ru.linux

 
 - RU.LINUX ---------------------------------------------------------------------
 From : Igor Plekhov                         2:5020/400     26 Oct 2004  12:00:06
 To : Zahar Kiselev
 Subject : Re: неисполняемый стэк в 2.4 ?
 -------------------------------------------------------------------------------- 
 

 On Tue, 26 Oct 2004 08:54:40 +0400, Zahar Kiselev
 <Zahar.Kiselev@p1.f382.n5030.z2.fidonet.org> wrote:
 
 > 
 >  >>  Линус несомненно прав - одним только неисполняемым стэком не проблему 
 >  >> не решить.
 >   IP> нет, у Линуса более сильное утверждение.  что неисполняемый стек не
 >   IP> даёт никакого повышения безопасности
 >  А вот авторы многочисленных патчей(grsecurity,openwall и подобных) считают 
 >  несколько иначе. Они что же - все как один полные чайники?
 
 не знаю, может быть.
 
 >  >>  Однако если тот буфер, который он упоминает в своем примере, будет
 >  >>  помещен не в общий стэк программы, а в отдельный сегмент данных -
 >   IP> автоматические переменные хранятся в стеке.  ты предлагаешь от этого
 >   IP> отказаться.  это не только ядро надо переделывать, а ещё дофига.
 >  А кто сказал, что буфер в программе обязательно надо объявлять как
 >  автоматическую переменную? Я бы даже сказал, что более традиционно размещать
 >  буферы при помощи malloc. 
 
 те, от переполнения которых якобы защищает неисполняемый стек,
 размещаются в стеке.
 
 >  >>  то _первый_ же байт,
 >  >>  вылезший за границу отведенного места - вызовет ошибку защиты
 >  >>  и будет отловлен.
 >   IP> для этого надо _каждый_ буфер помещать в отдельный сегмент.
 >  А что в этом плохого?
 >  Хотя можно и не каждый, а только критичные с точки зрения безопасности.
 
 а как компилятору (или кому там) определить, какой критичный,
 а какой нет ?
 
 >   IP> так никаких сегментов не хватит...
 >  Если я правильно помню(нет под рукой книги) - то на каждую задачу может быть
 >  8192 сегментов. Hе так уж много программ, в которых требуется _такое_
 >  количество буферов.
 
 а как определить, некоторая переменная -- буфер или нет ?  наверно
 при таком подходе придётся каждую переменную в свой сегмент пихать.
 
 в подобной защите ничего плохого конечно же нет.  проблема только в
 том, что её (защиты) нет.  её нужно (нужно ли ?) создать.  тратить
 на это время, которое можно потратить на что-то более интересное.
 
 -- 
 Registered Linux User #124759
 --- ifmail v.2.15dev5.3
  * Origin: Demos online service (2:5020/400)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

Тема:    Автор:    Дата:    Re: неисполняемый стэк в 2.4 ?   Kirill Frolov   21 Oct 2004 09:02:38   Re: неисполняемый стэк в 2.4 ?   Zahar Kiselev   25 Oct 2004 02:10:48   Re: неисполняемый стэк в 2.4 ?   Igor Plekhov   25 Oct 2004 15:11:09   Re: неисполняемый стэк в 2.4 ?   Zahar Kiselev   25 Oct 2004 18:57:00   Re: неисполняемый стэк в 2.4 ?   Igor Plekhov   26 Oct 2004 03:10:34   Re: неисполняемый стэк в 2.4 ?   Zahar Kiselev   26 Oct 2004 09:54:40   Re: неисполняемый стэк в 2.4 ?   Igor Plekhov   26 Oct 2004 12:00:06   Re: неисполняемый стэк в 2.4 ?   Zahar Kiselev   26 Oct 2004 15:14:34   Re: неисполняемый стэк в 2.4 ?   Igor Plekhov   27 Oct 2004 02:29:06   Re: неисполняемый стэк в 2.4 ?   Slava Astashonok   26 Oct 2004 17:41:47   Re: неисполняемый стэк в 2.4 ?   Igor Plekhov   27 Oct 2004 02:07:36   Re: неисполняемый стэк в 2.4 ?   Victor Wagner   26 Oct 2004 19:23:38