OpenNews: Разработчики OpenBSD развивают новый метод защиты стека

12.03.2018 12:58 Разработчики OpenBSD развивают новый метод защиты стека

Тео де Раадт (Theo de Raadt) представил новый метод защиты стека Stack-register, в рамках которого традиционные типы разрешения доступа к памяти (например, возможность чтения, записи и выполнения кода) расширены новым полномочием - MAP_STACK, которое реализуется программно на уровне ядра ОС. Суть предложенного метода в том, что когда память используется как стек, она обязательно должна быть отражена через mmap с использованием флага MAP_STACK.

При выделении областей под стек для процессов флаг MAP_STACK автоматически выставляется ядром во время запуска процесса, поэтому модификация кода приложений не требуется. При совершении системного вызова осуществляется проверка регистра с указателем на стек. Если регистр указывает на область памяти, помеченную MAP_STACK, то выполнение продолжается в штатном режиме. Если нет, то считается, что указатель стека вышел за выделенную под стек область и процесс принудительно завершается.

Новая система защиты пока имеет экспериментальный характер и проходит тестирование в свежих снапшотах OpenBSD. В тестовом режиме вместо фактического завершения процесса осуществляется вывод предупреждений в лог. За несколько дней тестировния уже выявлены и устранены проблемы, проявляющиеся при сборке портов go и SBCL, а также при выполнении двух тестов из набора src/regress. Тестирование портов продолжается и если не возникнет новых проблемных моментов, новый метод защиты может быть включен в состав OpenBSD 6.3.

Кроме того, сообщается о расширении применения системы syspatch для обновления OpenBSD через бинарные патчи. Отныне через syspatch будут поддерживаться не только обновления для текущего релиза, но и для прошлого выпуска, поддержание которого в актуальном виде теперь возможно без пересборки из исходных текстов. Например, помимо обновлений для OpenBSD 6.2 теперь через бинарные патчи можно обновлять и прошлую ветку OpenBSD 6.1. После выхода OpenBSD 6.3 аналогично будет продолжена поддержка для ветки OpenBSD 6.2. Для старых релизов бинарные патчи будут формироваться только для архитектур amd64 и i386.

исправить +36 +/–

Лицензия: CC-BY

Тип: К сведению

Ключевые слова: openbsd, stack, protect

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение

Ajax/Линейный | Раскрыть все сообщения | RSS

1.3, X4asd (ok), 13:27, 12/03/2018 [ответить] [показать ветку] [···] [к модератору]	–7 +/–
сначало полумал не плохая идея а теперь думаю ну и какой толк от этой провер... весь текст скрыт [показать]

2.5, Anon4ik (?), 13:36, 12/03/2018 [^] [ответить] [к модератору]	+12 +/–
Конечно так, ведь libc не общается с ядром и не использует сисколов.

2.19, Ordu (ok), 15:13, 12/03/2018 [^] [ответить] [к модератору]

+8 +/–

> гаджет вместо вызова системных вызовов -- будет делать библиотечный вызов libc..

Да пускай он как хочет делает, но ему придётся возиться с тем, чтобы указатель стека указывал бы на стек, а не в кучу и не в код.

> какой толк от этой проверки?

Это практически бесплатный способ создать проблем вредоносному коду и снизить риски переполнения стека. Он не серебряная пуля, и не решит всех проблем выхода связанных с переполнением стека, но во многих ситуациях он справится.

3.34, Crazy Alex (ok), 18:09, 12/03/2018 [^] [ответить] [к модератору]	+2 +/–
А потом они насыпают один "практически бесплатный" поверх другого и сумма, подозреваю, выходит совсем не бесплатной. В итоге всё это выгдялит как куча костылей.

4.38, Ordu (ok), 19:12, 12/03/2018 [^] [ответить] [к модератору]	+3 +/–
Может быть Сложно сказать, потому что здесь ведь речь об одной проверке одного ... весь текст скрыт [показать]

5.50, Crazy Alex (ok), 21:52, 12/03/2018 [^] [ответить] [к модератору]	+/–
Положительные эффекты суммируются, когда они есть IMHO, если ты не доверяешь за... весь текст скрыт [показать]

6.51, Аноним (-), 21:55, 12/03/2018 [^] [ответить] [к модератору]	+/–
> при этом расширялась костылями, как современные иксы, допустим. ЕРЕТИК !!!

7.64, Crazy Alex (ok), 00:16, 13/03/2018 [^] [ответить] [к модератору]	+1 +/–
Ага, еретик Я считаю, что если б тулкитчики сделали по-людски, расширив иксы ну... весь текст скрыт [показать]

6.60, Ordu (ok), 23:11, 12/03/2018 [^] [ответить] [к модератору]	+2 +/–
Ну, так рассуждая, можно придти к выводу, что DOS лучшая операционная система, п... весь текст скрыт [показать]

7.68, Crazy Alex (ok), 00:29, 13/03/2018 [^] [ответить] [к модератору]	+/–
С моей точки зрения ответственность ядра - защищать ядро от юзерспейса и разных ... весь текст скрыт [показать]

6.73, Ordu (ok), 02:09, 13/03/2018 [^] [ответить] [к модератору]	+/–
Ы Я заглянул в man mmap, и нашёл там такое MAP_STACK since Linux 2 6 2... весь текст скрыт [показать]

7.75, Crazy Alex (ok), 03:33, 13/03/2018 [^] [ответить] [к модератору]	+/–
И что Оно no-op, и фактически является костылём на случай чего Это никак не зн... весь текст скрыт [показать]

6.83, Аноним (-), 20:45, 13/03/2018 [^] [ответить] [к модератору]	+/–
Какую другую песочницу Если речь идет о виртуальной машине то потеря производит... весь текст скрыт [показать]

7.93, Crazy Alex (ok), 19:00, 17/03/2018 [^] [ответить] [к модератору]	+/–
Да любой из этих вариантов. Накладные расходы получаем только там, где они нужны. Как в плюсах - "платишь за то, что используешь"

6.84, Аноним (-), 22:55, 13/03/2018 [^] [ответить] [к модератору]	+1 +/–
После Spectre я вдруг понял почему Тео говорил, что виртуалка это не о безопасно... весь текст скрыт [показать]

7.87, Anonymoustus (ok), 00:20, 14/03/2018 [^] [ответить] [к модератору]	+/–
Определённо, Тео таки кое-что понимает x86 небезопасна по двум причинам фундаме... весь текст скрыт [показать]

8.89, Не тот Аноним (?), 05:06, 14/03/2018 [^] [ответить] [к модератору]	–1 +/–
У вас это предложение в утвердительной форме А вот тут с вами не согласен При че... весь текст скрыт [показать]

9.90, Anonymoustus (ok), 12:47, 14/03/2018 [^] [ответить] [к модератору]	+/–
Можете добавить ещё причин Я выделил те, которые мне представляются имеющими зн... весь текст скрыт [показать]

9.91, Anonymoustus (ok), 12:58, 14/03/2018 [^] [ответить] [к модератору]	+/–
Произвольно взятый отрывок из доступных в сети исходников Оффтопика-2000 CODE ... весь текст скрыт [показать]

4.62, Аноним (-), 23:22, 12/03/2018 [^] [ответить] [к модератору]	+1 +/–
Так если ты не заметил, продакшны и не рвутся использовать OpenBSD По всем бенч... весь текст скрыт [показать]

5.65, Аноним (-), 00:18, 13/03/2018 [^] [ответить] [к модератору]	+/–
А продакшены, которые решились на OpenBSD кучу девяток сделать, это не продакшен... весь текст скрыт [показать]

6.76, Crazy Alex (ok), 03:37, 13/03/2018 [^] [ответить] [к модератору]	+2 +/–
Не продакшны Ну есть где-то в углу рынка - и хрен с ним Их же совсем единицы ... весь текст скрыт [показать]

7.86, Аноним (-), 23:15, 13/03/2018 [^] [ответить] [к модератору]	+/–
Давайте просто в вашем сообщении заменим продакшен на мейнстрим и на этом пореши... весь текст скрыт [показать]

8.94, Crazy Alex (ok), 19:07, 17/03/2018 [^] [ответить] [к модератору]	+/–
А это, в общем, одно и то же - мейнстрим таков, каков он есть, не из-за заговора... весь текст скрыт [показать]

4.63, Anon4ik (?), 23:29, 12/03/2018 [^] [ответить] [к модератору]	+/–
Слой за слоем выходит армированная броня. Или вы представляете себе один метод решающий все проблемы безопасности? (power off хороший метод, но не вариант)

5.66, Аноним (-), 00:19, 13/03/2018 [^] [ответить] [к модератору]	+/–
Прям лирическое определение OpenBSD ... весь текст скрыт [показать]

5.69, Crazy Alex (ok), 00:31, 13/03/2018 [^] [ответить] [к модератору]	+/–
Если уж продолжать метафору - ну и тащат эту броню потом на гонки Ф-1, потому как приросла и не снимается. Или сидят в ней в собственном доме в собственной спальне.

5.82, Аноним (-), 16:58, 13/03/2018 [^] [ответить] [к модератору]	+/–
> армированная броня Это, в смысле, бронированная броня?

6.85, Аноним (-), 23:11, 13/03/2018 [^] [ответить] [к модератору]

+/–

>> армированная броня
> Это, в смысле, бронированная броня?

Наверно в смысле композитная (костылями прошитая), а не цельнолитая

2.43, Аноним (-), 19:56, 12/03/2018 [^] [ответить] [к модератору]	+/–
Думать - это не твой конек.

....нить скрыта, показать (29)

1.4, x0r (??), 13:33, 12/03/2018 [ответить] [показать ветку] [···] [к модератору]	+1 +/–
не понятно что дает такая защита? защищает от сбоев или еще от атак?

2.7, КО (?), 13:40, 12/03/2018 [^] [ответить] [к модератору]	+/–
Защита от выхода за границу. По своей воли или по принуждению - без разницы. :)

2.26, Аноним (-), 16:33, 12/03/2018 [^] [ответить] [к модератору]	+1 +/–
> не понятно что дает такая защита? защищает от сбоев или еще от атак? От сбоев она не защищает, а наоборот — добавляет их. Как и любые другие рантайм-проверки.

1.9, Аноним (-), 13:49, 12/03/2018 [ответить] [показать ветку] [···] [к модератору]	+1 +/–
не понимаю, чего разбушевались комментаторы. Разве защищать не надо? Без защиты небезопасно же.

2.13, saahriktu (ok), 14:22, 12/03/2018 [^] [ответить] [к модератору]	+2 +/–
Защищать может кому-то и надо Но, если перестараться, то получится концлагерь, ... весь текст скрыт [показать]

3.15, Аноним (-), 14:29, 12/03/2018 [^] [ответить] [к модератору]	+2 +/–
Наверное когда один такой "хакер" советовал ставить другому пустой пароль, в его кармане предательски и лицемерно звенели ключи от квартиры, которую он зачем-то запер, уходя из нее.

4.16, saahriktu (ok), 14:58, 12/03/2018 [^] [ответить] [к модератору]	+/–
В те годы домашних и не только персоналок как таковых ещё не было Машины тогд... весь текст скрыт [показать]

5.18, Аноним (-), 15:07, 12/03/2018 [^] [ответить] [к модератору]	+3 +/–
Самая большая ошибка - приводить разнообразные факты из 70-ых по типу "Знаете ли вы..." для новости 2018 года, которая относится к твоим фактам чуть менее, чем никак.

5.20, ыы (?), 15:30, 12/03/2018 [^] [ответить] [к модератору]	–5 +/–
Это расхожее ложное рассуждение проистекающее от невежества Ведь и содержимое к... весь текст скрыт [показать]

6.31, saahriktu (ok), 17:01, 12/03/2018 [^] [ответить] [к модератору]	–1 +/–
На самом деле тут другой практический принцип Есть люди, которые готовы поддерж... весь текст скрыт [показать]

7.33, Аноним (-), 18:01, 12/03/2018 [^] [ответить] [к модератору]	–1 +/–
Ты даже в таких простейших вопросах умудряешься возводить категории, никак не со... весь текст скрыт [показать]

8.35, saahriktu (ok), 18:18, 12/03/2018 [^] [ответить] [к модератору]	+/–
Это, между прочим, из философии проекта GNU Хозяева говорят, что они терпят ... весь текст скрыт [показать]

9.36, Аноним (-), 18:44, 12/03/2018 [^] [ответить] [к модератору]	+/–
Хорошо, теперь установили, из какой литературки ты черпаешь свое черно-белое мир... весь текст скрыт [показать]

10.40, saahriktu (ok), 19:26, 12/03/2018 [^] [ответить] [к модератору]	+1 +/–
Заметьте, я нигде не утверждал, что, якобы, проприетарщики и проприетарщина - аб... весь текст скрыт [показать]

11.41, Аноним (-), 19:41, 12/03/2018 [^] [ответить] [к модератору]	+/–
В свою очередь последователи Абд уль-Уаххаба рекомендуют не называть их ваххаби... весь текст скрыт [показать]

12.42, saahriktu (ok), 19:55, 12/03/2018 [^] [ответить] [к модератору]	+/–
Что значит борьба На самом деле, и так многие люди одни и теже слова понимают... весь текст скрыт [показать]

13.45, Аноним (-), 20:12, 12/03/2018 [^] [ответить] [к модератору]	–1 +/–
То есть ты приходишь в магазин и просишь хлеба, а тебя вместо этого начинают стр... весь текст скрыт [показать]

14.46, saahriktu (ok), 20:25, 12/03/2018 [^] [ответить] [к модератору]	+1 +/–
В понимании простых слов, разумеется, многие люди сходятся, но и то с определённ... весь текст скрыт [показать]

15.48, angra (ok), 20:48, 12/03/2018 [^] [ответить] [к модератору]	–2 +/–
Ты снова путаешь теплое с мягким Разные образы при слове хлеб никак не означают... весь текст скрыт [показать]

16.49, saahriktu (ok), 21:07, 12/03/2018 [^] [ответить] [к модератору]	+1 +/–
Суть всё равно в том, что в одно и тоже слово разные люди вкладывают разные смыс... весь текст скрыт [показать]

17.92, Аноним (-), 15:18, 15/03/2018 [^] [ответить] [к модератору]	+/–
> Такое слово как "хлеб", повторяю, слишком простое Семибитное? или ещё проще?

15.70, Аноним (-), 00:42, 13/03/2018 [^] [ответить] [к модератору]	+1 +/–
KISS В твоем понимании термины -- это пара вида имя - определение А на деле ... весь текст скрыт [показать]

16.72, saahriktu (ok), 01:36, 13/03/2018 [^] [ответить] [к модератору]	+/–
Это спекуляция на простых терминах Во-первых, даже если разные люди видят разно... весь текст скрыт [показать]

17.74, Аноним (-), 02:33, 13/03/2018 [^] [ответить] [к модератору]	+/–
Это зависит не от определения слову дружба , а от ценностей и интересов конкрет... весь текст скрыт [показать]

18.88, Ne01eX (ok), 00:24, 14/03/2018 [^] [ответить] [к модератору]	+/–
Довольно рассуждений b Кража b - это когда что-то где-то убыло и где-то приб... весь текст скрыт [показать]

3.21, Ordu (ok), 15:32, 12/03/2018 [^] [ответить] [к модератору]	+1 +/–
Какой концлагерь Чем тебе это мешает Не выделить из кучи память под стек юзерс... весь текст скрыт [показать]

4.22, Клыкастый (ok), 15:46, 12/03/2018 [^] [ответить] [к модератору]	+1 +/–
> Сегодня не 70-е Да и в 70-ых всё было ровно то же. Или права на файлуху и процессы просто так завелись?

4.24, Anonymoustus (ok), 16:04, 12/03/2018 [^] [ответить] [к модератору]	+/–
Он забыл добавить, что среди хакеров семидесятых были в тренде лсд, хиппи, комму... весь текст скрыт [показать]

Часть нити удалена модератором

8.55, Аноним (-), 22:51, 12/03/2018 [^] [ответить] [к модератору]	–2 +/–
http://www.darwinawards.com/darwin/darwin2016-02.html

....нить скрыта, показать (25)

1.10, iZEN (ok), 14:01, 12/03/2018 [ответить] [показать ветку] [···] [к модератору]	+/–
Каждому вызову по виртуальной машине!

2.12, Аноним (-), 14:12, 12/03/2018 [^] [ответить] [к модератору]	+2 +/–
И оркестрацию.

2.23, Всем Анонимам Аноним (?), 15:46, 12/03/2018 [^] [ответить] [к модератору]	+2 +/–
Вы вот шутите, а посмотрим что через 5 лет будет.

3.56, pavlinux (ok), 22:52, 12/03/2018 [^] [ответить] [к модератору]	+/–
мясной /* fixed */

1.17, ыы (?), 14:58, 12/03/2018 [ответить] [показать ветку] [···] [к модератору]	–1 +/–
все это чушь. скоро каждому вызову будет свой процессор. аппаратный. со своим кусочком памяти. аппаратным...

2.37, первоадмин (?), 18:58, 12/03/2018 [^] [ответить] [к модератору]	+/–
>все это чушь. скоро каждому вызову будет свой процессор. аппаратный. со своим кусочком памяти. аппаратным... уже было, давно

2.57, pavlinux (ok), 22:53, 12/03/2018 [^] [ответить] [к модератору]

–1 +/–

> все это чушь. скоро каждому вызову будет свой процессор. аппаратный. со своим кусочком памяти. аппаратным...

Каждой переменной по процессору!

3.58, ыы (?), 23:06, 12/03/2018 [^] [ответить] [к модератору]	+/–
переменные - это рудимент. зло порожденное порочной арихитектурой.

4.59, pavlinux (ok), 23:11, 12/03/2018 [^] [ответить] [к модератору]

–2 +/–

> переменные - это рудимент. зло порожденное порочной арихитектурой.

Партия Навального? Свой вариант сложения двух чисел будет?

5.61, ыы (?), 23:19, 12/03/2018 [^] [ответить] [к модератору]	+1 +/–
да. вам знакомо понятие жесткой логики? переменные ненужны. частота ненужна. скорость вычисления- равна скорости распространения сигнала в проводнике точно.

6.67, VoDA (ok), 00:22, 13/03/2018 [^] [ответить] [к модератору]	+1 +/–
Как в этом случае создавать сложные приложения Для простоты обсужедния, начнем ... весь текст скрыт [показать]

7.71, VimCoder (?), 00:48, 13/03/2018 [^] [ответить] [к модератору]	+/–
Биологический компьютер ( Молекулярный компьютер ).

1.77, бедный буратино (ok), 05:21, 13/03/2018 [ответить] [показать ветку] [···] [к модератору]	+/–
где песня, блин! уже полгода ждём. какие ещё стеки-шмеки, песню давай!

1.78, бедный буратино (ok), 05:22, 13/03/2018 [ответить] [показать ветку] [···] [к модератору]

+/–

> Как и раньше, бинарные патчи формируются только для архитектур amd64 и i386.

неужели сложно зайти на репозиторий, если не помните свои же новости

для amd64, i386 и arm64

2.80, Аноним (-), 08:36, 13/03/2018 [^] [ответить] [к модератору]	+/–
Для прошлой ветки ветки были только amd64 и i386: https://fastly.cdn.openbsd.org/pub/OpenBSD/syspatch/6.1/

Добавить комментарий