|
|
ru.linux- RU.LINUX --------------------------------------------------------------------- From : Igor Plekhov 2:5020/400 26 Oct 2004 12:00:06 To : Zahar Kiselev Subject : Re: неисполняемый стэк в 2.4 ? -------------------------------------------------------------------------------- On Tue, 26 Oct 2004 08:54:40 +0400, Zahar Kiselev <Zahar.Kiselev@p1.f382.n5030.z2.fidonet.org> wrote: > > >> Линус несомненно прав - одним только неисполняемым стэком не проблему > >> не решить. > IP> нет, у Линуса более сильное утверждение. что неисполняемый стек не > IP> даёт никакого повышения безопасности > А вот авторы многочисленных патчей(grsecurity,openwall и подобных) считают > несколько иначе. Они что же - все как один полные чайники? не знаю, может быть. > >> Однако если тот буфер, который он упоминает в своем примере, будет > >> помещен не в общий стэк программы, а в отдельный сегмент данных - > IP> автоматические переменные хранятся в стеке. ты предлагаешь от этого > IP> отказаться. это не только ядро надо переделывать, а ещё дофига. > А кто сказал, что буфер в программе обязательно надо объявлять как > автоматическую переменную? Я бы даже сказал, что более традиционно размещать > буферы при помощи malloc. те, от переполнения которых якобы защищает неисполняемый стек, размещаются в стеке. > >> то _первый_ же байт, > >> вылезший за границу отведенного места - вызовет ошибку защиты > >> и будет отловлен. > IP> для этого надо _каждый_ буфер помещать в отдельный сегмент. > А что в этом плохого? > Хотя можно и не каждый, а только критичные с точки зрения безопасности. а как компилятору (или кому там) определить, какой критичный, а какой нет ? > IP> так никаких сегментов не хватит... > Если я правильно помню(нет под рукой книги) - то на каждую задачу может быть > 8192 сегментов. Hе так уж много программ, в которых требуется _такое_ > количество буферов. а как определить, некоторая переменная -- буфер или нет ? наверно при таком подходе придётся каждую переменную в свой сегмент пихать. в подобной защите ничего плохого конечно же нет. проблема только в том, что её (защиты) нет. её нужно (нужно ли ?) создать. тратить на это время, которое можно потратить на что-то более интересное. -- Registered Linux User #124759 --- ifmail v.2.15dev5.3 * Origin: Demos online service (2:5020/400) Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
Архивное /ru.linux/6577ac441419.html, оценка из 5, голосов 10
|