Utviklerne av Grsecurity-prosjektet gitt ut informasjon om sikkerhetsspørsmål som ble funnet i en foreslått oppdatering for å forbedre Linux-kjernesikkerhet av en Huawei-ansatt, tilstedeværelsen av et trivielt utnyttet sårbarhet i patch-settet HKSP (Huawei Kernel Self Protection).
Disse "HKSP" -oppdateringene ble publisert av en Huawei-ansatt for 5 dager siden, og inkluderer omtale av Huawei i GitHub-profilen og bruker ordet Huawei i dekodingen av prosjektnavnet (HKSP - Huawei Kernel Self Protection), selv om Emplado nevner at prosjektet ikke har noe med selskapet å gjøre og er hans eget.
Dette prosjektet har forsket på fritiden, hksp-navnet ble gitt av meg selv, det er ikke relatert til Huawei-firmaet, det er ikke noe Huawei-produkt som bruker denne koden.
Denne oppdateringskoden ble opprettet av meg, da en person ikke har nok energi til å dekke alt. Derfor mangler det kvalitetssikring som gjennomgang og test.
Om HKSP
HKSP inkluderer endringer som randomisering av struktur avveininger, namespace angrep beskyttelse bruker-ID (namespace pid), prosessbunkseparasjon fra mmap-området, kfree-funksjon dobbel anropsdeteksjon, lekkasje blokkering via pseudo-FS / proc (/ proc / {moduler, nøkler, nøkkelbrukere}, / proc / sys / kernel / * og / proc / sys / vm / mmap_min_addr, / proc / kallsyms), forbedret randomisering av adresser i brukerområdet, tilleggsbeskyttelse mot Ptrace, forbedret beskyttelse for smap og smep, muligheten til å forby sending av data gjennom rå stikkontakter, blokkering av adresser Ugyldig på UDP-stikkontakter og kontroller og integriteten til kjørende prosesser.
Rammeverket inkluderer også Ksguard-kjernemodulen, ment å identifisere forsøk på å introdusere typiske rootkits.
Lappene vekket interesse for Greg Kroah-Hartman, ansvarlig for å opprettholde en stabil gren av Linux-kjernen, hvem vil ba forfatteren om å dele den monolitiske lappen i deler for å forenkle gjennomgangen og promotering til den sentrale komposisjonen.
Kees Cook (Kees Cook), leder av prosjektet for å fremme aktiv beskyttelsesteknologi i Linux-kjernen, snakket også positivt om oppdateringer, og problemene gjorde oppmerksom på x86-arkitekturen og arten av varsling av mange moduser som bare registrerer informasjon om problemet, men ikke prøv å blokkere det.
En patchstudie av Grsecurity-utviklerne avslørte mange feil og svakheter i koden Det viste også fraværet av en trusselmodell som tillater en tilstrekkelig evaluering av prosjektets kapasitet.
For å illustrere at koden ble skrevet uten bruk av sikre programmeringsmetoder, Et eksempel på et trivielt sårbarhet er gitt i / proc / ksguard / state filbehandleren, som er opprettet med tillatelser 0777, noe som betyr at alle har skrivetilgang.
Funksjonen ksg_state_write som brukes til å analysere kommandoene skrevet i / proc / ksguard / state, skaper en buffer tmp [32], der dataene skrives basert på størrelsen på den passerte operanden, uten å ta i betraktning størrelsen på destinasjonsbufferen og uten å sjekke parameteren med strengens størrelse. Med andre ord, for å overskrive en del av kjernestakken, trenger angriperen bare å skrive en spesiallaget linje i / proc / ksguard / state.
Ved mottak av svar, utvikleren kommenterte GitHub-siden til prosjektet “HKSP” med tilbakevirkende kraft etter oppdagelsen av sårbarhet, la han også til et notat om at prosjektet utvikler seg på fritiden for forskning.
Takk til sikkerhetsteamet for å finne mange feil i denne oppdateringen.
Ksg_guard er en prøvebit for å oppdage rootkits på kjernenivå, bruker- og kjernekommunikasjon lanserer proc-grensesnittet, kildens formål er å sjekke ideen raskt slik at jeg ikke legger til nok sikkerhetskontroller.Faktisk verifisering av rootkit på kjernenivå, du må fortsatt diskutere med samfunnet, hvis det er behov for å designe et ARK (anti rootkit) verktøy for Linux-system ...