Проект OpenBSD перешёл (http://undeadly.org/cgi?action=article&sid=20160527203200) на обязательное применение механизма защиты памяти W^X (https://en.wikipedia.org/wiki/W%5EX) (Write XOR Execute), суть которого в том, что страницы памяти процесса не могут быть одновременно доступны на запись и исполнение. Таким образом, код может быть исполнен только после запрещения записи, а запись в страницу памяти возможна только после запрета исполнения. Механизм W^X помогает защитить приложения в пространстве пользователя от типовых атак, осуществляемых через переполнение буфера, в том числе от переполнений стека (записанный за пределы буфер код не может быть исполнен).

Традиционно в Unix при маппинге памяти допускается модель "W|X", которая позволяет осуществить как запись, так и исполнение, что является порочной практикой с позиции обеспечения безопасности. В OpenBSD отныне такая модель переведена в категорию недопустимых (при попытке использования будет выведена ошибка) и обязательно требуется использование только механизма "W^X".

Обход запрета "W|X" может быть осуществлён только через монтирование ФС (ffs/nfs) со специальным флагом "wxallowed", который рекомендуется использовать для монтирования /usr/local, так как некоторые сторонние программы пока не адаптированы для нормальной поддержки "W^X". Многие порты уже портированы для нормальной работы в режиме "W^X" или поддерживают его из коробки (например, Firefox), но в ряде крупных пакетов пока наблюдаются проблемы, например, это касается JDK, GCC, Mono и Chromium.

URL: http://undeadly.org/cgi?action=article&sid=20160527203200
Новость: http://www.opennet.me/opennews/art.shtml?num=44506

• Проект OpenBSD перешёл на обязательное использование механиз...,anonymous, 10:57 , 28-Май-16
• Проект OpenBSD перешёл на обязательное использование механиз...,Sunderland93, 11:03 , 28-Май-16
  • Проект OpenBSD перешёл на обязательное использование механиз...,Аноним, 11:18 , 28-Май-16
    • Проект OpenBSD перешёл на обязательное использование механиз...,Аноним, 20:10 , 29-Май-16
  • Проект OpenBSD перешёл на обязательное использование механиз...,angra, 11:22 , 28-Май-16
    • Проект OpenBSD перешёл на обязательное использование механиз...,Ананимас, 14:09 , 28-Май-16
    • Проект OpenBSD перешёл на обязательное использование механиз...,grsec, 17:12 , 28-Май-16
    • Проект OpenBSD перешёл на обязательное использование механиз...,Аноним, 16:06 , 30-Май-16
  • Проект OpenBSD перешёл на обязательное использование механиз...,Аноним, 14:50 , 28-Май-16
    • Проект OpenBSD перешёл на обязательное использование механиз...,Аноним, 15:02 , 28-Май-16
      • Проект OpenBSD перешёл на обязательное использование механиз...,Аноним, 16:47 , 28-Май-16
        • Проект OpenBSD перешёл на обязательное использование механиз...,Нанобот, 19:55 , 28-Май-16
    • Проект OpenBSD перешёл на обязательное использование механиз...,Аноним, 02:39 , 29-Май-16
• Проект OpenBSD перешёл на обязательное использование механиз...,Аноним, 19:06 , 28-Май-16
  • Проект OpenBSD перешёл на обязательное использование механиз...,Аноним, 23:16 , 29-Май-16
• Проект OpenBSD перешёл на обязательное использование механиз...,НяшМяш, 20:07 , 28-Май-16
  • Проект OpenBSD перешёл на обязательное использование механиз...,Аноним, 21:56 , 28-Май-16
    • Проект Gentoo перешёл:,Аноним, 14:39 , 29-Май-16
• Проект OpenBSD перешёл на обязательное использование механиз...,AnotherReality, 03:26 , 29-Май-16
  • Проект OpenBSD перешёл на обязательное использование механиз...,Аноним, 07:05 , 29-Май-16
• Проект OpenBSD перешёл на обязательное использование механиз...,lib ru, 06:37 , 29-Май-16
  • Проект OpenBSD перешёл на обязательное использование механиз...,Аноним, 14:41 , 29-Май-16
    • Проект OpenBSD перешёл на обязательное использование механиз...,chinarulezzz, 16:36 , 29-Май-16
      • Проект OpenBSD перешёл на обязательное использование механиз...,_, 16:43 , 30-Май-16
        • Проект OpenBSD перешёл на обязательное использование механиз...,count0krsk, 17:40 , 31-Май-16
  • Проект OpenBSD перешёл на обязательное использование механиз...,Нанобот, 09:37 , 30-Май-16
  • Проект OpenBSD перешёл на обязательное использование механиз...,Клыкастый, 10:17 , 30-Май-16
    • Проект OpenBSD перешёл на обязательное использование механиз...,_, 16:45 , 30-Май-16
      • Проект OpenBSD перешёл на обязательное использование механиз...,Клыкастый, 17:02 , 30-Май-16
• Проект OpenBSD перешёл на обязательное использование механиз...,бедный буратино, 03:15 , 30-Май-16
  • Проект OpenBSD перешёл на обязательное использование механиз...,1, 11:27 , 30-Май-16
• Проект OpenBSD перешёл на обязательное использование механиз...,Аноним, 11:50 , 30-Май-16
  • Проект OpenBSD перешёл на обязательное использование механиз...,fi, 00:39 , 31-Май-16
• Проект OpenBSD перешёл на обязательное использование механиз...,Аноним, 14:28 , 30-Май-16
  • Проект OpenBSD перешёл на обязательное использование механиз...,Аноним, 16:32 , 30-Май-16

Молодцы!

Самая безопасная ОС стала ещё безопаснее! Вот бы для Линукса такое запилили

Защищённый вариант mprotect уже лет 15 как PaX-ом запилен, но в ядро добавлять его никто не спешит и тем более переходить на его обязательное использование.

> Защищённый вариант mprotect уже лет 15 как PaX-ом запилен, но в ядро
> добавлять его никто не спешит и тем более переходить на его
> обязательное использование.

Вы, часом, не путаете ядро и всю ОС, вместе со всем базовым софтом?

Добавить в линукс связь флагов страниц памяти с флагами монтирования файловой системы? Спасибо, не надо. Такое нужно лишь тем, кто хочет поддерживать миф о "только две remote дырки за все время", а значит вынужден отделять "надежные" пакеты базовой ОС от всего остального, что обычно ставят для нормальной работы.

>вынужден отделять "надежные" пакеты базовой ОС от всего остального, что обычно ставят для нормальной работы.

как traceroute в linux?

Какие проблемы?

> Добавить в линукс связь флагов страниц памяти с флагами монтирования файловой системы? Спасибо, не надо.

В Линуксе выставляют опции защиты памяти для каждого отдельного файла. Причём можно это сделать двумя способами:

1. Метить ELF заглавия файлов CONFIG_PAX_PT_PAX_FLAGS = y

2. Создавать дополнительные атрибуты в файловой системе CONFIG_PAX_XATTR_PAX_FLAGS = y (удобно для кривых проприетарных прог с подписаными бинарями)

Метят файлы утилитой paxctl-ng

>  Вот бы для Линукса такое запилили

Больщинство дистров давно уже это используют.

А поподробнее.

man PaX
Заодно и GRSECURITY.

пожалуйста, ознакомьтесь со значение слова "большинство" (http://ru.wiktionary.org/wiki/%D0%B1%D0%... после чего попробуйте ответить на тот же вопрос ещё раз

В большинстве дистров это возможно. Но почти никто не использует by-default.

Можно загрузить другую ОС с флешки и дампнуть память.

> Можно загрузить другую ОС с флешки и дампнуть память.

А в огороде бузина …
Или к чему это?

> JDK, GCC, Mono и Chromium

Большинство понятно, что говнище, но вот от GCC не ожидал. Интересно, у Clanga те же проблемы?

jdk, mono, chromium это из за jit. Туда придется добавлять уменьшающие производительность костыли чтоб это работало.

CONFIG_PAX_NOEXEC=y
CONFIG_PAX_PAGEEXEC=y
CONFIG_PAX_MPROTECT=y

# USE="-jit -orc -schroedinger pic pie" emerge -uDN world

Не знаю аудиторию  OpenBsd. Но технология выглядит интересной, в частности для  выявления  такой  не правильной практики как в "JDK, GCC, Mono и Chromium"
Да и не плохо бы в ядрышко линукса добавить похожую фичу, но подключаемую

Такая практика называется JIT.

одобряю, если линукс растащат на куски то валить во фряху, а после фряхи опэнбст следующий норм кандидат (параноидальная защита, но оно начинает мне нравится)

Зачем по всем граблям бегать? Можно сразу на DragonFlyBSD!

только x86_64? :(

Он имел в виду - зачем собитать грабли с кайдой бсд-эшки, если можно собрать все грабли сразу на стрекозе :)

Тонко, спасибо )))

тут ещё вендекапец не наступил, а ты уже к линуксокапцу готовишься

FreeBSD/DragonflyBSD вполне
но линукс "не растащат". в том смысле, что будет какой-то островок стабильности, может несколько, со схожей идеологией. да, пилить его будет не 100 корпораций, но и при переходе на DFBSD вы же не питаете иллюзий - её пилят относительно немного народу. И Диллон конечно монстр и всё такое, но нужна толковая смена, нужно стабильное, ещё лучше растущее, комьюнити.

//trolling=ON
//offtop=ON

вот заря будущего, вот вендекапец и всё такое:
http://www.techrepublic.com/article/os2-resurrected-blue-lio.../

Да брось Клыкастый, не взлетит оно.

> Да брось Клыкастый, не взлетит оно.

ну блин ещё и шутки юмора объяснять...

у меня /usr/local не отдельным разделом.

теперь, что - у меня в следующем обновлении сломается gcc (кстати, только пакетный? штатный gcc 4.2 работать будет?) и другие пакеты?

монтируй корень тогда

Почему бы интелу с амд не поднапрячься и не сделать аппаратную защиту стека (а то и второй бы запилить, только для данных, неплохо было бы)? Вызываем функцию, говорим на каком адресе начинается адрес возврата. В процессоре - небольшая память этих адресов-точек (выходим из функцию - убираем ее точку), при записи в которые, в пределах размерности указателя - говорим "кирдык".

она называется x86_64 :)))

>> аппаратную защиту стека

В смысле  NX/XD ?

Нет, nx не помогает против перезаписи адреса возврата указателем на нужную функцию (понятно что подобрать сложно, может даже невозможно, но теоретическая возможность есть). Просто сравнивать адреса при записи в сегмент стека с адресами где точно хранятся адреса возврата (небольшой массив на 8-32 адреса вполне хватит для почти 100% защиты).