OpenWall Linux-Kernel-Patch Eine Sammlung von sicherheitsbezogenen Funktionen für den Linux-Kernel
Jetzt downloaden

OpenWall Linux-Kernel-Patch Ranking & Zusammenfassung

OpenWall Linux-Kernel-Patch Stichworte

Linux Kernel. Kernel-Patch Openwall Openwall-Patch Openwall-Kernel.

OpenWall Linux-Kernel-Patch Beschreibung

Eine Sammlung von Sicherheitsfunktionen für den Linux-Kernel OpenWall Linux Kernel Patch ist eine Sammlung von Sicherheitsfunktionen für den Linux-Kernel, die über den neuen Konfigurationsbereich "Sicherheitsoptionen" konfigurierbar ist. Zusätzlich zu den neuen Funktionen enthalten einige Versionen des Patches verschiedene Sicherheitsfixe. Die Anzahl solcher Korrekturen wechselt von der Version in die Version, da einige veraltet werden (z. B. wegen desselben Problems, das mit einem neuen Kernelfreigabe fixiert wird), Während andere Sicherheitsfragen entdeckt werden Wenn der Stapelbereich nicht ausführbar ist, werden Pufferüberlaufanfälligkeiten schwieriger zu explloitieren. Eine andere Möglichkeit, einen Pufferüberlauf auszunutzen, ist, die Rücksendeadresse auf eine Funktion in LIBC zu zeigen, normalerweise System (). Dieser Patch ändert auch die Standardadresse, die gemeinsam genutzte Bibliotheken MMAP () 'ed, um ein Nullbyte enthalten zu lassen. Dies macht es unmöglich, weitere Daten anzugeben (Parameter an der Funktion oder mehr Kopien der Rücksendungsadresse, wenn Sie mit einem Muster füllen), - in vielen Ausführungen, die mit ASCIIZ-Saiten zu tun haben. Beachten Sie jedoch, dass dieser Patch keinesfalls eine vollständige Lösung ist, sondern fügt nur eine zusätzliche Sicherheitsschicht hinzu. Viele Pufferüberlaufanfälligkeiten bleiben komplizierter, und einige bleiben von dem Patch sogar unberührt. Der Grund für die Verwendung eines solchen Patches besteht darin, vor einigen der Pufferüberlaufanfälligkeiten zu schützen, die noch unbekannt sind. Beachten Sie auch, dass einige Pufferüberläufe zur Ablehnung von Serviceangriffen (in der Regel in nicht respasierenden Daemons und Netzwerkkunden) verwendet werden können. Ein solcher Patch kann nichts dagegen tun. Es ist wichtig, dass Sie Schwachstellen feststellen, sobald sie bekannt werden, auch wenn Sie den Patch verwenden. Gleiches gilt für andere Funktionen des Patches (diskutiert) und deren entsprechenden Schwachstellen. Eingeschränkte Links in /tmp.i've fügte auch eine Link-In- +-T-Einschränkung hinzu, die ursprünglich nur für Linux 2.0 von Andrew Tridgell hinzugefügt wurde. Ich habe es aktualisiert, um daran zu verhindern, dass ein harter Link bei einem Angriff stattdessen keine regulären Benutzer erlaubt, harte Links zu Dateien zu erstellen, die sie nicht besitzen, es sei denn, sie können die Datei (aufgrund von Gruppenberechtigungen) lesen und schreiben. Dies ist in der Regel das gewünschte Verhalten sowieso, da ansonsten Benutzer solche Links nicht entfernen können, die sie gerade in einem + t-Verzeichnis erstellt haben (leider ist dies jedoch noch für gruppenbeschreibbare Dateien und wegen der Festplattenquoten möglich. Leider kann dies vorhandene Anwendungen brechen. Eingeschränkte FIFOs in /tmp.in Zusätzlich zur Einschränkung von Links möchten Sie auch schreibt, schreibt in nicht vertrauenswürdige FIFOs (benannte Rohre) einschränken, um die Datenspeicherangriffe schwieriger zu gestalten. Aktivieren dieser Option deaktiviert das Schreiben in FIFOs, die nicht im Besitz des Benutzers in + t-Verzeichnissen gehören, es sei denn, der Besitzer ist derselbe wie das des Verzeichnisses oder der FIFO ohne O_Creat-Flagge. RESTREDICT /PROC.Dies war ursprünglich ein Patch nach Route, der nur die Berechtigungen für einige Verzeichnisse in / Proc änderte, sodass Sie root sein mussten, um darauf zuzugreifen. Dann gab es ähnliche Patches von anderen. Ich fand sie alle ganz unbrauchbar für meine Zwecke, auf einem System, in dem ich mehrere Administratoren wollte, um alle Prozesse usw., ohne zu sehen zu können (oder sudo) jedes Mal wurzeln zu müssen. Ich musste also meinen eigenen Patch erstellen, den ich hier auflege Die ID dieser Gruppe wird über die Option GID = Mount angegeben und ist standardmäßig 0. (HINWEIS: Wenn Sie IDD verwenden, müssen Sie die INETD.CONF-Leitung bearbeiten, um identd als diese spezielle Gruppe auszuführen.) Dies deaktiviert auch DMESG (8) für die Benutzer. Sie möchten dies möglicherweise auf einem ISP-Shell-Server verwenden, in dem die Privatsphäre ein Problem ist. Beachten Sie, dass diese zusätzlichen Einschränkungen mit physischem Zugriff trivial umgangen werden können (ohne neu starten müssen). Wenn mit diesem Teil des Patchs, die meisten Programme (PS, Top, WHO), die wie gewünscht funktionieren, arbeiten, zeigen sie nur die Prozesse dieses Benutzers ( Sofern nicht root oder in der speziellen Gruppe oder mit den relevanten Funktionen auf 2.2+ läuft und sich nicht beschweren, können sie nicht auf andere zugreifen. Es gibt jedoch ein bekanntes Problem mit w (1) in den letzten Versionen von ProCPS, sodass Sie den mitgelieferten Patch an Procps anwenden sollten, wenn dies für Sie gilt. Was ist neu in dieser Version: · Der Patch wurde auf Linux 2.4.37.6 aktualisiert. · Ein Fix für einen typografischen Fehler in einem der in 2.4.37.6 enthaltenen Informationsleckimes wurde hinzugefügt.

OpenWall Linux-Kernel-Patch Zugehörige Software