https://opennet.me/openforum/vsluhforumID3/122116.html В NetBSD устранена уязвимость, вызванная отсутствием проверки границ буфера при обработке jumbo-пакетов в драйверах для сетевых адаптеров, подключаемых по USB. Проблема приводит к копированию части пакета за пределы буфера, выделенного в кластере mbuf, что потенциально может использоваться для выполнения кода атакующего на уровне ядра через отправку определённых кадров из локальной сети. Исправление для блокирования уязвимости внесено 28 августа, но сведения о проблеме раскрыты только сейчас. Проблема затрагивает драйверы atu, axe, axen, otus, run и ure...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53888<br> https://opennet.me/openforum/vsluhforumID3/122116.html#163 Fri, 11 Dec 2020 11:14:08 GMT &gt; Сразу видно что большими сетями вы не занимались...<br><br>Сам не занимался, наблюдал как этим занимаются другие. Хотя, "большие сети" - понятие растяжимое. Это сеть самого популярного провайдера в городе-миллионнике и различных посёлках вокруг него.<br> https://opennet.me/openforum/vsluhforumID3/122116.html#162 Mon, 19 Oct 2020 06:12:19 GMT &gt; Я не слишком хорошо знаком с актуальным состоянием ядра linux в этом месте, точно не знаю.<br><br>А давай посмотрим на корень проблемы?<br><br>https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/tree/Documentation/security/self-protection.rst<br><br>Executable code and read-only data must not be writable<br>~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~<br><br>Any areas of the kernel with executable memory must not be writable.<br>While this obviously includes the kernel text itself, we must consider<br>all additional places too: kernel modules, JIT memory, etc. (There are<br>temporary exceptions to this rule to support things like instruction<br>alternatives, breakpoints, kprobes, etc. If these must exist in a<br>kernel, they are implemented in a way where the memory is temporarily<br>made writable during the update, and then returned to the original<br>permissions.)<br><br>In support of this are ``CONFIG_STRICT_KERNEL_RWX`` and<br>``CONFIG_STRICT_MODULE_RWX``, which seek to make sure that code is not<br>writable, data is https://opennet.me/openforum/vsluhforumID3/122116.html#161 Mon, 19 Oct 2020 05:54:20 GMT Ссылку на пример дал: https://www.opennet.ru/openforum/vsluhforumID3/122116.html#112<br><br>Проверить любой *NIX, для быдла он или для людей можно двумя командами:<br><br>1. paxtest blackhat<br><br>2. checksec --file=/bin/ls<br> https://opennet.me/openforum/vsluhforumID3/122116.html#160 Mon, 19 Oct 2020 05:19:34 GMT Все зависит от дистрибутива Linux.<br> https://opennet.me/openforum/vsluhforumID3/122116.html#159 Mon, 19 Oct 2020 05:14:21 GMT Не смотрел. Но должно быть да. Иначе тогда какой в ней смысл?<br><br>Здесь лучше ставить два вопроса:<br><br>1. Включена ли защита в OS по умолчанию?<br>2. Есть ли гарантия невозможности отключения защиты в рабочей системе?<br><br>От защиты которую можно отключить одной командой толку мало.<br> https://opennet.me/openforum/vsluhforumID3/122116.html#158 Sun, 18 Oct 2020 19:29:23 GMT А какие не для быдла?<br> https://opennet.me/openforum/vsluhforumID3/122116.html#157 Sun, 18 Oct 2020 13:24:40 GMT А эта защита включена по умолчанию в netbsd?<br> https://opennet.me/openforum/vsluhforumID3/122116.html#156 Sun, 18 Oct 2020 11:47:26 GMT Дополнения к бровзеру должны распространятся стандартным ПАКЕТНЫМ менеджером. У меня emerge их собирает. И пользователь не должен устанавливать левые.<br> https://opennet.me/openforum/vsluhforumID3/122116.html#155 Sun, 18 Oct 2020 11:43:19 GMT &gt; Сорян, я предпочту поверить примерам netbsd'шников, а не твоим ничем не обоснованным заявлениям.<br><br>Да, java в W^X работать не будет. Собираю все без java, jit, orc, ...<br><br>Надо все пероги пересобирать с правильными опциями компиляции и линковки чтобы они работали с PaX корректно. Неверно собираются единицы, в них надо править код, или использовать нормально написанный аналог.<br><br>Gdb в рабочей системе никто не держит - уязвимость.<br><br>&gt;Возможно, в мобильной версии. В десктопной - нет.<br><br>В новых версиях Mac OSX могли W^X добавить программный для Ынтель процов.<br><br>&gt; вот возможность делать переключения RW -&gt; RX<br><br>Это неприемлемо в плане безопасности. PaX вполне корректно убивает такой процесс. Исправлять надо именно firefox!<br>