Jaderné noviny – 27. 9. 2012: Ochrana proti exploitům díky SMAP (diskuse)

Autoři ovladačů by měli vědět, že nemohou v jádře přímo dereferencovat ukazatel z uživatelského prostoru.

Nejsem sice kernel ani driver vývojář a o Linuxu toho moc nevím, ale jak se má tedy jádro nebo driver chovat když mu uživatel řekne "hele tady je pointer na ta data co jsme si domluvili v dokumentaci, tak je zpracuj, ale možná jsem ti kecal"?

Teda kromě očividného přístupu: všechna data pečlivě zkontrolovat. Nojo ale to se děje až po dereferencování toho ukazatele.

15.10.2012 01:04 Sten
Rozbalit Rozbalit vše Re: Jaderné noviny – 27. 9. 2012: Ochrana proti exploitům díky SMAP

Jaderný kód má ta data zkopírovat speciální funkcí mimo userspace a až tam nad nimi dumat, jinak to umožňuje obcházet bezpečnost pomocí raců

15.10.2012 02:52 Marek
Rozbalit Rozbalit vše Re: Jaderné noviny – 27. 9. 2012: Ochrana proti exploitům díky SMAP

A když má mít nějaká jaderná funkce výstup? To zapíše data na adresu podstrčenou z aplikace?

Až teď mi došlo - ta aplikace může podstrčit adresu pouze ze svého adresního prostoru, takže přinejhorším podělá sama sebe.

15.10.2012 09:01 Sten
Rozbalit Rozbalit vše Re: Jaderné noviny – 27. 9. 2012: Ochrana proti exploitům díky SMAP

No, ona by mohla podstrčit i adresu z adresního prostou jádra, ale to právě ty speciální kopírovací funkce pro komunikaci s user space sledují. Proto by jaderný kód neměl používat ukazatele přímo.

Ad SMAP: Nějak jsem nepochopil jak to má fungovat. Driver jako modul nebo jako součást kernel image může přepsat paměť userlandu a tak mu to zakážeme novou superochranou, která ale půjde driverem jako modul nebo jako součástí kernel image vypnout pomocí zbrusu nových instrukcí? (které navíc zmenší množinu instrukčních slov)

Intel meltdown a = arr[x[0]&1]; karma | 帮帮我，我被锁在中国房

16.10.2012 10:16 Atom321 | skóre: 20
Rozbalit Rozbalit vše Re: Jaderné noviny – 27. 9. 2012: Ochrana proti exploitům díky SMAP

Na pochopení je potřeba přečíst článek celý.

16.10.2012 14:10 pc2005
Rozbalit Rozbalit vše Re: Jaderné noviny – 27. 9. 2012: Ochrana proti exploitům díky SMAP

Uf přísahal bych, že to tam včera večer nebylo :-D

(ale dík za upozornění).

Každopádně v copy_to_.. funkcích ten přístup povolenej bude, takže je stačí ukecat, aby zapsaly kam nemají. Jinak ale ukecání jádra, aby zapsalo na špatný pointer je imho chyba ochrany jádra od přístupu ze strany userlandu. To bylo zřejmě příčinou nedorozumění, protože když už jsem jednou v kernelu jako kód, tak už userland ten SMAP neochrání.

16.10.2012 20:20 Atom321 | skóre: 20
Rozbalit Rozbalit vše Re: Jaderné noviny – 27. 9. 2012: Ochrana proti exploitům díky SMAP

Přesně tak. Tohle donutí programátora použít funkce copy_to_xxx, které pointery kontrolují. IMHO se to hodí zejména na uzavřené moduly třetích stran, které nemají Linuxoví hackeři pod kontrolou (VMware, nVidia). Tam se nedůsledné kontroly - rychlost místo bezpečnosti nebo prostě jen bordel - celkem dají čekat.

17.10.2012 09:41 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Jaderné noviny – 27. 9. 2012: Ochrana proti exploitům díky SMAP

uzavřené moduly třetích stran, které nemají Linuxoví hackeři pod kontrolou (VMware, nVidia)

Ten VMware bych zrovna jako příklad nejmenoval. Jejich moduly jsou open source a přinejmenším podstatnou část z nich se VMware opakovaně snaží dostat do upstreamu (naposledy předevčírem submitnuli vmci a vsock), přičemž důvodem, proč to bylo dosud odmítáno, nebyla kvalita kódu.

17.10.2012 12:04 Atom321 | skóre: 20
Rozbalit Rozbalit vše Re: Jaderné noviny – 27. 9. 2012: Ochrana proti exploitům díky SMAP

Děkuji za upozornění. Nějak jsem smotal své dřívější (notně staré) zkušenosti s VMware a zprávičku o potížích s drivery VirtualBoxu.

VMware je v tom nevinně, omlouvám se.

16.10.2012 13:54 Sten
Rozbalit Rozbalit vše Re: Jaderné noviny – 27. 9. 2012: Ochrana proti exploitům díky SMAP

Jak stojí ve článku: pokud jádro něco chce udělat, tak se neuchrání nikdo, ale na ochranu před útočníkem, který hackne (v původním významu :-)

) jádro, je to hodně účinné