The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

28.07.2016 11:53  В OpenBSD из соображений безопасности удалены systrace и прослойка совместимости с Linux

В дополнение к прекращению поддержки монтирования файловых систем непривилегированным пользователем разработчики OpenBSD удалили ряд подсистем, которые потенциально могут оказывать негативное влияние на безопасность, создавая дополнительные цели для проведения атак. В состав OpenBSD 6.0, релиз которого намечен на 1 сентября, не войдёт система ограничения системных вызовов systrace и компоненты эмуляции Linux. В OpenBSD 6.0 также будет включён по умолчанию механизм защиты W^X и добавлены настройки sysctl net.inet.tcp.rootonly и net.inet.udp.rootonly, позволяющие выборочно запретить приём соединений по указанным в списке сетевым портам непривилегированными процессами.

  1. Главная ссылка к новости (https://www.openbsd.org/60.htm...)
  2. OpenNews: В OpenBSD прекращена поддержка монтирования непривилегированным пользователем
  3. OpenNews: Серия уязвимостей в ядре OpenBSD
  4. OpenNews: При портировании во FreeBSD утилиты doas, аналога sudo от OpenBSD, возникла опасная уязвимость
  5. OpenNews: Проект OpenBSD перешёл на обязательное использование механизма защиты W^X
  6. OpenNews: Разработчики OpenBSD подготовили для libc механизм защиты anti-ROP
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: openbsd
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, rob pike, 12:05, 28/07/2016 [ответить] [смотреть все]
  • +1 +/
    В OmniOS наоборот, добавили https://wiki.smartos.org/display/DOC/LX+Branded+Zones
     
     
  • 2.43, Аноним, 16:51, 28/07/2016 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    и даже в вантуз
     
     
  • 3.45, Яйцассыром, 17:15, 28/07/2016 [^] [ответить] [смотреть все]
  • +6 +/
    ну им то терять нечего) кучей уязвимостей больше, кучей меньше...)
     
  • 1.3, Аноним, 12:26, 28/07/2016 [ответить] [смотреть все]
  • +30 +/
    загрузчик удалите, безопасность вырастет до недосягаемого уровня
     
     
  • 2.14, Аноним, 13:56, 28/07/2016 [^] [ответить] [смотреть все] [показать ветку]
  • –2 +/
    Не поможет, так как можно загрузится с флешки CD ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.17, бедный буратино, 14:28, 28/07/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    разница между boot, cdboot и pxeboot - минимальна, и это всё - загрузчики ... весь текст скрыт [показать]
     
  • 3.22, Аноним, 14:53, 28/07/2016 [^] [ответить] [смотреть все]  
  • +/
    Нельзя - системе для этого всё-равно нужен загрузчик Лучше удалить процесс init... весь текст скрыт [показать]
     
     
  • 4.32, Аноним, 15:18, 28/07/2016 [^] [ответить] [смотреть все]  
  • +3 +/
    Ну-ну Потом будет ой, не удалить, а заменить Только инит Знаем, проходили... весь текст скрыт [показать]
     
  • 1.4, Лапчатый Бубунтаед, 12:29, 28/07/2016 [ответить] [смотреть все]  
  • –2 +/
    УРА! Наконец-то я этого дождался.
     
     
  • 2.19, бедный буратино, 14:36, 28/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    фишка в том, что в некоторых подсистемах версия i386 тупит, как комментаторы на ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.34, Аноним, 15:50, 28/07/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Я даже в виртуалках со сравнительно небольшим объёмом памяти использую amd64, чи... весь текст скрыт [показать]
     
     
  • 4.36, бедный буратино, 16:05, 28/07/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    случаи всякие бывают иногда и i386 нужно ... весь текст скрыт [показать]
     
     
  • 5.61, dimcha, 23:58, 28/07/2016 [^] [ответить] [смотреть все]  
  • +/
    Поделитесь опытом, если не сложно.
     
     
  • 6.66, ssh, 02:21, 29/07/2016 [^] [ответить] [смотреть все]  
  • +/
    Какое-нибудь старое железо используемое в качестве лабы У меня например для эти... весь текст скрыт [показать]
     
  • 1.6, Аноним, 12:33, 28/07/2016 [ответить] [смотреть все]  
  • +7 +/
    Когда уже оставят одно ядро? А то сколько векторов для атак в юзерспейсе.
     
     
  • 2.10, Аноним, 13:23, 28/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +8 +/
    > Когда уже оставят одно ядро? А то сколько векторов для атак в
    > юзерспейсе.

    Ядро первым делом надо убрать. Вона сколько у него системных вызовов, и вы только подумайте что они позволяют! Все хакеры ими пользуются!

     
  • 1.9, Аноним, 13:22, 28/07/2016 [ответить] [смотреть все]  
  • +/
    Я что-то не понял как от удаления средства ограничения сисколов может стать безо... весь текст скрыт [показать]
     
     
  • 2.13, Аноним84701, 13:42, 28/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Баян какой-то http daemonforums org showthread php t 9795 gt оверквотинг уд... весь текст скрыт [показать] [показать ветку]
     
  • 2.33, Аноним, 15:47, 28/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Нет, это автор новости переводчик что-то странное написал Всё проще как уже... весь текст скрыт [показать] [показать ветку]
     
  • 1.15, бедный буратино, 14:25, 28/07/2016 [ответить] [смотреть все]  
  • +/
    новости удаления подсистемы эмуляции Linux - примерно полгода. а в состоянии "не поддерживается, будет удалено" она пребывает и того больше.
     
  • 1.18, Пользователь Debian, 14:32, 28/07/2016 [ответить] [смотреть все]  
  • +4 +/
    /sbin/sysctl anal.fence=1
     
     
  • 2.69, Аноним, 06:53, 29/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    > /sbin/sysctl anal.fence=1

    По этой команде на админа одеваются бронетрусы?

     
     
  • 3.76, Аноним, 23:17, 30/07/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    ОДНИ бронетрусы
     
  • 1.23, Аноним, 14:55, 28/07/2016 [ответить] [смотреть все]  
  • +2 +/
    Пофиг. Ждем новую песенку.
     
     
  • 2.26, бедный буратино, 14:57, 28/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    > Пофиг. Ждем новую песенку.

    песенок будет 6

    первая уже появилась на сайте

     
     
  • 3.49, Аноним, 17:40, 28/07/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Походу песенки они пишут быстрее чем операционки Может ну его нафиг эти операци... весь текст скрыт [показать]
     
     
  • 4.54, Аноним, 18:57, 28/07/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Учитывая количество пишущего народа и возможности этой самой операционки, лапча... весь текст скрыт [показать]
     
     
  • 5.70, Аноним, 06:55, 29/07/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Действительно, разработчики линя все вместе взятые и полстолько песенок не напис... весь текст скрыт [показать]
     
     
  • 6.71, Аноним, 13:14, 29/07/2016 [^] [ответить] [смотреть все]  
  • +/
    fix вам виднее ... весь текст скрыт [показать]
     
  • 2.27, Аноним, 15:06, 28/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    О чем ты?
     
     
  • 3.39, Аноним, 16:07, 28/07/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    > О чем ты?

    У-у-у-у, темнота: http://www.openbsd.org/lyrics.html

     
  • 1.37, Shodan, 16:06, 28/07/2016 [ответить] [смотреть все]  
  • +7 +/
    В OpenBSD из соображений безопасности полностью удален код OpenBSD
     
     
  • 2.41, бедный буратино, 16:08, 28/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    тогда получится NetBSD 1 1 ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.51, Аноним, 17:53, 28/07/2016 [^] [ответить] [смотреть все]  
  • +/
    Который будет удален следующим коммитом.
     
  • 3.64, Led, 00:59, 29/07/2016 [^] [ответить] [смотреть все]  
  • +/
    нет BSD - нет уязвимостей ... весь текст скрыт [показать]
     
     
  • 4.73, _, 16:56, 29/07/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Неуч Нет BSD - BSD-уязвимостей Но для тебя останутся все уязвимости твоей убун... весь текст скрыт [показать]
     
     
  • 5.74, Led, 21:13, 29/07/2016 [^] [ответить] [смотреть все]  
  • +/
    > но пятница

    У вас, петросянов, она уже седьмая на этой неделе.

     
  • 5.77, Аноним, 07:39, 02/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Кабель уязвим к топору атакующего и уборщице со шваброй ... весь текст скрыт [показать]
     
  • 1.42, _, 16:09, 28/07/2016 [ответить] [смотреть все]  
  • –1 +/
    А что кто то сомневался что Тео - знатный тролль?! :-)
     
  • 1.62, anonymous, 23:59, 28/07/2016 [ответить] [смотреть все]  
  • +4 +/
    В OpenBSD из соображений безопасности удалено ядро. Оставлены только песенки.
     
  • 1.72, ram_scan, 16:50, 29/07/2016 [ответить] [смотреть все]  
  • +/
    > добавлены настройки sysctl net.inet.tcp.rootonly и net.inet.udp.rootonly, позволяющие выборочно запретить приём соединений по указанным в списке сетевым портам непривилегированными процессами.

    Могучее решение, учитывая что сбиндить порт на общеупотребимый привилегированный сервис и так без рута низзя. А тут с такой дефолтной фичей если уж присовывать будут то сразу гарантированно в привилегированный процесс, иба чо уж мелочиться то. А абизяны будут непривилегированные процессы от рута пушшать, кто эту настройку ниасилил.

     
     
  • 2.75, Аноним, 17:19, 30/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    google priviledge 20dropping... весь текст скрыт [показать] [показать ветку]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor