The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в гипервизоре VMM, развиваемом проектом OpenBSD

16.02.2020 08:42

В поставляемом в OpenBSD гипервизоре VMM выявлена уязвимость, позволяющая через манипуляции на стороне гостевой системы добиться перезаписи содержимого областей памяти ядра host-окружения. Проблема вызвана тем, что часть физических адресов гостевой системы (GPA, Guest Physical Address) отражена в виртуальное адресное пространство ядра (KVA), но для GPA не применяется защита от записи в области KVA, помеченные только для чтения. Из-за отсутствия необходимых проверок в функции еvmm_update_pvclock() можно добиться передачи KVA-адресов хост-системы в вызов pmap и переписать содержимое памяти ядра.

Дополнение: Разработчики OpenBSD выпустили патч для исправления уязвимости.

  1. Главная ссылка к новости (https://www.reddit.com/r/linux...)
  2. OpenNews: В OpenBSD включена по умолчанию система виртуализации VMM
  3. OpenNews: В состав OpenBSD включён новый гипервизор VMM
  4. OpenNews: Уязвимости в OpenBSD, позволяющие повысить привилегии и обойти аутентификацию в smtpd, ldapd и radiusd
  5. OpenNews: Уязвимость в ld.so OpenBSD
  6. OpenNews: Полностью свободный Linux-дистрибутив Hyperbola трансформируется в форк OpenBSD
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/52378-vmm
Ключевые слова: vmm, openbsd
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (146) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 08:44, 16/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Но как же хвалёное внимание BSD-шников к безопасности?
     
     
  • 2.2, б.б. (?), 08:50, 16/02/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    непрерывный аудит и находит такие ошибки
     
     
  • 3.32, Андрей (??), 18:26, 16/02/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Да, тут было бы интересно узнать, какое время эта уязвимость просидела незамеченной. Если короче чем аналогичная в линуксе, значит, аудит работает лучше.
     
     
  • 4.49, б.б. (?), 07:15, 17/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Да, тут было бы интересно узнать, какое время эта уязвимость просидела незамеченной.
    > Если короче чем аналогичная в линуксе, значит, аудит работает лучше.

    судя по тому, что патч вышел для 6.6, но не вышел, как обычно, для 6.5, значит уязвимость совсем новая :)

     
  • 3.38, Аноним (-), 20:30, 16/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Но тогда получается что линуксоиды со своим syzkaller'ом и сотнями тестов, аудитов и фуззинга вообще впереди планеты всей, разве нет?
     
     
  • 4.43, Аноним (-), 22:52, 16/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Но тогда получается что линуксоиды со своим syzkaller'ом и сотнями тестов, аудитов и фуззинга вообще впереди планеты всей, разве нет?
    > syzkaller kernel fuzzer и сотнями тестов, аудитов и фуззинга вообще впереди планеты всей, разве нет?
    > syzkaller (kernel fuzzer from Google, Supported OSes: Akaros, FreeBSD, Fuchsia, gVisor, Linux, NetBSD, OpenBSD, Windows) и сотнями тестов, аудитов и фуззинга вообще впереди планеты всей, разве нет?

    Отдельные линуксоиды опеннета, по понтам -- так уж точно!

     
     
  • 5.44, Аноним (-), 23:12, 16/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    У кого ж они этому научились? Вроде, говорят что BSD до Linux появились... ;)
     
     
  • 6.46, Аноним (-), 00:37, 17/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > У кого ж они этому научились? Вроде, говорят что BSD до Linux
    > появились... ;)

    И часовню - тоже они?

     
     
  • 7.51, Аноним (51), 11:48, 17/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    BSDшники написали Unix, да :)
     
     
  • 8.56, Аноним (-), 15:11, 17/02/2020 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 8.92, Аноним (-), 22:43, 20/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Авотфиг Вон там Euler Linux таки сертифицЫровли как UNIX facepalm А бздов в... текст свёрнут, показать
     
  • 4.60, Аноним (60), 17:22, 17/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да.
     
  • 4.61, Аноним (61), 17:47, 17/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    syzkaller'ом и сотнями тестов, аудитов и фуззинга не гарантируют нахождение ошибок
     
     
  • 5.65, Аноним (-), 21:13, 17/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > syzkaller'ом и сотнями тестов, аудитов и фуззинга не гарантируют нахождение ошибок

    Стопроцентные гарантии в этом мире даже страховой полис, увы, не дает. Работает он так.

     
  • 2.3, Валик (?), 08:52, 16/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Так вот же оно - были столь внимательны, что обнаружили очередную уязвимость...
     
  • 2.4, A.Stahl (ok), 08:54, 16/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    *BSD большой и все 1782.4 BSDшника не смогут выловить все баги до очередного релиза даже если только этим и будут заниматься.
     
     
  • 3.52, Аноним (51), 11:50, 17/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    По-моему, ваша оценка числа разработчиков опёнка сильно завышена. На пару порядков, как минимум.
     
  • 3.67, Аноним (67), 21:35, 17/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Активных разработчиков OpenBSD одномоментно порядка 70, всего — несколько сотен. Это если считать по коммиттерам. У FreeBSD цифры заметно больше, отчасти из-за политики выдачи прав на коммиты в дерево портов (возможно, за последние годы что-то изменилось). По NetBSD не интересовался.
     
  • 2.6, Аноним (6), 08:58, 16/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Тео изначально сказал что защита памяти в опенке будет не строгая, а со щелями.
     
     
  • 3.22, Аноним (22), 13:23, 16/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А есть пруфы?
     
     
  • 4.68, Аноним (68), 08:49, 18/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Были, надо искать, даже здесь писали.

    Смотри планы по защите памяти в опенке, особенно ту часть где речь о частичной поддержке JIT. Тео явно и четко сказал, что защита памяти в OpenBSD будет не строгая.

    https://blog.acumensecurity.net/2016/04/21/fpt_wx_ext-1-a-rundown/
    W^X (write xor execute) is the name of an implementation specifically in OpenBSD. One might therefor think that OpenBSD would meet this SFR, however it does not, as I will demonstrate below.


     
  • 4.74, Аноним (68), 09:54, 18/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    paxtest запусти.
     
  • 4.75, Аноним (68), 09:58, 18/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    https security stackexchange com questions 139238 why-does-paxtest-show-openbs... большой текст свёрнут, показать
     
  • 3.25, xm (ok), 16:19, 16/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    "Так говорил Заратустра"
     
  • 2.20, llol (?), 11:59, 16/02/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Сейчас тебе расскажут, что "поэтому и находят уязвимости, что внимательно следят".

    Но ты это читай как: "первый же адекватный человек, взглянувший на ЭТО, обнаружил, что BSD - такое же рeшето, как и всё остальное"

    llol :-)

     
     
  • 3.26, xm (ok), 16:21, 16/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Дегенераты из линуксового мира до сих пор не могут понять что основные *BSD это совершенно разные системы, со своими ядрами, окружением и т.п.
     
     
  • 4.30, Michael Shigorin (ok), 18:18, 16/02/2020 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Знаете, я не специалист по таким состояниям, но Вашу мысль можно было переформулировать и прямее -- "не надо перехваливать и излишне обобщать, приписывая заявленное отношение опенбздишников всем бздишникам", заодно адресовав автору комментария #1.  Не стёр ровно потому, что самоунижение правилами форума формально вроде бы не запрещено.
     
  • 4.53, Аноним (51), 11:51, 17/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Дегенераты из линуксового мира до сих пор не могут понять что основные *BSD это совершенно разные системы, со своими ядрами, окружением и т.п.

    Жителю Санкт-Петербурга простительно не понимать тонкой разницы между чеченцем и дагестанцем.
    Дегeнератом его это, внезапно, не делает.

     
     
  • 5.54, xm (ok), 13:07, 17/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    "Жителям Санкт-Петербурга" прежде чем искать всякого рода "тонкие разницы" недурно бы научиться не ссать в парадных.
     
     
  • 6.57, Аноним (-), 15:23, 17/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > "Жителям Санкт-Петербурга" прежде чем искать всякого рода "тонкие разницы" недурно бы
    > научиться не ссать в парадных.

    Да вот знаете, если так посмотреть кто в парадных ссыт, у них почему-то обычно чаще всего совсем не петербургские рожи. А с какой горы эти не очень почтенные господа спустились, или даже из какого огорода вылезли - другой вопрос.

     
  • 2.29, Michael Shigorin (ok), 18:13, 16/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Во-первых, не "BSD-шников", а опёнковцев.  Во-вторых, на всякого Акелу в сходящем с ума мире рано или поздно находится рост сложности за пределы человекопостижимости, похоже...
     
     
  • 3.39, Аноним (39), 20:34, 16/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    При том если Акелла вдруг удумает лечить что, например, виртуализация не нужна - он тогда вообще с голоду загнется. Потому что останется один, в пустоте.
     
     
  • 4.45, Аноним (45), 23:14, 16/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Потому что аноним, как обычно, слышал звон И ЧСЗ, самозабвенно повторяет его уж... большой текст свёрнут, показать
     
     
  • 5.48, Аноним (-), 04:50, 17/02/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Во первых, я видел виртуализаторы самого разного пошиба в продакшнах и тестлабах... большой текст свёрнут, показать
     
     
  • 6.55, Аноним (-), 14:45, 17/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Разве что в параллельной вселенной Ну или все эти ваши жирные корпорации с мир... большой текст свёрнут, показать
     
     
  • 7.58, Аноним (-), 16:51, 17/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это годные сельпо, оно завалили глобус продукцией С хорошей вероятностью вы их ... большой текст свёрнут, показать
     
     
  • 8.63, анонн (ok), 18:40, 17/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вряд ли Два комментария с морем пафоса, воды, повторов одно и того же на разные... большой текст свёрнут, показать
     
     
  • 9.66, Аноним (-), 21:34, 17/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Мегакорпорации штука забавная - ухитряются пролезть в самые неожиданные области ... текст свёрнут, показать
     

  • 1.5, Аноним (6), 08:56, 16/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > для GPA не применяется защита от записи в области KVA, помеченные только для чтения

    В OpenBSD защита памяти сделана хуже чем в Linux + PAX + GrSecurity.

    https://pax.grsecurity.net/docs/mprotect.txt

       - creating executable anonymous mappings
       - creating executable/writable file mappings
       - making an executable/read-only file mapping writable except for performing
         relocations on an ET_DYN ELF file (non-PIC shared library)
       - making a non-executable mapping executable

     
     
  • 2.8, Аноним (6), 09:13, 16/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В дополнение к защите памяти с помощью классических R, W, X, UNIX должен защищать процессы дискретно, по пользователям. Это обязательное требование DAC.

    В Linux дискретная защита процесов реализована с помощью YAMA: https://www.kernel.org/doc/html/latest/admin-guide/LSM/Yama.html . Или старый вариант через grsecurity можно защитить файлувую систему /proc чтобы каждый пользователь видел только свои процессы: https://en.m.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity_and_PaX_Configu

     
     
  • 3.13, Аноним (13), 09:24, 16/02/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    мы выслушали очередную рекламу Grsec не осилившего прочитать штатные средства защиты в proc, cуществующие хрен знает сколько времени.

    https://linux-audit.com/linux-system-hardening-adding-hidepid-to-proc/.

    Пытаетесь наскрести деньги на выплату по суду ?

     
     
  • 4.62, Аноним (61), 17:50, 17/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > хрен знает сколько времени

    После Grsecurity

     
     
  • 5.64, Аноним (64), 20:51, 17/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    да да, вот шнурки отглажу. тогда уж grsec спер из Virtuozzo / Linux-VServer
     
  • 2.11, Аноним (13), 09:22, 16/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    мы выслушали очередную рекламу grsec. Как там в у вас с нарушениями GPL ?
     
     
  • 3.14, Аноним (6), 09:32, 16/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https://www.opennet.dev/openforum/vsluhforumID3/119728.html#31

    https://www.opennet.dev/openforum/vsluhforumID3/119728.html#94

    https://www.opennet.dev/openforum/vsluhforumID3/119728.html#79

     
  • 2.12, Аноним (6), 09:22, 16/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    The restrictions prevent:
       - creating executable anonymous mappings
       - creating executable/writable file mappings
       - making an executable/read-only file mapping writable except for performing
         relocations on an ET_DYN ELF file (non-PIC shared library)
       - making a non-executable mapping executable
     
  • 2.18, Аноним (67), 11:06, 16/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Конечно же, вы правы. Только хотелось бы уточнить, почему пользователей дистрибутивов Linux, где PaX и GRSecurity включены по умолчанию, так мало по сравнению с остальными?
     
     
  • 3.19, Аноним (19), 11:57, 16/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Хорош вопрос Вернемся к истокам и вспомним историю первого безопасного дистрибу... большой текст свёрнут, показать
     
     
  • 4.21, Consta (?), 12:50, 16/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Предлагал им разработку, внедрение и поддержку безопасной ОС, основанной на мат модели...

    Это был линукс?

     
     
  • 5.69, Аноним (68), 09:00, 18/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да, GNU/Linux, но с расширенными возможностями ядра, компилятора, глибс и бинутилс.
     
     
  • 6.80, Consta (?), 17:41, 18/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это не спасает Дело не только в формальной матмодели как таковой как в совокуп... большой текст свёрнут, показать
     
     
  • 7.83, Аноним (83), 16:58, 19/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Много писать не хочется, буду краток 1 Если идти путем разработки микроядра с ... большой текст свёрнут, показать
     
     
  • 8.89, Consta (?), 13:47, 20/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем Там свое Кроме того, я не предлагал такое Смысл моего прсыла был в том,... большой текст свёрнут, показать
     
     
  • 9.101, Аноним (101), 11:48, 22/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Доказано что любая реализация DAC и MAC в микроядерных OS будет работать более ч... большой текст свёрнут, показать
     
     
  • 10.102, Consta (?), 15:06, 22/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Где можно ознакомиться с соответствующими доказательствами Может, хоть у меня п... большой текст свёрнут, показать
     
     
  • 11.114, Аноним (114), 16:43, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Мы когда-то посовещались и Я так решил https www opennet ru openforum vsluhfo... большой текст свёрнут, показать
     
     
  • 12.117, Аноним (114), 17:25, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    - Вы не хотите настроить простую DAC, спорите о том, что можно выделять память о... текст свёрнут, показать
     
  • 12.130, Consta (?), 15:24, 02/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Правильно понимаю, что предлагается в качестве доказательств рассматривать ссылк... большой текст свёрнут, показать
     
     
  • 13.135, Аноним (135), 16:24, 04/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Там вполне достаточно чтобы сложить 2 2 Дополнения для безопасности Писал уже,... большой текст свёрнут, показать
     
     
  • 14.146, Consta (?), 11:12, 06/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да я и не сомневался, что сразу все ясно Решение, безусловно, новаторское Сна... большой текст свёрнут, показать
     
     
  • 15.147, Аноним (147), 12:40, 07/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Нет времени спорить и что то доказывать Это сложные вещи Кратко Сетевой экран... большой текст свёрнут, показать
     
  • 4.23, pin (??), 13:42, 16/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Теперь это Астра?
     
     
  • 5.33, Michael Shigorin (ok), 18:27, 16/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Теперь это Астра?

    Если вдруг Вы угадали -- то было бы особенно пикантно, потому как несколько лет назад тамошнюю мандатку обходили с помощью su(1).  Причём знакомый, который с этим вынужден был мучаться, упоминал, что от этой информации поставщик ещё и отбрыкивался, помнится...

     
  • 5.70, Аноним (68), 09:01, 18/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Нет не Астра.
     
  • 4.24, cutlass (?), 14:59, 16/02/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Спектре матмодель учитывала?
     
     
  • 5.71, Аноним (68), 09:02, 18/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это было 10 лет назад.
     
  • 4.27, Аноним (27), 16:23, 16/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    На ентерпрайз-дистрибутивах можно неплохо попилить, а на твоей разработке как?
     
  • 4.31, Michael Shigorin (ok), 18:24, 16/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Вернемся к истокам и вспомним историю первого безопасного дистрибутива Linux
    > - Adamantics

    Во-первых, если он и претендовал на "первый безопасный", это была ложь.
    Во-вторых, Adamantix 1.0 был выпущен в 2003 году, а практически применявшаяся бета ALT Linux Castle с RSBAC -- ещё в 2001: http://www.linuxcenter.ru/lib/articles/distrib/altlinux/castle.phtml

    > В РФ есть проблема образования - ИТ безграмотность.

    Её демонстрацию вовсе не обязательно было ещё и матом сопровождать.  Почитайте здесь комментарии solardiz (который, в отличие от Вас, известен на публике _практической_ грамотностью в виде кода) -- вдруг дойдёт, что место Вашей матмодели -- среди проектов вечных двигателей, включая и мой школьный.

    PS: а если ещё и не Вашей лично, а девянинской (ср. #23) -- тогда тем более.

     
  • 4.36, tensor (?), 19:57, 16/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Всё уже придумано полвека назад, но только не бздунами под дырявую платформу:
    https://en.wikipedia.org/wiki/Popek_and_Goldberg_virtualization_requirements
    А основная проблема amd64 даже не в дырявости, а в том, что без хаков с vmx и "защитой страниц" поп-вирт будет работать как старенький атом.
     
  • 4.59, Аноним (-), 17:00, 17/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > которая даст гарантии не зависимо от любых действий пользователя они понять
    > пока не могут, а поверить уже не хотят.

    Да, в донкихотство теперь не верит даже Газпром, им видимо донесли что бюджет все же не резиновый. ОС общего назначения таким макаром не получится, а узкоспециализированное нечто - слишком нишевое.

     
     
  • 5.72, Аноним (68), 09:10, 18/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Речь шла об ОС общего назначения.
     
     
  • 6.81, Аноним (81), 01:00, 19/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Речь шла об ОС общего назначения.

    В ос общего назначения крапа слишком уж много, все предусмотреть имхо малореально.

    Ну и вон там с 2010 года примерно на интелском железе ME в каждой дырке, всегда активный, dma-capable, с мутной фирмварью делающей неизвестно что? Как его такой моделировать то, кроме FATAL VULN, unless proven otherwise?

     
  • 2.37, Дон Ягон (ok), 20:18, 16/02/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Она, главным образом, сделана по другому И OpenBSD, в отличие от NetBSD и Harde... большой текст свёрнут, показать
     
     
  • 3.73, Аноним (68), 09:50, 18/02/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Спасибо за расширенный ответ Неизыблемое правило DAC - все исполняемое не должн... большой текст свёрнут, показать
     
     
  • 4.77, анонн (ok), 13:27, 18/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Подсистема гарантирующая целостность ОС должна следить за неизменностью, как запускаемого кода с диска, так и исполняемого в оперативной памяти - незыблемое правило Integrity.

    ...
    >  Пользователи JIT розменивают свою безопасность на мнимую производительность. Надо производительность - пересобери все с оптимизацией под свой процессор.
    > Безопасность ОС, особенно фундаментальная: DAC, MAC, Integrity, ... должна быть гарантирована! Гарантировать ее

    ...
    > пошел на компромисс с пропогандистами JIT разрешив ранее выделенные, для изменения,

    ...
    > Мне, пользователю Gentoo,

    Это которая с питоном и шеллскриптами, умеющими в eval и чьи интерпретаторы плевать хотели на W^X, т.к. они сам себе "execution unit"?

    А так дышал, так дышал :(

     
     
  • 5.84, Аноним (83), 17:24, 19/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Это которая с питоном и шеллскриптами, умеющими в eval и чьи интерпретаторы плевать хотели на W^X, т.к. они сам себе "execution unit"?

    Интерпретаторы, с питоном включительно, можно обрезать простым DAC. Обычному пользователю и большинству сервисов они не нужны.

    groupadd shells
    usermod -a -G shells portage
    usermod -a -G shells ...
    chown root:shells /usr/bin/python* /bin/bash ...
    chmod o-rwx /usr/bin/python* /bin/bash ...

    У сегодняшнего Gentoo есть недостатки, но решаемы.

     
     
  • 6.93, Аноним (-), 22:54, 20/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Интерпретаторы, с питоном включительно, можно обрезать простым DAC.

    Угу, обрежь "пакетный менеджер" простым DAC. И чего он сможет потом? А ежели этот кус крапа заведует софтом в системе - то наверное и поиметь сможет, все что захочет, если захочет, не? На уровне базового анализа взаимодействий компонентов сугубо.

    > groupadd shells
    > usermod -a -G shells portage
    > usermod -a -G shells ...
    > chown root:shells /usr/bin/python* /bin/bash ...
    > chmod o-rwx /usr/bin/python* /bin/bash ...

    Прикольные тантры, а смысл? Можно подумать, это блекхэтам как-то помешает.

    > У сегодняшнего Gentoo есть недостатки, но решаемы.

    ...особенно ежели заменой дистра на менее хаотичный.

     
     
  • 7.98, Аноним (101), 09:07, 22/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Именно так и надо делать Пакетным менеджером должен рулить отдельный пользовате... большой текст свёрнут, показать
     
     
  • 8.127, Аноним (-), 21:11, 01/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А как насчет простого тезиса Подлом этого юзера почти эквивалентен подлому рута... большой текст свёрнут, показать
     
  • 6.103, Michael Shigorin (ok), 16:18, 22/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Интерпретаторы, с питоном включительно, можно обрезать простым DAC.
    > Обычному пользователю и большинству сервисов они не нужны.

    О, а попробуйте так сделать вот прям сейчас на localhost.
    Разумеется, используемого пользователя вносить в shells незачем.

    PS: о том, что надо будет бегать и следить за правами по мере обновления бинарников (а также о гонке в процессе при такой наивной реализации) -- помолчу, но вообще-то у нас подобная задача решена.

     
     
  • 7.115, Аноним (114), 16:48, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > О, а попробуйте так сделать вот прям сейчас на localhost. Разумеется, используемого пользователя вносить в shells незачем.

    У меня именно так все и настроено. Пользователям права на их shell даю. На остальные нет.

     
  • 4.78, Дон Ягон (ok), 14:31, 18/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это общеиспользуемые стандарты, других нет Реальность, увы, иная JIT использу... большой текст свёрнут, показать
     
     
  • 5.79, Дон Ягон (ok), 14:50, 18/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    del
     
  • 5.85, Аноним (83), 17:54, 19/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Желаю все оптимизировать во время компиляции под свой проц, а во время исполнени... большой текст свёрнут, показать
     
     
  • 6.87, Дон Ягон (ok), 07:48, 20/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это желания и только Реальность есть реальность Некоторые подвижки есть, но и ... большой текст свёрнут, показать
     
     
  • 7.99, Аноним (101), 10:45, 22/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    У меня source based дистрибутив вопрошающий мои желания в реальность И по этому... большой текст свёрнут, показать
     
     
  • 8.105, Дон Ягон (ok), 06:31, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, это не так Было бы хорошо, если бы это было так, но это не так и игнориров... большой текст свёрнут, показать
     
     
  • 9.116, Аноним (114), 17:09, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что никто не хочет лепить свои костыли вместо стандартных возможностей ff... большой текст свёрнут, показать
     
     
  • 10.118, Дон Ягон (ok), 23:29, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Пример, который я описывал был не про обход W X pt 2 pax mprotect , а про обход... большой текст свёрнут, показать
     
     
  • 11.119, Аноним (119), 16:01, 27/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Рандомизацтя адресного пространства сильно затрудняет поиск нужного кода Ты не ... большой текст свёрнут, показать
     
     
  • 12.120, Дон Ягон (ok), 16:11, 27/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я про это, да Я не про это Божечки, да причём тут это Когда-то у меня был арч... большой текст свёрнут, показать
     
     
  • 13.121, Аноним (121), 15:44, 28/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Мое мнение, контроль за памятью должен быть только у ядра Изменение исполняемых... текст свёрнут, показать
     
     
  • 14.122, Дон Ягон (ok), 15:49, 28/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ради бога Почему я считаю, что такой максималистский подход малоприменим для вс... текст свёрнут, показать
     
     
  • 15.123, Аноним (123), 09:07, 29/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Надеюсь, что всем уже стало понятно необходимость, ядром OS или аппаратно процес... текст свёрнут, показать
     
     
  • 16.124, Дон Ягон (ok), 05:07, 01/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я прочитал сейчас что-то, по меньшей мере, очень странное И в случае pledge, и ... большой текст свёрнут, показать
     
     
  • 17.126, Аноним (126), 15:26, 01/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, в OpenBSD ядро не дает никаких гарантий, оставляя возможность приложениям и... большой текст свёрнут, показать
     
     
  • 18.129, Дон Ягон (ok), 00:44, 02/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Прости, но ты пишешь ахинею Pledge - это системный вызов, как следствие, вся ра... большой текст свёрнут, показать
     
     
  • 19.131, Аноним (131), 15:51, 02/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Плохо то, что есть в ядре OpenBSD возможность дать программ право изменять испол... большой текст свёрнут, показать
     
     
  • 20.132, Дон Ягон (ok), 16:10, 02/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, это не плохо, это адекватно требованиям, выдвигаемым к ОС общего назначения... текст свёрнут, показать
     
  • 21.133, Аноним (133), 15:55, 03/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Нет сегодня возможности проверить логику работы всех программ А безопасность им... текст свёрнут, показать
     
  • 22.134, Дон Ягон (ok), 16:05, 03/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, я к тому, что можно и заканчивать Кажется, друг друга мы поняли, друг с дру... текст свёрнут, показать
     
  • 23.136, Аноним (135), 16:38, 04/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вы не сказали самый главный аргумент против использования W X А его надо понима... текст свёрнут, показать
     
  • 24.137, Дон Ягон (ok), 16:41, 04/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ИМХО, это всё совсем не про ОС общего назначения И даже не только лишь по требо... текст свёрнут, показать
     
  • 25.138, Аноним (135), 16:48, 04/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Про OS общего назначения это Реализация PaX в GNU Linux очень правильная и пред... текст свёрнут, показать
     
  • 26.139, Дон Ягон (ok), 17:20, 04/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я понял На эту тему все мысли, которые у меня были я уже написал, больше не х... текст свёрнут, показать
     
  • 27.140, Аноним (140), 17:41, 04/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Классика жанра В спец ПО для райнимации больного допустили ошибку переполнения ... текст свёрнут, показать
     
  • 28.141, Дон Ягон (ok), 17:58, 04/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Логика рассуждения мне понятна, спасибо Мне не понятно, почему бы не резервиров... текст свёрнут, показать
     
  • 29.144, Аноним (144), 16:31, 05/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А кто даст гарантию что не упадет процесс отвечающий за переключения или вообще ... большой текст свёрнут, показать
     
  • 30.145, Дон Ягон (ok), 17:06, 05/03/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Всё зависит от того, как именно всё реализовано Мы этих моментов не уточнили - ... большой текст свёрнут, показать
     
  • 31.148, Аноним (148), 14:28, 07/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Например, переключатель может быть вообще исполнен в железе Есть общая теория п... большой текст свёрнут, показать
     
  • 3.76, Аноним (68), 10:02, 18/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А кто за лоббирование бесполезной для жизни и очень вредной для безопасности, технологии JIT, деньгу проплачивает?
     
  • 3.82, недобрый (?), 07:49, 19/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Типичная апологетика и двойные стандарты.

    > Во-первых, "W^X part two" не соответствует букве стандарта.

    Зато соответствует модели угроз с учётом реальных техник эксплуатации и настраивается отдельно для каждого исполняемого файла. SELinux позволяет наложить аналогичные ограничения. Если лично для вас какие-то стандарты важнее, то это лишь ваши критерии.

    Про OpenBSD можно сказать, что в отличие от PaX и даже SELinux она не даёт пользователю _выбора_: следовать стандартам или отклониться от него для решения поставленных задач.

    > Во-вторых, что куда хуже, оно ломает приложения.

    Не ломает приложения, а лишь требует настройки. Как и большинство более сложных мер безопасности, вроде MAC.

    > Наконец, в третьих, OpenBSD предлагает решать проблему с "W^X part two" внутри самого приложения, при помощи pledge.

    Отказываться от пакетов поставщика дистрибутива ОС, патчить исходники и собирать свои бинарники прикручивать pledge через инъекцию библиотеки посредством LD_PRELOAD - это нелепость и действительно неудобно.

     
     
  • 4.86, Дон Ягон (ok), 07:27, 20/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    При чём тут мои критерии Приложения хромиум, java перестанут работать Лично ... большой текст свёрнут, показать
     
     
  • 5.88, недобрый (?), 12:06, 20/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Что ты тут ёрничаешь Перестанут работать, только если не будет способа снять дл... большой текст свёрнут, показать
     
     
  • 6.90, Дон Ягон (ok), 17:55, 20/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну то есть ещё раз если для некоторых приложений не ОТКЛЮЧИТЬ pax-защиты, они р... большой текст свёрнут, показать
     
     
  • 7.91, недобрый (?), 22:33, 20/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А если отключить - будут Ещё раз это whitelisting, лучшая практика по индустри... большой текст свёрнут, показать
     
     
  • 8.94, Дон Ягон (ok), 06:34, 21/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вместо решения конкретных проблем - мантры о стандартах индустрии В случае проб... большой текст свёрнут, показать
     
     
  • 9.95, б.б. (?), 08:04, 21/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ничего себе тут войну и мир пишут можно уже на бумаге издавать... текст свёрнут, показать
     
  • 9.96, недобрый (?), 12:48, 21/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это ты сейчас свои отсылки к стандартам хорошо охарактеризовал Да мне всё равно... большой текст свёрнут, показать
     
     
  • 10.97, Дон Ягон (ok), 06:22, 22/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это твои домыслы В первом комментарии речь шла не про paxd и прочие костыли, чт... большой текст свёрнут, показать
     
     
  • 11.100, Аноним (101), 10:59, 22/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ты не читатель ты, судя по этому посту писатель https www opennet ru open... текст свёрнут, показать
     
  • 11.106, недобрый (?), 20:11, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не домыслы, а хорошо обоснованные выводы Уродство - слово литературное Потом т... большой текст свёрнут, показать
     
     
  • 12.109, Дон Ягон (ok), 03:29, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Извини, но далее я буду стараться отвечать только на то, на что есть смысл отвеч... большой текст свёрнут, показать
     
     
  • 13.110, недобрый (?), 10:47, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Очевидно, что не безразлично Но мне удобнее, чтобы ты не слился, а наоборот про... большой текст свёрнут, показать
     
     
  • 14.112, Дон Ягон (ok), 15:54, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ты можешь быть уверен в чём угодно - я не против Во всех ОС общего назначения п... большой текст свёрнут, показать
     
     
  • 15.142, недобрый (?), 20:42, 04/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это ты на словах не против А на деле две недели упражняешься в зарабатывании пр... большой текст свёрнут, показать
     
  • 15.143, недобрый (?), 20:44, 04/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Рассуждать отказался Ну, кто бы сомневался И это твоё замечание могло бы иметь... большой текст свёрнут, показать
     
  • 14.113, Дон Ягон (ok), 15:58, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вопрос выбора абстракций определений Как по мне, меры защиты должны быть реакци... большой текст свёрнут, показать
     
  • 13.111, недобрый (?), 10:50, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Сразу - это прям сразу Значит, у тебя в голове вместо целостной картины не один... большой текст свёрнут, показать
     
  • 11.107, недобрый (?), 20:13, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А где я утверждал, что делали неосознанно и что чинить надо В OpenBSD пусть хот... большой текст свёрнут, показать
     
  • 11.108, недобрый (?), 20:17, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это где _пакетный менеджер_ ругается на битые чексуммы у _пакета_ Если пакетный... большой текст свёрнут, показать
     

  • 1.9, Аноним (9), 09:15, 16/02/2020 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –13 +/
     

     ....ответы скрыты (8)

  • 1.35, Аноним (35), 18:37, 16/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А ещё лет 10 назад на опеннете:
    Да кому ты нужен, зачем фаервол настраивать, зачем обновляться, и так работает.
     
     
  • 2.47, Аноним (47), 03:45, 17/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    10 лет назад ещё не изобрели китайцев? Некомпетентные люди существуют во все времена, что такого то.
     

  • 1.50, Аноним (50), 08:08, 17/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Если помечено уже read-only кем-то третьим, то зачем же второй раз уже самому заботиться.


    Не первый раз. Стандартная ошибка.

     
  • 1.104, Дон Ягон (ok), 22:33, 22/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    https://marc.info/?l=openbsd-tech&m=158237030723610&w=2

    Трололо, там с первого раза не разобрались, будут дофикшивать.

     
     
  • 2.125, Аноним (126), 14:30, 01/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.opennet.dev/opennews/art.shtml?num=52418
     
     
  • 3.128, Дон Ягон (ok), 23:16, 01/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > https://www.opennet.dev/opennews/art.shtml?num=52418

    Спасибо, видел. Мой комментарий был раньше, когда я ещё не знал, что Максим планирует написать про это новость.
    (узнал только по факту)

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру