades de desbordamiento de búfer se vuelven más difíciles de explotar. Otra forma de explotar un desbordamiento de tampón es apuntar la dirección de retorno a una función en LIBC, generalmente el sistema (). Este parche también cambia la dirección predeterminada que las bibliotecas compartidas son MMAP () 'Ed a para hacer que siempre contenga un byte cero. Esto hace que sea imposible especificar más datos (parámetros a la función o más copias de la dirección de retorno cuando se llenan con un patrón), en muchas hazañas que tienen que ver con las cadenas asciiz. Sin embargo, tenga en cuenta que este parche no es de ninguna manera una solución completa, solo agrega una capa adicional de seguridad. Muchas vulnerabilidades de desbordamiento de tampón seguirán siendo explotables una forma más complicada, y algunas incluso permanecerán afectadas por el parche. La razón para usar dicho parche es proteger contra algunas de las vulnerabilidades de desbordamiento del búfer que aún se desconocen. Además, tenga en cuenta que algunos desbordamientos de búfer se pueden usar para los ataques de denegación de servicios (generalmente en demonios sin reaparición y clientes de redes). Un parche como este no puede hacer nada contra eso. Es importante que solucione las vulnerabilidades tan pronto como se conozcan, incluso si está utilizando el parche. Lo mismo se aplica a otras características del parche (discutido a continuación) y sus vulnerabilidades correspondientes. Los enlaces restringidos en /Tmp. También han agregado una restricción de enlace IN- + T, originalmente para Linux 2.0 solamente, por Andrew Tridgell. Lo he actualizado para evitar el uso de un enlace duro en un ataque, al no permitir que los usuarios regulares creen enlaces difíciles con los archivos que no poseen, a menos que puedan leer y escribir el archivo (debido a los permisos de grupo). Por lo general, este es el comportamiento deseado de todos modos, ya que, de lo contrario, los usuarios no pudieron eliminar tales enlaces que acaban de crear en el directorio A + T (desafortunadamente, esto todavía es posible para los archivos grabables en grupo) y debido a las cuotas de disco. Desafortunadamente, esto puede romper las aplicaciones existentes. FIFOS restringidos en /Tmp.in Además de restringir los enlaces, es posible que también desee restringir las escrituras en FIFOS no confiables (tuberías nombradas), para hacer que los ataques de falsificación de datos sean más difíciles. Habilitar esta opción no permite escribir en FIFOS no es propiedad del usuario en los directorios de + T, a menos que el propietario sea el mismo que el del directorio o el FIFO se abre sin la bandera O_Creat. Restringido /proc. Esto fue originalmente un parche por vía que solo cambió los permisos en algunos directorios en / proc, por lo que tenía que ser raíz para acceder a ellos. Luego hubo parches similares por otros. Los encontré todos bastante inutilizables para mis propósitos, en un sistema donde quería que varios administradores pudieran ver todos los procesos, etc., sin tener que su raíz (o usar sudo) cada vez. Así que tuve que crear mi propio parche que incluyo aquí. Esta opción restringe los permisos en / proc para que los usuarios no rooten solo puedan ver sus propios procesos, y nada sobre las conexiones de la red activa, a menos que estén en un grupo especial. La ID de este grupo se especifica a través de la opción GID = Monte, y es 0 de forma predeterminada. (Nota: Si está utilizando IDIDD, deberá editar la línea INETD.CONF para ejecutar identd como este grupo especial). Además, esto desactiva DMESG (8) para los usuarios. Es posible que desee utilizar esto en un servidor ISP Shell donde la privacidad es un problema. Tenga en cuenta que estas restricciones adicionales se pueden omitir trivialmente con acceso físico (sin tener que reiniciarse). Cuando se utiliza esta parte del parche, la mayoría de los programas (PS, TOP, OMS) trabajan según lo deseado, solo muestran los procesos de este usuario ( A menos que esté en la raíz o en el grupo especial, o ejecute con las capacidades relevantes en 2.2+), y no se quejen, no pueden acceder a otros. Sin embargo, hay un problema conocido con W (1) en versiones recientes de PROCPS, por lo que debe aplicar el parche incluido a PROCPS si esto se aplica a usted. ¿Qué hay de nuevo en este lanzamiento: · El parche se ha actualizado a Linux 2.4.37.6. · Se ha agregado una solución para un error tipográfico en una de las correcciones de fugas de información incluidas en 2.4.37.6.

Parche de Kernel OpenWall Linux Software relacionado