The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

12.03.2018 12:58  Разработчики OpenBSD развивают новый метод защиты стека

Тео де Раадт (Theo de Raadt) представил новый метод защиты стека Stack-register, в рамках которого традиционные типы разрешения доступа к памяти (например, возможность чтения, записи и выполнения кода) расширены новым полномочием - MAP_STACK, которое реализуется программно на уровне ядра ОС. Суть предложенного метода в том, что когда память используется как стек, она обязательно должна быть отражена через mmap с использованием флага MAP_STACK.

При выделении областей под стек для процессов флаг MAP_STACK автоматически выставляется ядром во время запуска процесса, поэтому модификация кода приложений не требуется. При совершении системного вызова осуществляется проверка регистра с указателем на стек. Если регистр указывает на область памяти, помеченную MAP_STACK, то выполнение продолжается в штатном режиме. Если нет, то считается, что указатель стека вышел за выделенную под стек область и процесс принудительно завершается.

Новая система защиты пока имеет экспериментальный характер и проходит тестирование в свежих снапшотах OpenBSD. В тестовом режиме вместо фактического завершения процесса осуществляется вывод предупреждений в лог. За несколько дней тестировния уже выявлены и устранены проблемы, проявляющиеся при сборке портов go и SBCL, а также при выполнении двух тестов из набора src/regress. Тестирование портов продолжается и если не возникнет новых проблемных моментов, новый метод защиты может быть включен в состав OpenBSD 6.3.

Кроме того, сообщается о расширении применения системы syspatch для обновления OpenBSD через бинарные патчи. Отныне через syspatch будут поддерживаться не только обновления для текущего релиза, но и для прошлого выпуска, поддержание которого в актуальном виде теперь возможно без пересборки из исходных текстов. Например, помимо обновлений для OpenBSD 6.2 теперь через бинарные патчи можно обновлять и прошлую ветку OpenBSD 6.1. После выхода OpenBSD 6.3 аналогично будет продолжена поддержка для ветки OpenBSD 6.2. Для старых релизов бинарные патчи будут формироваться только для архитектур amd64 и i386.

  1. Главная ссылка к новости (http://undeadly.org/cgi?action...)
  2. OpenNews: Защита от атаки Meltdown в OpenBSD. Стабильное обновление микрокода Intel. Иски против AMD
  3. OpenNews: Проект OpenBSD представил технику защиты RETGUARD
  4. OpenNews: Для OpenBSD представлена новая техника рандомизации адресного пространства ядра
  5. OpenNews: Выпуск LibertyBSD 6.1, варианта OpenBSD, избавленного от блобов
  6. OpenNews: В OpenBSD добавлена новая защита от атак на основе заимствования кусков кода
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: openbsd, stack, protect
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.3, X4asd (ok), 13:27, 12/03/2018 [ответить] [показать ветку] [···]     [к модератору]
  • –7 +/
    сначало полумал не плохая идея а теперь думаю ну и какой толк от этой провер... весь текст скрыт [показать]
     
     
  • 2.5, Anon4ik (?), 13:36, 12/03/2018 [^] [ответить]    [к модератору]  
  • +12 +/
    Конечно так, ведь libc не общается с ядром и не использует сисколов.
     
  • 2.19, Ordu (ok), 15:13, 12/03/2018 [^] [ответить]    [к модератору]  
  • +8 +/
    > гаджет вместо вызова системных вызовов -- будет делать библиотечный вызов libc..

    Да пускай он как хочет делает, но ему придётся возиться с тем, чтобы указатель стека указывал бы на стек, а не в кучу и не в код.

    > какой толк от этой проверки?

    Это практически бесплатный способ создать проблем вредоносному коду и снизить риски переполнения стека. Он не серебряная пуля, и не решит всех проблем выхода связанных с переполнением стека, но во многих ситуациях он справится.

     
     
  • 3.34, Crazy Alex (ok), 18:09, 12/03/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    А потом они насыпают один "практически бесплатный" поверх другого и сумма, подозреваю, выходит совсем не бесплатной.

    В итоге всё это выгдялит как куча костылей.

     
     
  • 4.38, Ordu (ok), 19:12, 12/03/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    Может быть Сложно сказать, потому что здесь ведь речь об одной проверке одного ... весь текст скрыт [показать]
     
     
  • 5.50, Crazy Alex (ok), 21:52, 12/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Положительные эффекты суммируются, когда они есть IMHO, если ты не доверяешь за... весь текст скрыт [показать]
     
     
  • 6.51, Аноним (-), 21:55, 12/03/2018 [^] [ответить]    [к модератору]  
  • +/
    > при этом расширялась костылями, как современные иксы, допустим.

    ЕРЕТИК !!!

     
     
  • 7.64, Crazy Alex (ok), 00:16, 13/03/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Ага, еретик Я считаю, что если б тулкитчики сделали по-людски, расширив иксы ну... весь текст скрыт [показать]
     
  • 6.60, Ordu (ok), 23:11, 12/03/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Ну, так рассуждая, можно придти к выводу, что DOS лучшая операционная система, п... весь текст скрыт [показать]
     
     
  • 7.68, Crazy Alex (ok), 00:29, 13/03/2018 [^] [ответить]     [к модератору]  
  • +/
    С моей точки зрения ответственность ядра - защищать ядро от юзерспейса и разных ... весь текст скрыт [показать]
     
  • 6.73, Ordu (ok), 02:09, 13/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Ы Я заглянул в man mmap, и нашёл там такое MAP_STACK since Linux 2 6 2... весь текст скрыт [показать]
     
     
  • 7.75, Crazy Alex (ok), 03:33, 13/03/2018 [^] [ответить]     [к модератору]  
  • +/
    И что Оно no-op, и фактически является костылём на случай чего Это никак не зн... весь текст скрыт [показать]
     
  • 6.83, Аноним (-), 20:45, 13/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Какую другую песочницу Если речь идет о виртуальной машине то потеря производит... весь текст скрыт [показать]
     
     
  • 7.93, Crazy Alex (ok), 19:00, 17/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Да любой из этих вариантов. Накладные расходы получаем только там, где они нужны. Как в плюсах - "платишь за то, что используешь"
     
  • 6.84, Аноним (-), 22:55, 13/03/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    После Spectre я вдруг понял почему Тео говорил, что виртуалка это не о безопасно... весь текст скрыт [показать]
     
     
  • 7.87, Anonymoustus (ok), 00:20, 14/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Определённо, Тео таки кое-что понимает x86 небезопасна по двум причинам фундаме... весь текст скрыт [показать]
     
     
  • 8.89, Не тот Аноним (?), 05:06, 14/03/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    У вас это предложение в утвердительной форме А вот тут с вами не согласен При че... весь текст скрыт [показать]
     
     
  • 9.90, Anonymoustus (ok), 12:47, 14/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Можете добавить ещё причин Я выделил те, которые мне представляются имеющими зн... весь текст скрыт [показать]
     
  • 9.91, Anonymoustus (ok), 12:58, 14/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Произвольно взятый отрывок из доступных в сети исходников Оффтопика-2000 CODE ... весь текст скрыт [показать]
     
  • 4.62, Аноним (-), 23:22, 12/03/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Так если ты не заметил, продакшны и не рвутся использовать OpenBSD По всем бенч... весь текст скрыт [показать]
     
     
  • 5.65, Аноним (-), 00:18, 13/03/2018 [^] [ответить]     [к модератору]  
  • +/
    А продакшены, которые решились на OpenBSD кучу девяток сделать, это не продакшен... весь текст скрыт [показать]
     
     
  • 6.76, Crazy Alex (ok), 03:37, 13/03/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Не продакшны Ну есть где-то в углу рынка - и хрен с ним Их же совсем единицы ... весь текст скрыт [показать]
     
     
  • 7.86, Аноним (-), 23:15, 13/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Давайте просто в вашем сообщении заменим продакшен на мейнстрим и на этом пореши... весь текст скрыт [показать]
     
     
  • 8.94, Crazy Alex (ok), 19:07, 17/03/2018 [^] [ответить]     [к модератору]  
  • +/
    А это, в общем, одно и то же - мейнстрим таков, каков он есть, не из-за заговора... весь текст скрыт [показать]
     
  • 4.63, Anon4ik (?), 23:29, 12/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Слой за слоем выходит армированная броня. Или вы представляете себе один метод решающий все проблемы безопасности? (power off хороший метод, но не вариант)
     
     
  • 5.66, Аноним (-), 00:19, 13/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Прям лирическое определение OpenBSD ... весь текст скрыт [показать]
     
  • 5.69, Crazy Alex (ok), 00:31, 13/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Если уж продолжать метафору - ну и тащат эту броню потом на гонки Ф-1, потому как приросла и не снимается. Или сидят в ней в собственном доме в собственной спальне.
     
  • 5.82, Аноним (-), 16:58, 13/03/2018 [^] [ответить]    [к модератору]  
  • +/
    > армированная броня

    Это, в смысле, бронированная броня?

     
     
  • 6.85, Аноним (-), 23:11, 13/03/2018 [^] [ответить]    [к модератору]  
  • +/
    >> армированная броня
    > Это, в смысле, бронированная броня?

    Наверно в смысле композитная (костылями прошитая), а не цельнолитая

     
  • 2.43, Аноним (-), 19:56, 12/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Думать - это не твой конек.
     
     ....нить скрыта, показать (29)

  • 1.4, x0r (??), 13:33, 12/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    не понятно что дает такая защита? защищает от сбоев или еще от атак?
     
     
  • 2.7, КО (?), 13:40, 12/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Защита от выхода за границу.
    По своей воли или по принуждению - без разницы. :)
     
  • 2.26, Аноним (-), 16:33, 12/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > не понятно что дает такая защита? защищает от сбоев или еще от атак?

    От сбоев она не защищает, а наоборот — добавляет их. Как и любые другие рантайм-проверки.

     
  • 1.9, Аноним (-), 13:49, 12/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    не понимаю, чего разбушевались комментаторы. Разве защищать не надо? Без защиты небезопасно же.
     
     
  • 2.13, saahriktu (ok), 14:22, 12/03/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Защищать может кому-то и надо Но, если перестараться, то получится концлагерь, ... весь текст скрыт [показать]
     
     
  • 3.15, Аноним (-), 14:29, 12/03/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Наверное когда один такой "хакер" советовал ставить другому пустой пароль, в его кармане предательски и лицемерно звенели ключи от квартиры, которую он зачем-то запер, уходя из нее.
     
     
  • 4.16, saahriktu (ok), 14:58, 12/03/2018 [^] [ответить]     [к модератору]  
  • +/
    В те годы домашних и не только персоналок как таковых ещё не было Машины тогд... весь текст скрыт [показать]
     
     
  • 5.18, Аноним (-), 15:07, 12/03/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    Самая большая ошибка - приводить разнообразные факты из 70-ых по типу "Знаете ли вы..." для новости 2018 года, которая относится к твоим фактам чуть менее, чем никак.
     
  • 5.20, ыы (?), 15:30, 12/03/2018 [^] [ответить]     [к модератору]  
  • –5 +/
    Это расхожее ложное рассуждение проистекающее от невежества Ведь и содержимое к... весь текст скрыт [показать]
     
     
  • 6.31, saahriktu (ok), 17:01, 12/03/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    На самом деле тут другой практический принцип Есть люди, которые готовы поддерж... весь текст скрыт [показать]
     
     
  • 7.33, Аноним (-), 18:01, 12/03/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Ты даже в таких простейших вопросах умудряешься возводить категории, никак не со... весь текст скрыт [показать]
     
     
  • 8.35, saahriktu (ok), 18:18, 12/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Это, между прочим, из философии проекта GNU Хозяева говорят, что они терпят ... весь текст скрыт [показать]
     
     
  • 9.36, Аноним (-), 18:44, 12/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Хорошо, теперь установили, из какой литературки ты черпаешь свое черно-белое мир... весь текст скрыт [показать]
     
     
  • 10.40, saahriktu (ok), 19:26, 12/03/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Заметьте, я нигде не утверждал, что, якобы, проприетарщики и проприетарщина - аб... весь текст скрыт [показать]
     
     
  • 11.41, Аноним (-), 19:41, 12/03/2018 [^] [ответить]     [к модератору]  
  • +/
    В свою очередь последователи Абд уль-Уаххаба рекомендуют не называть их ваххаби... весь текст скрыт [показать]
     
     
  • 12.42, saahriktu (ok), 19:55, 12/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Что значит борьба На самом деле, и так многие люди одни и теже слова понимают... весь текст скрыт [показать]
     
     
  • 13.45, Аноним (-), 20:12, 12/03/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    То есть ты приходишь в магазин и просишь хлеба, а тебя вместо этого начинают стр... весь текст скрыт [показать]
     
     
  • 14.46, saahriktu (ok), 20:25, 12/03/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    В понимании простых слов, разумеется, многие люди сходятся, но и то с определённ... весь текст скрыт [показать]
     
     
  • 15.48, angra (ok), 20:48, 12/03/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    Ты снова путаешь теплое с мягким Разные образы при слове хлеб никак не означают... весь текст скрыт [показать]
     
     
  • 16.49, saahriktu (ok), 21:07, 12/03/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Суть всё равно в том, что в одно и тоже слово разные люди вкладывают разные смыс... весь текст скрыт [показать]
     
     
  • 17.92, Аноним (-), 15:18, 15/03/2018 [^] [ответить]    [к модератору]  
  • +/
    > Такое слово как "хлеб", повторяю, слишком простое

    Семибитное? или ещё проще?

     
  • 15.70, Аноним (-), 00:42, 13/03/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    KISS В твоем понимании термины -- это пара вида имя - определение А на деле ... весь текст скрыт [показать]
     
     
  • 16.72, saahriktu (ok), 01:36, 13/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Это спекуляция на простых терминах Во-первых, даже если разные люди видят разно... весь текст скрыт [показать]
     
     
  • 17.74, Аноним (-), 02:33, 13/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Это зависит не от определения слову дружба , а от ценностей и интересов конкрет... весь текст скрыт [показать]
     
     
  • 18.88, Ne01eX (ok), 00:24, 14/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Довольно рассуждений b Кража b - это когда что-то где-то убыло и где-то приб... весь текст скрыт [показать]
     
  • 3.21, Ordu (ok), 15:32, 12/03/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Какой концлагерь Чем тебе это мешает Не выделить из кучи память под стек юзерс... весь текст скрыт [показать]
     
     
  • 4.22, Клыкастый (ok), 15:46, 12/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > Сегодня не 70-е

    Да и в 70-ых всё было ровно то же. Или права на файлуху и процессы просто так завелись?

     
  • 4.24, Anonymoustus (ok), 16:04, 12/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Он забыл добавить, что среди хакеров семидесятых были в тренде лсд, хиппи, комму... весь текст скрыт [показать]
     
     
     
     
     
    Часть нити удалена модератором

  • 8.55, Аноним (-), 22:51, 12/03/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    http://www.darwinawards.com/darwin/darwin2016-02.html
     
     ....нить скрыта, показать (25)

  • 1.10, iZEN (ok), 14:01, 12/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Каждому вызову по виртуальной машине!
     
     
  • 2.12, Аноним (-), 14:12, 12/03/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    И оркестрацию.
     
  • 2.23, Всем Анонимам Аноним (?), 15:46, 12/03/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Вы вот шутите, а посмотрим что через 5 лет будет.
     
     
  • 3.56, pavlinux (ok), 22:52, 12/03/2018 [^] [ответить]    [к модератору]  
  • +/
    мясной /* fixed */
     
  • 1.17, ыы (?), 14:58, 12/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    все это чушь. скоро каждому вызову будет свой процессор. аппаратный. со своим кусочком памяти. аппаратным...
     
     
  • 2.37, первоадмин (?), 18:58, 12/03/2018 [^] [ответить]    [к модератору]  
  • +/
    >все это чушь. скоро каждому вызову будет свой процессор. аппаратный. со своим кусочком памяти. аппаратным...

    уже было, давно

     
  • 2.57, pavlinux (ok), 22:53, 12/03/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > все это чушь. скоро каждому вызову будет свой процессор. аппаратный. со своим кусочком памяти. аппаратным...

    Каждой переменной по процессору!

     
     
  • 3.58, ыы (?), 23:06, 12/03/2018 [^] [ответить]    [к модератору]  
  • +/
    переменные - это рудимент. зло порожденное порочной арихитектурой.
     
     
  • 4.59, pavlinux (ok), 23:11, 12/03/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    > переменные - это рудимент. зло порожденное порочной арихитектурой.

    Партия Навального?  Свой вариант сложения двух чисел будет?

     
     
  • 5.61, ыы (?), 23:19, 12/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    да. вам знакомо понятие жесткой логики? переменные ненужны. частота ненужна. скорость вычисления- равна скорости распространения сигнала в проводнике  точно.
     
     
  • 6.67, VoDA (ok), 00:22, 13/03/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Как в этом случае создавать сложные приложения Для простоты обсужедния, начнем ... весь текст скрыт [показать]
     
     
  • 7.71, VimCoder (?), 00:48, 13/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Биологический компьютер ( Молекулярный компьютер ).
     
  • 1.77, бедный буратино (ok), 05:21, 13/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    где песня, блин! уже полгода ждём. какие ещё стеки-шмеки, песню давай!
     
  • 1.78, бедный буратино (ok), 05:22, 13/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > Как и раньше, бинарные патчи формируются только для архитектур amd64 и i386.

    неужели сложно зайти на репозиторий, если не помните свои же новости

    для amd64, i386 и arm64

     
     
  • 2.80, Аноним (-), 08:36, 13/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Для прошлой ветки ветки были только amd64 и i386:
    https://fastly.cdn.openbsd.org/pub/OpenBSD/syspatch/6.1/
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor