Grsecurity-projektin kehittäjät julkaisi tietoja turvallisuuskysymyksistä jotka löydettiin ehdotetussa korjaustiedostossa, jolla parannetaan Huawei-työntekijän Linux-ytimen tietoturvaa, triviaalisesti hyödynnetyn haavoittuvuuden esiintyminen korjaustiedostossa HKSP (Huawei-ytimen itsesuojaus).
Nämä "HKSP" -korjaukset julkaisi Huawei-työntekijä 5 päivää sitten, ja niihin sisältyy Huawei-maininta GitHub-profiilissa ja käytetään sanaa Huawei projektin nimen purkamisessa (HKSP - Huawei Kernel Self Protection), vaikka emplado mainitsee, että projektilla ei ole mitään tekemistä yrityksen kanssa ja se on hänen oma.
Tämä projekti on tehnyt tutkimukseni vapaa-ajalla, hksp-nimen annoin itse, se ei liity Huawei-yritykseen, ei ole Huawei-tuotetta, joka käyttää tätä koodia.
Olen luonut tämän korjaustiedoston, koska yhdellä henkilöllä ei ole tarpeeksi energiaa kattamaan kaikkea. Siksi puuttuu laadunvarmistus, kuten tarkastelu ja testaus.
Tietoja HKSP: stä
HKSP sisältää muutokset, kuten rakenne kompromisseja, nimiavaruuden hyökkäysten suojaus käyttäjätunnus (nimiavaruus pid) prosessin pinon erotus mmap-alueelta, kfree-toiminnon kaksoiskutsutunnistus, vuotojen esto pseudo-FS / proc: lla (/ proc / {moduulit, avaimet, avainkäyttäjät}, / proc / sys / kernel / * ja / proc / sys / vm / mmap_min_addr, / proc / kallsyms), parannettu osoitteiden satunnaistaminen käyttäjäalueella, lisäsuoja Ptracelta, parannettu suojaus smapille ja smepille, kyky kieltää tietojen lähettäminen raakapistokkeiden kautta, osoitteiden estäminen Virheellinen UDP-pistorasioissa ja käynnissä olevien prosessien tarkastuksissa ja eheydessä.
Kehys sisältää myös Ksguard-ytimen moduulin, jonka tarkoituksena on tunnistaa yritykset ottaa käyttöön tyypillisiä juuripaketteja.
Laastarit herättivät kiinnostusta Greg Kroah-Hartmania kohtaan, vastuussa vakaan haaran ylläpitämisestä Linux-ytimessä, kuka pyysi kirjoittajaa jakamaan monoliittinen laastari osiin tarkastelun yksinkertaistamiseksi ja ylennys keskeiseen kokoonpanoon.
Kees Cook (Kees Cook), aktiivisen suojaustekniikan edistämisprojektin johtaja Linux-ytimessä, puhui myös positiivisesti korjaustiedostoista, ja ongelmat kiinnittivät huomiota x86-arkkitehtuuriin ja ilmoitusten luonteeseen monissa vain tallennettavissa olevissa tiloissa. tietoa ongelmasta, mutta ei Yritä estää se.
Grsecurity-kehittäjien tekemä korjaustiedosto paljasti monia vikoja ja heikkouksia koodissa Se osoitti myös, ettei uhkamallia ollut, joka mahdollistaisi riittävän arvioinnin projektin kapasiteetista.
Valaisemaan, että koodi kirjoitettiin käyttämättä suojattuja ohjelmointimenetelmiä, Esimerkki triviaalista haavoittuvuudesta on / proc / ksguard / state-tiedostojen käsittelijässä, joka on luotu oikeuksilla 0777, mikä tarkoittaa, että kaikilla on kirjoitusoikeudet.
Funktio ksg_state_write, jolla jäsennetään komennot / proc / ksguard / state kirjoitettuihin komentoihin, luo puskurin tmp [32], jossa tiedot kirjoitetaan välitetyn operandin koon perusteella kohdepuskurin koosta riippumatta ja tarkistamatta merkkijonon kokoinen parametri. Toisin sanoen hyökkääjän on kirjoitettava vain osa ytimen pinosta korvaamaan vain erityinen rivi / proc / ksguard / state.
Vastaanotettuaan kehittäjä kommentoi HKSP-projektin GitHub-sivua Haavoittuvuuden löytämisen jälkeen hän lisäsi myös taannehtivasti, että projekti etenee hänen vapaa-ajallaan tutkimusta varten.
Kiitos tietoturvaryhmälle, joka löysi monia virheitä tästä korjaustiedostosta.
Ksg_guard on esimerkkibitti rootkit-pakettien havaitsemiseksi ytötasolla, käyttäjä- ja ytintiedonsiirto käynnistää proc-käyttöliittymän, lähdetarkoituksena on tarkistaa idea nopeasti, joten en lisää tarpeeksi turvatarkistuksia.Todellakin tarkistamalla rootkit ytimen tasolla, sinun on vielä keskusteltava yhteisön kanssa, jos on tarpeen suunnitella ARK (anti rootkit) -työkalu Linux-järjestelmälle ...