The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

12.03.2018 12:58  Разработчики OpenBSD развивают новый метод защиты стека

Тео де Раадт (Theo de Raadt) представил новый метод защиты стека Stack-register, в рамках которого традиционные типы разрешения доступа к памяти (например, возможность чтения, записи и выполнения кода) расширены новым полномочием - MAP_STACK, которое реализуется программно на уровне ядра ОС. Суть предложенного метода в том, что когда память используется как стек, она обязательно должна быть отражена через mmap с использованием флага MAP_STACK.

При выделении областей под стек для процессов флаг MAP_STACK автоматически выставляется ядром во время запуска процесса, поэтому модификация кода приложений не требуется. При совершении системного вызова осуществляется проверка регистра с указателем на стек. Если регистр указывает на область памяти, помеченную MAP_STACK, то выполнение продолжается в штатном режиме. Если нет, то считается, что указатель стека вышел за выделенную под стек область и процесс принудительно завершается.

Новая система защиты пока имеет экспериментальный характер и проходит тестирование в свежих снапшотах OpenBSD. В тестовом режиме вместо фактического завершения процесса осуществляется вывод предупреждений в лог. За несколько дней тестировния уже выявлены и устранены проблемы, проявляющиеся при сборке портов go и SBCL, а также при выполнении двух тестов из набора src/regress. Тестирование портов продолжается и если не возникнет новых проблемных моментов, новый метод защиты может быть включен в состав OpenBSD 6.3.

Кроме того, сообщается о расширении применения системы syspatch для обновления OpenBSD через бинарные патчи. Отныне через syspatch будут поддерживаться не только обновления для текущего релиза, но и для прошлого выпуска, поддержание которого в актуальном виде теперь возможно без пересборки из исходных текстов. Например, помимо обновлений для OpenBSD 6.2 теперь через бинарные патчи можно обновлять и прошлую ветку OpenBSD 6.1. После выхода OpenBSD 6.3 аналогично будет продолжена поддержка для ветки OpenBSD 6.2. Для старых релизов бинарные патчи будут формироваться только для архитектур amd64 и i386.

  1. Главная ссылка к новости (http://undeadly.org/cgi?action...)
  2. OpenNews: Защита от атаки Meltdown в OpenBSD. Стабильное обновление микрокода Intel. Иски против AMD
  3. OpenNews: Проект OpenBSD представил технику защиты RETGUARD
  4. OpenNews: Для OpenBSD представлена новая техника рандомизации адресного пространства ядра
  5. OpenNews: Выпуск LibertyBSD 6.1, варианта OpenBSD, избавленного от блобов
  6. OpenNews: В OpenBSD добавлена новая защита от атак на основе заимствования кусков кода
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: openbsd, stack, protect
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.3, X4asd, 13:27, 12/03/2018 [ответить] [смотреть все]     [к модератору]
  • –7 +/
    сначало полумал не плохая идея а теперь думаю ну и какой толк от этой провер... весь текст скрыт [показать]
     
     
  • 2.5, Anon4ik, 13:36, 12/03/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +12 +/
    Конечно так, ведь libc не общается с ядром и не использует сисколов.
     
  • 2.19, Ordu, 15:13, 12/03/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +8 +/
    > гаджет вместо вызова системных вызовов -- будет делать библиотечный вызов libc..

    Да пускай он как хочет делает, но ему придётся возиться с тем, чтобы указатель стека указывал бы на стек, а не в кучу и не в код.

    > какой толк от этой проверки?

    Это практически бесплатный способ создать проблем вредоносному коду и снизить риски переполнения стека. Он не серебряная пуля, и не решит всех проблем выхода связанных с переполнением стека, но во многих ситуациях он справится.

     
     
  • 3.34, Crazy Alex, 18:09, 12/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    А потом они насыпают один практически бесплатный поверх другого и сумма, подоз... весь текст скрыт [показать]
     
     
  • 4.38, Ordu, 19:12, 12/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    Может быть Сложно сказать, потому что здесь ведь речь об одной проверке одного ... весь текст скрыт [показать]
     
     
  • 5.50, Crazy Alex, 21:52, 12/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Положительные эффекты суммируются, когда они есть IMHO, если ты не доверяешь за... весь текст скрыт [показать]
     
     
  • 6.51, Аноним, 21:55, 12/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > при этом расширялась костылями, как современные иксы, допустим.

    ЕРЕТИК !!!

     
     
  • 7.64, Crazy Alex, 00:16, 13/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Ага, еретик Я считаю, что если б тулкитчики сделали по-людски, расширив иксы ну... весь текст скрыт [показать]
     
  • 6.60, Ordu, 23:11, 12/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Ну, так рассуждая, можно придти к выводу, что DOS лучшая операционная система, п... весь текст скрыт [показать]
     
     
  • 7.68, Crazy Alex, 00:29, 13/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    С моей точки зрения ответственность ядра - защищать ядро от юзерспейса и разных ... весь текст скрыт [показать]
     
  • 6.73, Ordu, 02:09, 13/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ы Я заглянул в man mmap, и нашёл там такое MAP_STACK since Linux 2 6 2... весь текст скрыт [показать]
     
     
  • 7.75, Crazy Alex, 03:33, 13/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    И что Оно no-op, и фактически является костылём на случай чего Это никак не зн... весь текст скрыт [показать]
     
  • 6.83, Аноним, 20:45, 13/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Какую другую песочницу Если речь идет о виртуальной машине то потеря производит... весь текст скрыт [показать]
     
     
  • 7.93, Crazy Alex, 19:00, 17/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Да любой из этих вариантов Накладные расходы получаем только там, где они нужны... весь текст скрыт [показать]
     
  • 6.84, Аноним, 22:55, 13/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    После Spectre я вдруг понял почему Тео говорил, что виртуалка это не о безопасно... весь текст скрыт [показать]
     
     
  • 7.87, Anonymoustus, 00:20, 14/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Определённо, Тео таки кое-что понимает x86 небезопасна по двум причинам фундаме... весь текст скрыт [показать]
     
     
  • 8.89, Не тот Аноним, 05:06, 14/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    У вас это предложение в утвердительной форме А вот тут с вами не согласен При че... весь текст скрыт [показать]
     
     
  • 9.90, Anonymoustus, 12:47, 14/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Можете добавить ещё причин Я выделил те, которые мне представляются имеющими зн... весь текст скрыт [показать]
     
  • 9.91, Anonymoustus, 12:58, 14/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Произвольно взятый отрывок из доступных в сети исходников Оффтопика-2000 CODE ... весь текст скрыт [показать]
     
  • 4.62, Аноним, 23:22, 12/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Так если ты не заметил, продакшны и не рвутся использовать OpenBSD По всем бенч... весь текст скрыт [показать]
     
     
  • 5.65, Аноним, 00:18, 13/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А продакшены, которые решились на OpenBSD кучу девяток сделать, это не продакшен... весь текст скрыт [показать]
     
     
  • 6.76, Crazy Alex, 03:37, 13/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Не продакшны Ну есть где-то в углу рынка - и хрен с ним Их же совсем единицы ... весь текст скрыт [показать]
     
     
  • 7.86, Аноним, 23:15, 13/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Давайте просто в вашем сообщении заменим продакшен на мейнстрим и на этом пореши... весь текст скрыт [показать]
     
     
  • 8.94, Crazy Alex, 19:07, 17/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А это, в общем, одно и то же - мейнстрим таков, каков он есть, не из-за заговора... весь текст скрыт [показать]
     
  • 4.63, Anon4ik, 23:29, 12/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Слой за слоем выходит армированная броня Или вы представляете себе один метод р... весь текст скрыт [показать]
     
     
  • 5.66, Аноним, 00:19, 13/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Прям лирическое определение OpenBSD ... весь текст скрыт [показать]
     
  • 5.69, Crazy Alex, 00:31, 13/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Если уж продолжать метафору - ну и тащат эту броню потом на гонки Ф-1, потому ка... весь текст скрыт [показать]
     
  • 5.82, Аноним, 16:58, 13/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > армированная броня

    Это, в смысле, бронированная броня?

     
     
  • 6.85, Аноним, 23:11, 13/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Наверно в смысле композитная костылями прошитая , а не цельнолитая ... весь текст скрыт [показать]
     
  • 2.43, Аноним, 19:56, 12/03/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Думать - это не твой конек.
     
  • 1.4, x0r, 13:33, 12/03/2018 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    не понятно что дает такая защита? защищает от сбоев или еще от атак?
     
     
  • 2.7, КО, 13:40, 12/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Защита от выхода за границу По своей воли или по принуждению - без разницы ... весь текст скрыт [показать] [показать ветку]
     
  • 2.26, Аноним, 16:33, 12/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    От сбоев она не защищает, а наоборот 8212 добавляет их Как и любые другие ра... весь текст скрыт [показать] [показать ветку]
     
  • 1.9, Аноним, 13:49, 12/03/2018 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    не понимаю, чего разбушевались комментаторы Разве защищать не надо Без защиты ... весь текст скрыт [показать]
     
     
  • 2.13, saahriktu, 14:22, 12/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Защищать может кому-то и надо Но, если перестараться, то получится концлагерь, ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.15, Аноним, 14:29, 12/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Наверное когда один такой хакер советовал ставить другому пустой пароль, в его... весь текст скрыт [показать]
     
     
  • 4.16, saahriktu, 14:58, 12/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    В те годы домашних и не только персоналок как таковых ещё не было Машины тогд... весь текст скрыт [показать]
     
     
  • 5.18, Аноним, 15:07, 12/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    Самая большая ошибка - приводить разнообразные факты из 70-ых по типу Знаете ли... весь текст скрыт [показать]
     
  • 5.20, ыы, 15:30, 12/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –5 +/
    Это расхожее ложное рассуждение проистекающее от невежества Ведь и содержимое к... весь текст скрыт [показать]
     
     
  • 6.31, saahriktu, 17:01, 12/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    На самом деле тут другой практический принцип Есть люди, которые готовы поддерж... весь текст скрыт [показать]
     
     
  • 7.33, Аноним, 18:01, 12/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Ты даже в таких простейших вопросах умудряешься возводить категории, никак не со... весь текст скрыт [показать]
     
     
  • 8.35, saahriktu, 18:18, 12/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Это, между прочим, из философии проекта GNU Хозяева говорят, что они терпят ... весь текст скрыт [показать]
     
     
  • 9.36, Аноним, 18:44, 12/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Хорошо, теперь установили, из какой литературки ты черпаешь свое черно-белое мир... весь текст скрыт [показать]
     
     
  • 10.40, saahriktu, 19:26, 12/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Заметьте, я нигде не утверждал, что, якобы, проприетарщики и проприетарщина - аб... весь текст скрыт [показать]
     
     
  • 11.41, Аноним, 19:41, 12/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    В свою очередь последователи Абд уль-Уаххаба рекомендуют не называть их ваххаби... весь текст скрыт [показать]
     
     
  • 12.42, saahriktu, 19:55, 12/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Что значит борьба На самом деле, и так многие люди одни и теже слова понимают... весь текст скрыт [показать]
     
     
  • 13.45, Аноним, 20:12, 12/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    То есть ты приходишь в магазин и просишь хлеба, а тебя вместо этого начинают стр... весь текст скрыт [показать]
     
     
  • 14.46, saahriktu, 20:25, 12/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    В понимании простых слов, разумеется, многие люди сходятся, но и то с определённ... весь текст скрыт [показать]
     
     
  • 15.48, angra, 20:48, 12/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Ты снова путаешь теплое с мягким Разные образы при слове хлеб никак не означают... весь текст скрыт [показать]
     
     
  • 16.49, saahriktu, 21:07, 12/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Суть всё равно в том, что в одно и тоже слово разные люди вкладывают разные смыс... весь текст скрыт [показать]
     
     
  • 17.92, Аноним, 15:18, 15/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Семибитное или ещё проще ... весь текст скрыт [показать]
     
  • 15.70, Аноним, 00:42, 13/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    KISS В твоем понимании термины -- это пара вида имя - определение А на деле ... весь текст скрыт [показать]
     
     
  • 16.72, saahriktu, 01:36, 13/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Это спекуляция на простых терминах Во-первых, даже если разные люди видят разно... весь текст скрыт [показать]
     
     
  • 17.74, Аноним, 02:33, 13/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Это зависит не от определения слову дружба , а от ценностей и интересов конкрет... весь текст скрыт [показать]
     
     
  • 18.88, Ne01eX, 00:24, 14/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Довольно рассуждений b Кража b - это когда что-то где-то убыло и где-то приб... весь текст скрыт [показать]
     
  • 3.21, Ordu, 15:32, 12/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Какой концлагерь Чем тебе это мешает Не выделить из кучи память под стек юзерс... весь текст скрыт [показать]
     
     
  • 4.22, Клыкастый, 15:46, 12/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Да и в 70-ых всё было ровно то же Или права на файлуху и процессы просто так за... весь текст скрыт [показать]
     
  • 4.24, Anonymoustus, 16:04, 12/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Он забыл добавить, что среди хакеров семидесятых были в тренде лсд, хиппи, комму... весь текст скрыт [показать]
     
     
     
     
     
    Часть нити удалена модератором

  • 8.55, Аноним, 22:51, 12/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    http://www.darwinawards.com/darwin/darwin2016-02.html
     
  • 1.10, iZEN, 14:01, 12/03/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Каждому вызову по виртуальной машине!
     
     
  • 2.12, Аноним, 14:12, 12/03/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +2 +/
    И оркестрацию.
     
  • 2.23, Всем Анонимам Аноним, 15:46, 12/03/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +2 +/
    Вы вот шутите, а посмотрим что через 5 лет будет.
     
     
  • 3.56, pavlinux, 22:52, 12/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    мясной /* fixed */
     
  • 1.17, ыы, 14:58, 12/03/2018 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    все это чушь. скоро каждому вызову будет свой процессор. аппаратный. со своим кусочком памяти. аппаратным...
     
     
  • 2.37, первоадмин, 18:58, 12/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    уже было, давно... весь текст скрыт [показать] [показать ветку]
     
  • 2.57, pavlinux, 22:53, 12/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    Каждой переменной по процессору ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.58, ыы, 23:06, 12/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    переменные - это рудимент. зло порожденное порочной арихитектурой.
     
     
  • 4.59, pavlinux, 23:11, 12/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Партия Навального Свой вариант сложения двух чисел будет ... весь текст скрыт [показать]
     
     
  • 5.61, ыы, 23:19, 12/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    да вам знакомо понятие жесткой логики переменные ненужны частота ненужна ско... весь текст скрыт [показать]
     
     
  • 6.67, VoDA, 00:22, 13/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Как в этом случае создавать сложные приложения Для простоты обсужедния, начнем ... весь текст скрыт [показать]
     
     
  • 7.71, VimCoder, 00:48, 13/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Биологический компьютер ( Молекулярный компьютер ).
     
  • 1.77, бедный буратино, 05:21, 13/03/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    где песня, блин! уже полгода ждём. какие ещё стеки-шмеки, песню давай!
     
  • 1.78, бедный буратино, 05:22, 13/03/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    > Как и раньше, бинарные патчи формируются только для архитектур amd64 и i386.

    неужели сложно зайти на репозиторий, если не помните свои же новости

    для amd64, i386 и arm64

     
     
  • 2.80, Аноним, 08:36, 13/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Для прошлой ветки ветки были только amd64 и i386 https fastly cdn openbsd org... весь текст скрыт [показать] [показать ветку]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor