pro-police...
Jakub Bogusz
qboosh w pld-linux.org
Czw, 8 Sty 2004, 23:05:44 CET
On Wed, Jan 07, 2004 at 03:21:33PM +0100, Paweł Sikora wrote:
> On Wednesday 07 of January 2004 14:54, Fryderyk Dziarmagowski wrote:
> > On Wed, 7 Jan 2004 00:28:03 +0100
> >
> > Paweł Sikora <pluto w ds14.agh.edu.pl> wrote:
> > > wzialem sie za przebudowanie mojego systemu z latka
> > > gcc:stack-protecktor (aka pro-police) wykorzystywana m.in w openbsd.
> > > pomijajac kilka pakietow, ktore mi sie nie zbudowaly
> > > (glownie vide automake-1.8) zabieram sie wlasnie za qt...
> > > jesli to pozniej ruszy i sie nie wykrzaczy, to bedziemy mieli
> > > more-secure distro. o dalszych niepowodzeniach zamelduje
> > > po wykonaniu zadania... :)
> >
> > jak ta rzecz ma się do wydajności/szybkości aplikacji, w których "większ
> > e bezpieczeństwo" zostaje zastosowane?
>
> zasadniczo ssp to tylko jeden prosty if w kodzie funkcji,
> (http://www.trl.ibm.com/projects/security/ssp/node4.html)
> a wiec wydajnosc raczej nie ucierpi zbytnio.
ieeee.
Raczej złudna ta poprawa bezpieczeństwa.
Przepełnienie stałego bufora na stosie jest dosyć oczywiste i w miarę
łatwe do znalezienia - i na szczęście już mało kto robi takie głupoty.
Ostatnie poważne dziury były bardziej subtelne, i na nie żadne propolisy
nie pomagały.
[...]
> z flaga: -fno-stack-protector: # ./a.out
> Naruszenie ochrony pamięci
>
> z flaga: -fstack-protector: # ./a.out
> a.out: stack smashing attack in function int test()Przerwane
I mamy DoS zamiast ewentualnego wykonania kodu.
Trochę lepiej, ale polowania na dziury to nijak nie zastąpi.
> ps).
> udalo mi sie wywrocic kompilator:
> http://gcc.gnu.org/bugzilla/show_bug.cgi?id=13597
>
> kilka testow i doszedlem, ze bez protektora kompilator nie lapal ice'a.
> zaaplikowalem wiec nowsza wersje latki propolice, przekompilowalem gcc
> i kompilator juz sie nie wywraca na qt (no przynajmniej przy -O.
> jeszze sprawdze czy na -O2 przejdzie).
Jeśli powoduje problemy z kompilatorem, tym bardziej nie warto.
--
Jakub Bogusz http://cyber.cs.net.pl/~qboosh/
Więcej informacji o liście dyskusyjnej pld-devel-pl