The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Выпуск модуля LKRG 0.7 для защиты от эксплуатации уязвимосте..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск модуля LKRG 0.7 для защиты от эксплуатации уязвимосте..."  +/
Сообщение от opennews (??), 21-Июл-19, 19:49 
Проект Openwall опубликовал (https://www.mail-archive.com/announce@lists.openwall.co...) выпуск модуля ядра LKRG 0.7 (https://www.openwall.com/lkrg/)  (Linux Kernel Runtime Guard), обеспечивающего выявление несанкционированного внесения изменений в работающее ядро (проверка целостности) или попыток изменения полномочий пользовательских процессов (определение применения эксплоитов). Модуль подходит как для организации защиты от уже известных эксплоитов для ядра Linux (например, в ситуациях когда в системе проблематично обновить ядро), так и для противостояния эксплоитам для ещё неизвестных уязвимостей. Об особенностях LKRG можно прочитать в первом анонсе проекта (https://www.opennet.ru/opennews/art.shtml?num=47989).

Среди изменений в новой версии:


-  Проведён рефакторинг кода для обеспечения поддержки различных архитектур CPU. Добавлена начальная поддержка архитектуры ARM64;

-  Обеспечена совместимость с ядрами Linux 5.1 и 5.2, а также ядрами, собранными без включения при сборке ядра опций CONFIG_DYNAMIC_DEBUG,
CONFIG_ACPI и CONFIG_STACKTRACE, и с ядрами собранными с опцией CONFIG_STATIC_USERMODEHELPER. Добавлена экспериментальная поддержка  ядер от проекта  grsecurity;
-  Значительно изменена логика инициализации;
-  В подсистеме проверки целостности повторно включено самохэширование (self-hashing) и устранено  состояние гонки в движке  меток перехода (*_JUMP_LABEL), приводящее к взаимной блокировке при инициализации одновременно с событиями загрузки или выгрузки других модулей;


-  В коде определения применения эксплоитов добавлены новые sysctl lkrg.smep_panic (по умолчанию включен) и lkrg.umh_lock (по умолчанию выключен), добавлены дополнительные проверки бита SMEP/WP, изменена логика отслеживания новых задач в системе, переработана внутренняя логика синхронизации с ресурсами задач, добавлена поддержка OverlayFS, помещён в белый список  Ubuntu Apport.


URL: https://www.mail-archive.com/announce@lists.openwall.co...
Новость: https://www.opennet.ru/opennews/art.shtml?num=51139

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Выпуск модуля LKRG 0.7 для защиты от эксплуатации уязвимосте..."  +1 +/
Сообщение от Аноним (1), 21-Июл-19, 19:49 
Теперь эксплуатировать уязвимости стало сложнее.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Выпуск модуля LKRG 0.7 для защиты от эксплуатации уязвимосте..."  +/
Сообщение от n1rdeks (ok), 21-Июл-19, 19:56 
Как оно бьёт по производительности?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Выпуск модуля LKRG 0.7 для защиты от эксплуатации уязвимосте..."  +1 +/
Сообщение от Аноним (5), 21-Июл-19, 20:31 
метко. А вообще на сайте до сих пор написано, что они сильно не тестировали, но вроде как обещают до 2.5%. Хотя все зависит от режима.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

15. "Выпуск модуля LKRG 0.7 для защиты от эксплуатации уязвимосте..."  +/
Сообщение от solardiz (ok), 22-Июл-19, 14:16 
Подробный ответ на тот же вопрос в обсуждении LKRG 0.6: https://www.opennet.ru/openforum/vsluhforumID3/116625.html#3
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Выпуск модуля LKRG 0.7 для защиты от эксплуатации уязвимосте..."  +/
Сообщение от Аноне (?), 21-Июл-19, 20:35 
В свете недавних новостей нужно всё.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Выпуск модуля LKRG 0.7 для защиты от эксплуатации уязвимосте..."  –2 +/
Сообщение от Павел Отредиезemail (?), 21-Июл-19, 20:35 
Так-то может и нужно. Только голова не болит у разработчиков? У меня один только вопрос к различным hardened доработкам - сколько это стоит головной боли?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Выпуск модуля LKRG 0.7 для защиты от эксплуатации уязвимосте..."  +6 +/
Сообщение от VINRARUS (ok), 21-Июл-19, 21:02 
>сколько это стоит головной боли

Гдето между ударом кастрюлей и сковородкой.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

8. "Выпуск модуля LKRG 0.7 для защиты от эксплуатации уязвимосте..."  –2 +/
Сообщение от Аноним (8), 21-Июл-19, 20:58 
>Добавлена начальная поддержка архитектуры ARM64

Когда armv7?

Проблемы с ACPI S3 пофиксили?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Выпуск модуля LKRG 0.7 для защиты от эксплуатации уязвимосте..."  +/
Сообщение от solardiz (ok), 22-Июл-19, 14:14 
> Когда armv7?

Когда/если на LKRG на 32-битном ARM будет спрос. Пока мы спроса не видим. Cчитать ли за таковой вопрос здесь, не знаю.

> Проблемы с ACPI S3 пофиксили?

Нет. Я сейчас напомнил об этой задаче Адаму - надо или разобраться и добавить workaround, или/и добавить возможность отключения части проверок.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

17. "Выпуск модуля LKRG 0.7 для защиты от эксплуатации уязвимосте..."  +/
Сообщение от Аноним (8), 22-Июл-19, 21:42 
>Пока мы спроса не видим.

Платёжеспособный спрос вряд-ли будет - 32-битные армы вытеснены в новых телефонах 64-битными, не удивлюсь, если гугл их скоро официально дропнет. Просто интересовала возможность прикрутить LKRG к lineageos для старых телефонов как один из вариантов смягчения уязвимостей в блобах.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

18. "Выпуск модуля LKRG 0.7 для защиты от эксплуатации уязвимосте..."  +/
Сообщение от solardiz (ok), 22-Июл-19, 21:49 
Необязательно платёжеспособный, так как добавить поддержку не сложно. Спасибо за пояснение.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

10. "Выпуск модуля LKRG 0.7 для защиты от эксплуатации уязвимосте..."  +1 +/
Сообщение от kido5217email (?), 21-Июл-19, 21:15 
Кто-нибудь смог это с dkms подружить?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Выпуск модуля LKRG 0.7 для защиты от эксплуатации уязвимосте..."  +/
Сообщение от Michael Shigorinemail (ok), 16-Авг-19, 16:54 
У нас просто собрали в репозиторий: http://git.altlinux.org/tasks/archive/done/_230/236114/logs/... (а компилятор на не-сборочном сервере незачем, как мне кажется).
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Выпуск модуля LKRG 0.7 для защиты от эксплуатации уязвимосте..."  +/
Сообщение от Аноним (13), 22-Июл-19, 11:18 
Как только не извернутся лишь бы grsecurity не покупать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Выпуск модуля LKRG 0.7 для защиты от эксплуатации уязвимосте..."  +/
Сообщение от хз.кто (?), 22-Июл-19, 17:07 
А почём их патчи сейчас?
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

19. "Выпуск модуля LKRG 0.7 для защиты от эксплуатации уязвимосте..."  –1 +/
Сообщение от andyemail (??), 29-Июл-19, 18:59 
в чем проблема заюзать lts ядро, где обычно ничего не ломается?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру