Confira !!
Os patches foram revisados para permitir que o Linux suporte a randomização de deslocamento de endereço base da pilha do kernel para cada chamada do sistema.
Esse recurso foi desenvolvido para impedir vários ataques baseados em pilha que dependem de um layout conhecido da estrutura da pilha. Com esses patches e ativando o recurso, o deslocamento da pilha seria aleatório em cada chamada do sistema, para que o layout seja alterado para cada syscall.
O pessoal do PaX / GrSecurity implementou anteriormente um recurso "RANDKSTACK" para o qual esse trabalho upstream se baseia em suas ideias, mas com uma abordagem de implementação diferente.
A desvantagem de randomizar o deslocamento da pilha do kernel para cada chamada do sistema é a sobrecarga de desempenho. Os testes com uma chamada de sistema não operacional constataram que a sobrecarga adicional era inferior a 1%, mas veremos como o desempenho do mundo real é impactado no devido tempo.
Além da opção Kconfig, esse recurso pode ser alternado no momento da inicialização usando a opção randomize_kstack_offset = on / off .
Kees Cook, do Google, lançou a nova série de patches . Este trabalho para o upstream foi discutido anteriormente, mas ainda não foi abordado. Este trabalho foi revisado agora que existem vários métodos de ataque público conhecidos que se baseiam no determinismo da pilha para obter sucesso.
A mais recente randomização de pilha do kernel por chamada do sistema ainda está para ser revisada e, portanto, tarde demais para ser vista no Linux 5.7 com sua janela de mesclagem sendo fechada neste fim de semana, mas talvez veremos esse recurso de segurança preparado para o Linux 5.8.
Até a próxima !!
Nenhum comentário:
Postar um comentário