Kernel

Greg Kroah-Hartman tegnap az LKMLre küldött levelében bejlentette a hotplug-ng project indítását, illetve a 001-es verzió kiadását.

Legfontosabb különbség, hogy míg a hagyományos hotplug scriptek bash-ben vannak írva, addig a hotplug-ng c-ben.Jelenleg az usb, scsi, és a pci modulok betöltése már működik, de például az input alrendszer várat magára.

Fontos még, hogy a használatához 2.6-os kernel szükségeltetik (a sysfs miatt).

További infromációk Greg levelében.

Letöltés itt.

Ráncfelvarrás történt az LKML-en a BSD secure level-eket Linuxon megvalósító LSM-en. A 8 patch-ből álló set olyan emberek ötletein alapul, mint például a grsecurity-s Brad Spengler. A munkát az IBM-es Michael Halcrow végezte.

2005-02-07 [PATCH] BSD Secure Levels: memory alloc failure check

2005-02-07 [PATCH] BSD Secure Levels: remove ptrace, 2.6.11-rc2-

2005-02-07 [PATCH] BSD Secure Levels: comment cleanups, 2.6.11-r

2005-02-07 [PATCH] BSD Secure Levels: nits, 2.6.11-rc2-mm1 (6/8)

2005-02-07 [PATCH] BSD Secure Levels: allow setuid/setgid on pro

2005-02-07 [PATCH] BSD Secure Levels: claim block dev in file st

2005-02-07 [PATCH] BSD Secure Levels: suid/sgid on directories;

2005-02-07 [PATCH] BSD Secure Levels: printk overhaul, 2.6.11-rc

Andrew Morton néhány nappal ezelőtt arról beszélt az Enterprise Linux Summit rendezvényen, hogy mi várható a 2.6-os Linux kernel hamarosan megjelenő újabb verzióiban.Újdonágok között üdvözölhetjük a Xen névre hallgató virtuális gépet, az Infiniband támogatást, vagy éppen a clustering file támogatást...

Bővebben itt.

Jason Miller, a Symantec sérülékenység-elemzője szerint a Linux kernel fejlesztői az utóbbi időben elfelejtkeztek a biztonságról.Jason Miller a SecurityFocus oldalán írott cikkében kifejti a legutóbbi időkben a Linux kernelben talált biztonsági rések kapcsán véleményét: ideje lenne sürgősen a biztonságot előtérbe helyezni a kernel fejlesztésekor, és nem csak "utólag beleépíteni, beletesztelni" a különféle biztonsági patch-ek formájában. További problémának tartja, hogy biztonsági kérdésekben az érintett kernelfejlesztőket szinte a lehetetlenséggel határos elérni, mivel a kernel.org és a linux.org oldalakon nincs könnyen elérhető hibabejelentő eszköz. Pozitív példaképpen kiemeli a BSD közösségeket, valamint a Gentoo linux közösséget, akik külön létrehoztak biztonsággal foglalkozó csapatot a disztribúciójukhoz.

A teljes cikk itt olvasható

Linus kiadta a 2.6.11-es Linux kernel harmadik kiadásra jelölt verzióját. Benne több architektúra (mips, arm, ppc, x86-64, ia64) frissült, de változások vannak az ACPI, DRI, ALSA, SCSI, XFS, OOM-Killer, stb. területen is. A stabilizáció ideje, Linus csak a fontos dolgokat kéri a fejlesztőktől.

A patch letölthető a kernel.org tükörszervereiről.

Változások listája Linus levelében.

Folytatódik a PaX vs. exec-shield tragikomédia az LKML-en. Arjan van de Ven azt állítja, hogy a PaX működésének ellenőrzésére kifejlesztett PaXtest program szabotálva van, és bizonyos körülmények között (például az exec-shield jelenlétében) fals eredményt ad.Peter Busser a PaXtest szerzője és az Adamantix projekt vezetője ezt cáfolja.

A szál itt.

Lorenzo Hernández García-Hierro ma egy olyan patchet postázott az LKML-re, amely a bejelentés szerint több ponton növeli a Linux kernel biztonságát. A patch a GrSecurity és az OpenBSD csapat egyes munkáin alapul.

A patch egyik jellemzője, hogy kifinomultabbá teszi a linuxos RNG-t (Random Number Generator) azáltal, hogy kétszer nagyobb entropy pool-t használ. Ezen kívül randomizálja a TCP ISN-eket, az RPC XID-eket és az IP ID-eket. A porter szerint a patch-nek minimális negatív tulajdonsága van. Nincs komoly teljesítménybeli overhead-je, a fejlesztése és karbantartása sem bonyolult, ezért kéri a patch beolvasztását a mainline kernelbe.

A fejlesztő szerint a patch megnehezíti a script kiddie-k dolgát, mivel a randomizálás miatt az OS fingerprinting (pl. Nmap) típusú támadások sikerességét csökkenti.

Bővebb infó és patch itt.

Arjan van de Ven egy olyan patchet küldött az LKML-re, amely randomizálja a processzek virtuális címterületét. A patch célja, hogy védelmet nyújtson a kernelhez készült puffer túlcsordulásos exploitok ellen. Az infrastruktúra még nincs teljesen kész, jelenleg éppen csak megkezdődött a munka. A patch az exec-shield-ből született.

A patch nem randomizálja a brk() területet és nem támogatja a PIE binárisokat. E funkciók a következő verziókban mutatkoznak majd be.A patch beküldése szokás szerint flame-et váltott ki. A flame oka, hogy a PaX ASLR funkciója hasonló ehhez a megoldáshoz annyi különbséggel, hogy egyesek szerint hatékonyabb.

Kritika érte a patchset-et több ponton is. A kritikusok szerint a 64Kb-nyi randomizálás kevés (a PaX 256MB-tal teszi ezt), és hiányzik a brk() által kezelt terület randomizálása is (a PaX ezt is tudja). Arjan szerint az exec-shield randomizálja a brk()-t, de ebben a patchben ez a funkció nincs benne, mert a használata veszélyes lehet a programok működése szempontjából (bizonyos programok nem, vagy rosszul működnének).

Az egyik hozzászóló szerint a 64Kb randomizálást triviális dolog kikerülni. Szerinte ez a megoldás legalább akkora vicc, mint az OpenBSD stackgap megoldása.

Mint válaszában Arjan írta, a 64Kb valóban kicsit, de ezt csak egy kezdeti szám, hogy lássa, hogy az infrastruktúra valóban működik-e. A későbbiekben ez az érték feljebb lesz emelve.

A kritikus ahelyett, hogy ezt elfogadta volna, azt állította, hogy a Red Hat biztonság terén kb. azon a szinten van, mint a Microsoft (Arjan van de Ven és Molnár Ingo - az exec-shield fejlesztői - a Red Hat alkalmazottai).

Ezekből a kijelentésekből nagy flame lett, amelyben Linus felszólította a kritizálót, hogy fejezze be a flame-et. Linus szerint bizonyos ``security expert''-ek nem képesek nagyban gondolkozni. Csak azt nézik, hogy az általuk fontosnak tartott hibák javítva vagy megelőzve legyenek, de azt nem, hogy ettől akár a felhasználók/ügyfelek nagy része használhatatlan kernelhez jut.

A thread itt.

Megjelent a GrSecurity patch 2.1.1-es verziója a 2.4.29-es és a 2.6.10-as2 kernelekhez.Letöltés:

grsecurity-2.1.1-2.4.29-200501231159.patch

grsecurity-2.1.1-2.6.10-as2-200501242254.patch

gradm-2.1.1-200501222316.tar.gz

Bejelentés:

Grsecurity 2.1.1 has been released for the 2.4.29 kernel as well as the

2.6.10-as2 tree (a tree made specifically for security patches and

trivial bugfixes). Changes in this release include longer buffers for

exec args in exec auditing, rewriting of unprintable characters in exec

auditing, automatic tty sniffing detection in the RBAC system at

authentication time, fixed hidden file detection, fixed gradm crashes

when parsing certain learning logs, updated learning heuristics, and

most heuristics have been placed in /etc/grsec/learn_config and are now

fully configurable. If you installed gradm 2.1.0 and modified

/etc/grsec/learn_config, you will want to replace your copy with the new

copy in gradm 2.1.1. The 2.6.10-as2 patch can be downloaded from

http://www.acm.cs.rpi.edu/~dilinger/patches/2.6.10/as2/. The grsecurity

2.1.1 patch is to be applied *after* the 2.6.10-as2 patch.

Enjoy

-Brad

Itt a 2.6.11-es Linux kernel második kiadásra jelölt verziója. Linus szerint itt az ideje, hogy a dolgok lenyugodjanak, és készüljenek a 2.6.11 kiadására. A változások listája Linus levelében. A patch letölthető a kernel.org tükrökről.