OpenNews: Разработчики OpenBSD развивают новый метод защиты стека

12.03.2018 12:58 Разработчики OpenBSD развивают новый метод защиты стека

Тео де Раадт (Theo de Raadt) представил новый метод защиты стека Stack-register, в рамках которого традиционные типы разрешения доступа к памяти (например, возможность чтения, записи и выполнения кода) расширены новым полномочием - MAP_STACK, которое реализуется программно на уровне ядра ОС. Суть предложенного метода в том, что когда память используется как стек, она обязательно должна быть отражена через mmap с использованием флага MAP_STACK.

При выделении областей под стек для процессов флаг MAP_STACK автоматически выставляется ядром во время запуска процесса, поэтому модификация кода приложений не требуется. При совершении системного вызова осуществляется проверка регистра с указателем на стек. Если регистр указывает на область памяти, помеченную MAP_STACK, то выполнение продолжается в штатном режиме. Если нет, то считается, что указатель стека вышел за выделенную под стек область и процесс принудительно завершается.

Новая система защиты пока имеет экспериментальный характер и проходит тестирование в свежих снапшотах OpenBSD. В тестовом режиме вместо фактического завершения процесса осуществляется вывод предупреждений в лог. За несколько дней тестировния уже выявлены и устранены проблемы, проявляющиеся при сборке портов go и SBCL, а также при выполнении двух тестов из набора src/regress. Тестирование портов продолжается и если не возникнет новых проблемных моментов, новый метод защиты может быть включен в состав OpenBSD 6.3.

Кроме того, сообщается о расширении применения системы syspatch для обновления OpenBSD через бинарные патчи. Отныне через syspatch будут поддерживаться не только обновления для текущего релиза, но и для прошлого выпуска, поддержание которого в актуальном виде теперь возможно без пересборки из исходных текстов. Например, помимо обновлений для OpenBSD 6.2 теперь через бинарные патчи можно обновлять и прошлую ветку OpenBSD 6.1. После выхода OpenBSD 6.3 аналогично будет продолжена поддержка для ветки OpenBSD 6.2. Для старых релизов бинарные патчи будут формироваться только для архитектур amd64 и i386.

исправить +35 +/–

Лицензия: CC-BY

Тип: К сведению

Ключевые слова: openbsd, stack, protect

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение

Ajax/Линейный | Показать все | RSS

1.3, X4asd, 13:27, 12/03/2018 [ответить] [смотреть все] [к модератору]	–7 +/–
сначало полумал не плохая идея а теперь думаю ну и какой толк от этой провер... весь текст скрыт [показать]

2.5, Anon4ik, 13:36, 12/03/2018 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+12 +/–
Конечно так, ведь libc не общается с ядром и не использует сисколов.

2.19, Ordu, 15:13, 12/03/2018 [^] [ответить] [смотреть все] [показать ветку] [к модератору]

+8 +/–

> гаджет вместо вызова системных вызовов -- будет делать библиотечный вызов libc..

Да пускай он как хочет делает, но ему придётся возиться с тем, чтобы указатель стека указывал бы на стек, а не в кучу и не в код.

> какой толк от этой проверки?

Это практически бесплатный способ создать проблем вредоносному коду и снизить риски переполнения стека. Он не серебряная пуля, и не решит всех проблем выхода связанных с переполнением стека, но во многих ситуациях он справится.

3.34, Crazy Alex, 18:09, 12/03/2018 [^] [ответить] [смотреть все] [к модератору]	+2 +/–
А потом они насыпают один практически бесплатный поверх другого и сумма, подоз... весь текст скрыт [показать]

4.38, Ordu, 19:12, 12/03/2018 [^] [ответить] [смотреть все] [к модератору]	+3 +/–
Может быть Сложно сказать, потому что здесь ведь речь об одной проверке одного ... весь текст скрыт [показать]

5.50, Crazy Alex, 21:52, 12/03/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
Положительные эффекты суммируются, когда они есть IMHO, если ты не доверяешь за... весь текст скрыт [показать]

6.51, Аноним, 21:55, 12/03/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
> при этом расширялась костылями, как современные иксы, допустим. ЕРЕТИК !!!

7.64, Crazy Alex, 00:16, 13/03/2018 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
Ага, еретик Я считаю, что если б тулкитчики сделали по-людски, расширив иксы ну... весь текст скрыт [показать]

6.60, Ordu, 23:11, 12/03/2018 [^] [ответить] [смотреть все] [к модератору]	+2 +/–
Ну, так рассуждая, можно придти к выводу, что DOS лучшая операционная система, п... весь текст скрыт [показать]

7.68, Crazy Alex, 00:29, 13/03/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
С моей точки зрения ответственность ядра - защищать ядро от юзерспейса и разных ... весь текст скрыт [показать]

6.73, Ordu, 02:09, 13/03/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
Ы Я заглянул в man mmap, и нашёл там такое MAP_STACK since Linux 2 6 2... весь текст скрыт [показать]

7.75, Crazy Alex, 03:33, 13/03/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
И что Оно no-op, и фактически является костылём на случай чего Это никак не зн... весь текст скрыт [показать]

6.83, Аноним, 20:45, 13/03/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
Какую другую песочницу Если речь идет о виртуальной машине то потеря производит... весь текст скрыт [показать]

7.93, Crazy Alex, 19:00, 17/03/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
Да любой из этих вариантов Накладные расходы получаем только там, где они нужны... весь текст скрыт [показать]

6.84, Аноним, 22:55, 13/03/2018 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
После Spectre я вдруг понял почему Тео говорил, что виртуалка это не о безопасно... весь текст скрыт [показать]

7.87, Anonymoustus, 00:20, 14/03/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
Определённо, Тео таки кое-что понимает x86 небезопасна по двум причинам фундаме... весь текст скрыт [показать]

8.89, Не тот Аноним, 05:06, 14/03/2018 [^] [ответить] [смотреть все] [к модератору]	–1 +/–
У вас это предложение в утвердительной форме А вот тут с вами не согласен При че... весь текст скрыт [показать]

9.90, Anonymoustus, 12:47, 14/03/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
Можете добавить ещё причин Я выделил те, которые мне представляются имеющими зн... весь текст скрыт [показать]

9.91, Anonymoustus, 12:58, 14/03/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
Произвольно взятый отрывок из доступных в сети исходников Оффтопика-2000 CODE ... весь текст скрыт [показать]

4.62, Аноним, 23:22, 12/03/2018 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
Так если ты не заметил, продакшны и не рвутся использовать OpenBSD По всем бенч... весь текст скрыт [показать]

5.65, Аноним, 00:18, 13/03/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
А продакшены, которые решились на OpenBSD кучу девяток сделать, это не продакшен... весь текст скрыт [показать]

6.76, Crazy Alex, 03:37, 13/03/2018 [^] [ответить] [смотреть все] [к модератору]	+2 +/–
Не продакшны Ну есть где-то в углу рынка - и хрен с ним Их же совсем единицы ... весь текст скрыт [показать]

7.86, Аноним, 23:15, 13/03/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
Давайте просто в вашем сообщении заменим продакшен на мейнстрим и на этом пореши... весь текст скрыт [показать]

8.94, Crazy Alex, 19:07, 17/03/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
А это, в общем, одно и то же - мейнстрим таков, каков он есть, не из-за заговора... весь текст скрыт [показать]

4.63, Anon4ik, 23:29, 12/03/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
Слой за слоем выходит армированная броня Или вы представляете себе один метод р... весь текст скрыт [показать]

5.66, Аноним, 00:19, 13/03/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
Прям лирическое определение OpenBSD ... весь текст скрыт [показать]

5.69, Crazy Alex, 00:31, 13/03/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
Если уж продолжать метафору - ну и тащат эту броню потом на гонки Ф-1, потому ка... весь текст скрыт [показать]

5.82, Аноним, 16:58, 13/03/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
> армированная броня Это, в смысле, бронированная броня?

6.85, Аноним, 23:11, 13/03/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
Наверно в смысле композитная костылями прошитая , а не цельнолитая ... весь текст скрыт [показать]

2.43, Аноним, 19:56, 12/03/2018 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
Думать - это не твой конек.

1.4, x0r, 13:33, 12/03/2018 [ответить] [смотреть все] [к модератору]	+1 +/–
не понятно что дает такая защита? защищает от сбоев или еще от атак?

2.7, КО, 13:40, 12/03/2018 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
Защита от выхода за границу По своей воли или по принуждению - без разницы ... весь текст скрыт [показать] [показать ветку]

2.26, Аноним, 16:33, 12/03/2018 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+1 +/–
От сбоев она не защищает, а наоборот 8212 добавляет их Как и любые другие ра... весь текст скрыт [показать] [показать ветку]

1.9, Аноним, 13:49, 12/03/2018 [ответить] [смотреть все] [к модератору]	+1 +/–
не понимаю, чего разбушевались комментаторы Разве защищать не надо Без защиты ... весь текст скрыт [показать]

2.13, saahriktu, 14:22, 12/03/2018 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+2 +/–
Защищать может кому-то и надо Но, если перестараться, то получится концлагерь, ... весь текст скрыт [показать] [показать ветку]

3.15, Аноним, 14:29, 12/03/2018 [^] [ответить] [смотреть все] [к модератору]	+2 +/–
Наверное когда один такой хакер советовал ставить другому пустой пароль, в его... весь текст скрыт [показать]

4.16, saahriktu, 14:58, 12/03/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
В те годы домашних и не только персоналок как таковых ещё не было Машины тогд... весь текст скрыт [показать]

5.18, Аноним, 15:07, 12/03/2018 [^] [ответить] [смотреть все] [к модератору]	+3 +/–
Самая большая ошибка - приводить разнообразные факты из 70-ых по типу Знаете ли... весь текст скрыт [показать]

5.20, ыы, 15:30, 12/03/2018 [^] [ответить] [смотреть все] [к модератору]	–5 +/–
Это расхожее ложное рассуждение проистекающее от невежества Ведь и содержимое к... весь текст скрыт [показать]

6.31, saahriktu, 17:01, 12/03/2018 [^] [ответить] [смотреть все] [к модератору]	–1 +/–
На самом деле тут другой практический принцип Есть люди, которые готовы поддерж... весь текст скрыт [показать]

7.33, Аноним, 18:01, 12/03/2018 [^] [ответить] [смотреть все] [к модератору]	–1 +/–
Ты даже в таких простейших вопросах умудряешься возводить категории, никак не со... весь текст скрыт [показать]

8.35, saahriktu, 18:18, 12/03/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
Это, между прочим, из философии проекта GNU Хозяева говорят, что они терпят ... весь текст скрыт [показать]

9.36, Аноним, 18:44, 12/03/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
Хорошо, теперь установили, из какой литературки ты черпаешь свое черно-белое мир... весь текст скрыт [показать]

10.40, saahriktu, 19:26, 12/03/2018 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
Заметьте, я нигде не утверждал, что, якобы, проприетарщики и проприетарщина - аб... весь текст скрыт [показать]

11.41, Аноним, 19:41, 12/03/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
В свою очередь последователи Абд уль-Уаххаба рекомендуют не называть их ваххаби... весь текст скрыт [показать]

12.42, saahriktu, 19:55, 12/03/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
Что значит борьба На самом деле, и так многие люди одни и теже слова понимают... весь текст скрыт [показать]

13.45, Аноним, 20:12, 12/03/2018 [^] [ответить] [смотреть все] [к модератору]	–1 +/–
То есть ты приходишь в магазин и просишь хлеба, а тебя вместо этого начинают стр... весь текст скрыт [показать]

14.46, saahriktu, 20:25, 12/03/2018 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
В понимании простых слов, разумеется, многие люди сходятся, но и то с определённ... весь текст скрыт [показать]

15.48, angra, 20:48, 12/03/2018 [^] [ответить] [смотреть все] [к модератору]	–2 +/–
Ты снова путаешь теплое с мягким Разные образы при слове хлеб никак не означают... весь текст скрыт [показать]

16.49, saahriktu, 21:07, 12/03/2018 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
Суть всё равно в том, что в одно и тоже слово разные люди вкладывают разные смыс... весь текст скрыт [показать]

17.92, Аноним, 15:18, 15/03/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
Семибитное или ещё проще ... весь текст скрыт [показать]

15.70, Аноним, 00:42, 13/03/2018 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
KISS В твоем понимании термины -- это пара вида имя - определение А на деле ... весь текст скрыт [показать]

16.72, saahriktu, 01:36, 13/03/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
Это спекуляция на простых терминах Во-первых, даже если разные люди видят разно... весь текст скрыт [показать]

17.74, Аноним, 02:33, 13/03/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
Это зависит не от определения слову дружба , а от ценностей и интересов конкрет... весь текст скрыт [показать]

18.88, Ne01eX, 00:24, 14/03/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
Довольно рассуждений b Кража b - это когда что-то где-то убыло и где-то приб... весь текст скрыт [показать]

3.21, Ordu, 15:32, 12/03/2018 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
Какой концлагерь Чем тебе это мешает Не выделить из кучи память под стек юзерс... весь текст скрыт [показать]

4.22, Клыкастый, 15:46, 12/03/2018 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
Да и в 70-ых всё было ровно то же Или права на файлуху и процессы просто так за... весь текст скрыт [показать]

4.24, Anonymoustus, 16:04, 12/03/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
Он забыл добавить, что среди хакеров семидесятых были в тренде лсд, хиппи, комму... весь текст скрыт [показать]

Часть нити удалена модератором

8.55, Аноним, 22:51, 12/03/2018 [^] [ответить] [смотреть все] [к модератору]	–2 +/–
http://www.darwinawards.com/darwin/darwin2016-02.html

1.10, iZEN, 14:01, 12/03/2018 [ответить] [смотреть все] [к модератору]	+/–
Каждому вызову по виртуальной машине!

2.12, Аноним, 14:12, 12/03/2018 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+2 +/–
И оркестрацию.

2.23, Всем Анонимам Аноним, 15:46, 12/03/2018 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+2 +/–
Вы вот шутите, а посмотрим что через 5 лет будет.

3.56, pavlinux, 22:52, 12/03/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
мясной /* fixed */

1.17, ыы, 14:58, 12/03/2018 [ответить] [смотреть все] [к модератору]	–1 +/–
все это чушь. скоро каждому вызову будет свой процессор. аппаратный. со своим кусочком памяти. аппаратным...

2.37, первоадмин, 18:58, 12/03/2018 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
уже было, давно... весь текст скрыт [показать] [показать ветку]

2.57, pavlinux, 22:53, 12/03/2018 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	–1 +/–
Каждой переменной по процессору ... весь текст скрыт [показать] [показать ветку]

3.58, ыы, 23:06, 12/03/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
переменные - это рудимент. зло порожденное порочной арихитектурой.

4.59, pavlinux, 23:11, 12/03/2018 [^] [ответить] [смотреть все] [к модератору]	–2 +/–
Партия Навального Свой вариант сложения двух чисел будет ... весь текст скрыт [показать]

5.61, ыы, 23:19, 12/03/2018 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
да вам знакомо понятие жесткой логики переменные ненужны частота ненужна ско... весь текст скрыт [показать]

6.67, VoDA, 00:22, 13/03/2018 [^] [ответить] [смотреть все] [к модератору]	+1 +/–
Как в этом случае создавать сложные приложения Для простоты обсужедния, начнем ... весь текст скрыт [показать]

7.71, VimCoder, 00:48, 13/03/2018 [^] [ответить] [смотреть все] [к модератору]	+/–
Биологический компьютер ( Молекулярный компьютер ).

1.77, бедный буратино, 05:21, 13/03/2018 [ответить] [смотреть все] [к модератору]	+/–
где песня, блин! уже полгода ждём. какие ещё стеки-шмеки, песню давай!

1.78, бедный буратино, 05:22, 13/03/2018 [ответить] [смотреть все] [к модератору]

+/–

> Как и раньше, бинарные патчи формируются только для архитектур amd64 и i386.

неужели сложно зайти на репозиторий, если не помните свои же новости

для amd64, i386 и arm64

2.80, Аноним, 08:36, 13/03/2018 [^] [ответить] [смотреть все] [показать ветку] [к модератору]	+/–
Для прошлой ветки ветки были только amd64 и i386 https fastly cdn openbsd org... весь текст скрыт [показать] [показать ветку]

Добавить комментарий