Новости IT, хостинга
  Android, Apple, Facebook, Google, Linux, Microsoft, Samsung, Twitter, Интернет, Россия, браузеры, обновление ПО, онлайн-сервисы, операционные системы, планшеты, рынок ИТ, сделки, смартфоны, социальные сети, уязвимости  
  новостей: 10385
  комментариев: 3200

Для OpenSSH реализована поддержка дополнительной изоляции


Разработчики OpenBSD реализовали новый режим изоляции "UsePrivilegeSeparation=sandbox", использующий rlimit и systrace для более жесткой изоляции кода, работающего на стадии до начала аутентификации (pre-auth privsep child). Новые ограничения задействованы в дополнение к уже используемому сбросу прав до непривилегированного пользователя и помещению процесса в chroot-окружение /var/empty, которые, например, не могли препятствовать выполнению системных вызовов к ядру и использованию сокетов.

Пока метод работает только в OpenBSD и использует систему systrace для ограничения числа допустимых системных вызовов. В будущих выпусках OpenBSD представленная опция будет использована по умолчанию. Для других систем представлен модуль-заглушка, который позволяет задействовать подсистемы ограничения системных вызовов других ОС. При использовании данной защиты в случае поражения через уязвимость в OpenSSH злоумышленник не сможет организовать атаку на локальную систему (например, эксплуатировать локальную уязвимость в ядре для повышения прав) и другие хосты (создать сокет, запустить прокси и т.п.).

Дополнительно, подготовлена универсальная реализация упрощенного sandbox, использующая setrlimit для установки в ноль лимитов на число файловых дескрипторов, число процессов и размер создаваемого файла.


Источник: opennet.ru

  26 июля 2011 588
Версия для печати

← предыдущая новость следующая новость →

Мой комментарий
Ваше имя*:
Email:
Комментарий*:
Зарегистрироваться автоматически: Вы будете зарегистрированы на сайте автоматически при добавлении комментария. Обязательно заполните поле Email для этого.
Сумма чисел 1 и 10*:            


Хостеры (2472)
HostDB (35)
Софт (2640)
Железо (993)
Интернет (1435)
Статистика и аналитика (3324)




Отправить сообщение администратору

Сумма чисел 29 и 7*:


Яндекс цитирования
сообщить о неточности