abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 03:00 | Nová verze

Byla vydána nová major verze 3.0.0-1 linuxového prostředí pro operační systémy Windows Cygwin (Wikipedie). Přehled novinek v oficiálním oznámení.

Ladislav Hagara | Komentářů: 6
včera 02:00 | Nová verze

Byl vydán Debian 9.8, tj. osmá opravná verze Debianu 9 s kódovým názvem Stretch. Řešeny jsou především bezpečnostní problémy, ale také několik vážných chyb. Předchozí instalační média Debianu 9 Stretch lze samozřejmě nadále k instalaci používat. Po instalaci stačí systém aktualizovat.

Ladislav Hagara | Komentářů: 0
15.2. 12:33 | Pozvánky

Příští týden bude na MFF UK zahájena série přednášek o architektuře a implementaci operačních systémů. Mezi přednášejícími budou odborníci z firem Kernkonzept, Oracle, Red Hat, SUSE či SYSGO. Pokud si chcete rozšířit obzory (virtualizace, ptrace, ZFS, kdump, ...), vyberte si z harmonogramu téma, které vás zajímá a přijďte. Přednášky se konají každý čtvrtek od 15:40 v učebně S4 na Malostranském náměstí 25 v Praze. Přednášky jsou přístupné veřejnosti (registrace není nutná), studenti UK a ČVUT si je mohou zapsat jako standardní předmět.

Vojtěch Horký | Komentářů: 8
15.2. 05:00 | Nová verze

Bylo vydáno Ubuntu 18.04.2 LTS, tj. druhé opravné vydání Ubuntu 18.04 LTS s kódovým názvem Bionic Beaver. Přehled novinek v poznámkách k vydání a v přehledu změn.

Ladislav Hagara | Komentářů: 0
15.2. 03:00 | Zajímavý software

Git History umí u souborů v git repozitářích zajímavým způsobem zobrazit jejich historii a následně jednotlivé změny, viz animovaný gif. Použít jej lze lokálně nebo aktuálně na soubory umístěné na GitHubu. Máte-li ve webovém prohlížeči zobrazen soubor umístěný na GitHubu, nahraďte v URL doménu github.com doménou github.githistory.xyz a nové URL odešlete. Využít lze také rozšíření Chrome i Firefoxu. V plánu je vedle GitHubu také podpora GitLabu a Bitbucketu.

Ladislav Hagara | Komentářů: 3
15.2. 01:00 | Nová verze

Byla vydána verze 1.0 webové a na frameworku Electron postavené desktopové verze svobodného decentralizovaného skupinového komunikátoru Riot (Wikipedie) využívajícího protokolu Matrix (Wikipedie). Přehled novinek i s náhledy v příspěvku na blogu. Zdrojové kódy jsou k dispozici na GitHubu.

Ladislav Hagara | Komentářů: 4
14.2. 14:22 | Nová verze

Společnost Collabora oznámila vydání verze 4.0 online kancelářského balíku Collabora Online a také Collabora Online Development Edition (CODE) pro domácí uživatele. Kancelářský balík vychází z LibreOffice Online (cgit).

Ladislav Hagara | Komentářů: 0
14.2. 12:11 | Nová verze

Byla vydána verze 241 správce systému a služeb systemd (GitHub, NEWS). Řešeny jsou také bezpečnostní chyby.

Ladislav Hagara | Komentářů: 0
14.2. 11:44 | IT novinky

Evropský parlament, Komise a Rada (trialog) se dohodli na návrhu reformy autorského práva včetně kontroverzních článků 11 a 13. Více v příspěvku na blogu europoslankyně Julie Redy.

Ladislav Hagara | Komentářů: 11
14.2. 07:00 | Komunita

Čtenářům a čtenářkám AbcLinuxu vše nejlepší k Valentýnu aneb Dni lásky ke svobodnému softwaru (FSF, I love Free Software Day, #ilovefs).

Ladislav Hagara | Komentářů: 4
Máte v desktopovém prostředí zapnutou zvukovou znělku po přihlášení se do systému?
 (8%)
 (1%)
 (90%)
 (2%)
Celkem 333 hlasů
 Komentářů: 11, poslední 14.2. 07:59
Rozcestník

Jaderné noviny – 28. 6. 2018: Podpora Control-Flow Enforcement v jádře

15. 7. 2018 | David Kolibáč | Jaderné noviny | 2401×

Stav vydání jádra. Archivy LKML na lore.kernel.org. Citáty týdne: John Stultz a Dan Carpenter. Podpora Control-Flow Enforcement v jádře.

Stav vydání jádra

Kernel release status. Jonathan Corbet. 27. června 2018

Současné vývojové jádro je 4.18-rc2, vydané 17. června. Linus řekl: „Každopádně jsme na začátku řady kandidátů na vydání, ale vypadá to celkem normálně.“ Kromě toho si postěžoval na vývojáře, kteří zasílají novinky po uzavření začleňovacího okna.

Stabilní aktualizace: 4.17.3, 4.16.18, 4.14.52 a 4.9.110 byly vydány 26. června. Upozorňujeme, že 4.16.18 je poslední aktualizací řady 4.16.

Archivy LKML na lore.kernel.org

LKML archives on lore.kernel.org. Jake Edge. 22. června 2018

Na lore.kernel.org je nyní k dispozici nový archiv příspěvků (od roku 1998) z poštovní konference linux-kernel (LKML). Založený je na public-inbox (článek z února), který umožňuje mj. stáhnout celý archiv přes Git: „Na konci každé stránky jsou URL pro Git clone. Podotýkáme, že archiv LKML je vzhledem ke své velikosti rozdělený do více repozitářů, každý z nich velký 1 GB. Vedle klonování na lore.kernel.org se k těmto repozitářům dostanete také na git.kernel.org.“ Úplné oznámení s informacemi o nové instanci Patchwork a pokyny k odkazování na nový archiv je k přečtení na kernel.org.

Citáty týdne

Quotes of the week. Jonathan Corbet. 27. června 2018

Je to boj, vyvážit nekonečný příliv žádostí o revize naivního nebo jinak nedokonalého kódu s jinými důležitými vývojovými prioritami, takže *opravdu rozumím, jak je to frustrující*.

Navíc je extra otravné vypořádávat se s hromadami momentálních vývojářských žádostí, když se sami musíte věnovat údržbě v dlouhodobém časovém horizontu. Ale v opravdu dlouhodobém časovém horizontu nikdo není správcem věčně a nové olympijské plavce si nikdy nevychováme, když budeme pořád čůrat do bazénu.

John Stultz

Čítač Reported-by jednoznačně říká, že jsi rocková hvězda.

Dan Carpenter

Podpora Control-Flow Enforcement v jádře

Kernel support for control-flow enforcement. Jonathan Corbet. 25. června 2018

Útočníci se od doby, kdy přišli o možnost snadno spouštět kód uložený v paměti s možností zápisu, začali více zabývat „programováním zaměřeným na instrukce návratu“ (return-oriented programming, ROP) a souvisejícími technikami ke kompromitování zranitelných systémů. Útoky ROP využívají kódu v programu, na který útočí, a těžko se jim brání softwarovými prostředky. Tudíž se možnostmi, jak se vypořádat s technikami jako ROP na nižší úrovni, zabývají výrobci hardwaru. Jedním z výsledků je Intel Control-Flow Enforcement Technology [PDF] (CET), která pro obranu před těmito útoky přidává dva mechanismy (stínové zásobníky a sledování nepřímého větvení). Skupinu patchů ukazujících, jak tuto technologii použít k obraně linuxových systémů, nedávno zveřejnil Yu-cheng Yu.

Patche přidávající podporu CET byly rozděleny do čtyř samostatných skupin: podpora a dokumentace CPUID, nějaké práce na správě paměti, stínové zásobníky a sledování nepřímého větvení (indirect-branch tracking, IBT). Současné patche podporují pouze 64bitové systémy a CET pouze v případě kódu v uživatelském prostoru. Budoucí revize by měly odstranit obě tato omezení.

Útoky ROP obecně fungují tak, že se na zásobník načte skupina umělých rámců volání, z nichž každý „se vrací“ do pečlivě zvoleného kusu kódu. Zřetězením těchto „gadgetů“ ROP může útočník vyvolat spuštění dostatku užitečného kódu k tomu, aby ovládl systém. V každém větším programu je „gadgetů“ hojnost a možnost „vrátit se“ doprostřed vícebajtové instrukce tak, že dostaneme zcela jinou posloupnost operací, tomu na systémech s architekturou x86 napomáhá ještě víc. Běžící program samozřejmě může zapisovat na zásobník – ten obsahuje kombinaci informací o řízení toku programu (např. návratové adresy) a jiných dat. Je to právě ta kombinace, která činí útoky ROP proveditelnými.

Jeden způsob, jak tyto útoky zmařit, je přesunout návratové adresy do jiného kontextu, kde s nimi nejde dělat neplechu. To je ústřední myšlenka stínových zásobníků. Ve stručnosti: když jsou stínové zásobníky povoleny, volání funkce uloží návratovou adresu jak na obyčejný zásobník, tak na zvláštní stínový zásobník. Když se narazí na instrukci návratu, návratová adresa se vezme z obou zásobníků a porovná – pokud se neshodují, dojde k chybě. O operace přidání na zásobník a odebrání z něj se stará procesor. Jestliže útočník nemůže zasahovat do stínového zásobníku, mělo by se tak účinně zabránit užití instrukce návratu k odklonu od kýženého běhu programu.

Aby se zabránilo takovým zásahům, stínový zásobník vyžaduje zvláštní zacházení. Alokuje se v rozsahu virtuální paměti a základ adresy se uloží do registru specifického pro model (model-specific register, MSR). Stránky stínového zásobníku musejí mít nastavenu nezvyklou kombinaci bitů: pouze pro čtení, ale dirty. Doposud stav dirty používalo téměř výhradně jádro, a to ke sledování stránek, které bylo potřeba zapsat na fyzické úložiště, ale stínové zásobníky se bez něj neobejdou. Tudíž se ve stránkovacích tabulkách musí alokovat nový bit „software dirty“, který nahrazuje dosavadní hardwarový bit dirty.

Ochrana stínového zásobníku pouze pro čtení by měla útočníkům zabránit v přidávání vlastních zvláštních záznamů – pokud tuto ochranu nelze změnit. Co se toho týče, stínové zásobníky se alokují ve zvláštním druhu oblasti virtuální paměti (virtual-memory area, VMA), který je označen nový příznakem VM_SHSTK. Systémová volání jako madvise(), mprotect(), mremap() a munmap() nad VMA stínového zásobníku odmítnou pracovat. Přibyla skupina nových operací arch_prctl(), které se stínovými zásobníky pracovat budou. Popsán je v tomto dokumentačním patchi. Předpokládá se, že tato — neprivilegovaná – volání se použijí při spuštění programu, aby zásobník připravila. Jedno z nich (ARCH_CET_LOCK) jde použít k tomu, aby se zabránilo vypnutí stínových zásobníků (a IBT).

Stínových zásobníků se dotýká jeden zajímavý problém, a sice jak interagují s retpoline používaným k rušení druhé varianty útoků Spectre. Retpoline nahrazuje nepřímé volání funkce (tj. když adresa funkce se určí za běhu programu) posloupností instrukcí, která blízce připomíná útok ROP, takže nebude fungovat současně se stínovými zásobníky. Intel (v kapitole 4.3 tohoto dokumentu [PDF]) tvrdí, že retpoline není na procesorech s podporou CET potřeba. Doufejme, že se nedočkáme žádných překvapení, která by si vynutila volbu pouze jedné z těchto dvou technologií.

„Programování zaměřené na skoky“ (jump-oriented programming) je technika podobná ROP, ale zneužívá nepřímé skoky a volání funkcí. Jedna možnost, jak tyto útoky výrazně omezit, je zabránit skokům do všech oblastí, do kterých se se skoky nepočítalo. IBT toho dosahuje tím, že přidává dvojici nových instrukcí (endbr32 a endbr64), které slouží jako „žádné“ operace, ale udávají možný cíl nepřímého skoku. Starší procesory bez podpory CET je budou interpretovat jako „žádné“ instrukce. S povoleným IBT bude procesor vyžadovat, aby instrukce endbr byla první po nepřímém skoku: pokud se narazí na něco jiného, dojde k chybě.

Stínové zásobníky by se měly programům, které s návratovými adresami na zásobníku nedělají nic divného, jevit v zásadě transparentní. IBT je ale jiné. Je-li povoleno, spuštěný program musel být přeložen tak, aby na správných místech byly vloženy instrukce endbr. IBT nelze povolit, když patřičně přeložený program vyžaduje knihovnu, která tak přeložena nebyla, v takovém případě se program rozbije. Takže zavaděč ELF na systémech s povoleným CET bude muset krom jiného zkontrolovat, zda jsou všechny knihovny kompatibilní s CET, a CET povolit pouze tehdy, když na to budou všechny komponenty připraveny.

Nicméně, to nepokrývá jeden pozoruhodný případ: program může při spuštění vyžadovat pouze knihovny, které jsou s CET kompatibilní, ale později zavolat dlopen(), aby načetl knihovnu, která s CET nepočítá. V takové situaci připadají v úvahu toliko dvě možnosti: buď CET pro tento proces vypnout, nebo operace selže. Pokud byla vyvolána výše popsaná operace ARCH_CET_LOCK, zbyde pouze druhá možnost. Takže ji lze použít jen za cenu značného rizika rozbití programů, když bude IBT povoleno.

To vedlo k dlouhé diskuzi, zda vůbec ARCH_CET_LOCK dává nějaký smysl. Kees Cook zastával pozici, že bez ní útočníci před provedením útoku zaměří veškeré úsilí na to, jak vypnout CET. Andy Lutomirsky odpověděl, že útočník bude mít ve chvíli, kdy dokáže vypnout CET, beztak moc nad systémem a CET vlastně nic nezmůže. Zatím není jasné, co s tím.

Když odhlédneme od sporů nad těmito detaily, zdá se, že (aspoň mimo říši grsecurity) o funkci CET nikdo nemá starosti. Mělo by to systém učinit výrazně odolnějším vůči některým rozšířeným technikám útoků, a to zřejmě bez obětí v podobě výkonu či pohodlí. Je ale možné, že tato technologie přijata nebude, dokud nedokáže pokrýt i jaderný kód, protože právě na něj se mnoho útoků zaměřuje. Takže na podporu CET v Linuxu nedojde v nejbližší době, ale to platí i pro dostupnost procesorů s CET.

       

Hodnocení: 100 %

        špatnédobré        

Nástroje: Tisk bez diskuse

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

19.7.2018 00:43 pc2005 | skóre: 37 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Jaderné noviny – 28. 6. 2018: Podpora Control-Flow Enforcement v jádře
Já bych tam rovnou dal servisní procesor, který by kontroloval kroku hlavního procesoru :-D.
ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.