- A hozzászóláshoz be kell jelentkezni
- 1959 megtekintés
Hozzászólások
Brad elismerte, hogy vmi nem kiraly a kodban, amikoris kiadta a 2.1.2-ot, utana meg volt par levelvaltas, aminek az volt a vege, hogy -kicsit sertodotten ugyan-de abban maradt, hogy nem kerul vissza, Ha vki akarja -mint Te-, az hasznalja:
From: Brad Spengler
To: grsecurity@grsecurity.net
Subject: [grsec] grsecurity 2.1.2 released for 2.4.29/2.6.11 *CRITICAL UPDATE*
Date: Fri, 4 Mar 2005 19:55:23 -0500 (Sat, 01:55 CET)
grsecurity 2.1.2 has been released today for the 2.4.29 and 2.6.11
kernels. This is a critical release, and all users of grsecurity are
strongly urged to upgrade as soon as possible. Changes in this release
include the removal of RANDEXEC from the configuration, a fix for the
unsafe terminal false positive, the ability to use hostnames instead of
IPs in the RBAC policy file, the removal of the randomized TCP ISN, RPC
XID, and IP ID code, since they added no greater security that what
Linux currently provides, more consistent log messages, and PaX updates.
Of particular importance is a fix for an exploitable vulnerability in
PaX that exists if the SEGMEXEC or RANDEXEC features are enabled. The
vulnerability was found yesterday by the PaX team during an audit of
their code. Though remote exploitation of the vulnerability is very
unlikely, it can be abused locally to compromise the system.
-Brad
- A hozzászóláshoz be kell jelentkezni
A Grsecurity honlap főoldalán ez áll: "Additional randomness in the TCP/IP stack"
Nem tudom, nem figyeltem ennyire a grsecurityt az utóbbi időben: mi került ki belőle pontosan?
- A hozzászóláshoz be kell jelentkezni
a forrasport randomizer es az entropiaforras bovites benne maradt, de volt egy vita az LKML-en (marciusban?), aminek kovetkezteben brad besertodott es kivette azokat a kodokat (2.1.1-ben meg benne voltak), amik a TCP ISN, IP ID es RPC XID generalasnal full random ertekeket allitottak elo.
- A hozzászóláshoz be kell jelentkezni
"a TCP ISN, IP ID es RPC XID generalasnal full random ertekeket allitottak elo."
Nem úgy volt az annó, h éppen ezt nem csinálja, és amit csinál, azt is rosszul csinálja?
- A hozzászóláshoz be kell jelentkezni
"h éppen ezt nem csinálja"
he?
"azt is rosszul csinálja"
abban a flame-ben ugatott valaki, hogy ***** a kod, de azt elfelejtette leirni, hogy miert.
nem gondolom, hogy tisztem lenne megitelni a randomizer hatekonysagat, igy meg sem probalom. en amiota letezik, hasznalom ezt (eles gepeken, nagy forgalommal), gond nelkul, a dolgat pedig vegzi (ezt azert nem olyan nehez kideriteni egy sniffer segitsegevel - persze a randomizer minosegenek megitelese ennel azert kicsit bonyolultabb).
egyebkent volt egy ilyen kiserlet nem is olyan reg, amelynek soran michal zalewski grafikusan vizsgalta es elemezte az egyes OS-ek TCP/IP stackjenek biztonsagat a generalt TCP ISN-ek eloszlasa alapjan. erdemes elolvasni, erdekes.
az eredeti cikk: http://madchat.org/reseau/tcp-ip/tcpip-seqnb/ [madchat.org]
az update: http://lcamtuf.coredump.cx/newtcp/ [lcamtuf.coredump.cx]
- A hozzászóláshoz be kell jelentkezni
Mielőtt az előbb hozzászóltam, megnéztem újra azt az "ugatást"... Nem felejtette el leírni.
Az IP ID nem mindig random, mitadisten pont akkor nem, amikor leginkább értelme lenne, h random legyen, az RPC XID pedig olyannyira random, h egymást követően két request is megkaphatja ugyanazt a tranzakció ID-t, ami nem túl szép dolog...
- A hozzászóláshoz be kell jelentkezni
hm, DF bit nelkul tenyleg nem megy a randomizer, ezt eddig nem neztem, elismerem. viszont az mas kerdes, hogy ilyen viszonylag ritkan van (fragmentacio lehetoseg szerint elkerulendo teljesitmenybeli okok miatt, ezert amikor lehet, akkor beallitott DF bittel mennek ki az IP csomagok linux alatt, es az esetek donto tobbsege ilyen).
aki nem akarja, nem hasznalja.
- A hozzászóláshoz be kell jelentkezni
meg ennyi, ami szinten abban a vitaban volt:
"Note also that Brad fixed obsd_rand.c code this week[...]".
- A hozzászóláshoz be kell jelentkezni