Hlavní navigace

Gentoo Hardened a Stack Clash

Jan Fikar

Včera vývojáři Gentoo zveřejnili na své wiki stránce vyčerpávající popis nedávno objevené chyby Stack Clash. Jednoduchou dočasnou opravou je zvětšit guard-page ze současných 4 kB na větší hodnotu, touto cestou se vydala většina distribucí (např. Ubuntu, Red Hat).

Například PaX kernel má guard-page 64 kB a hodnotu lze jednoduše zvětšit zápisem do   /proc/sys/vm/heap_stack_gap. Ani velké hodnoty však nemusí být bezpečné, navíc velké hodnoty mohou přinášet problémy na 32bitových architekturách.

Oproti tomu Gentoo Hardened je již od gcc-4.8 celé přeložené s volbou -fstack-check=specific (použije novější test, v současnosti je to stejné jako pouhé -fstack-check). Jediné dva programy mají tento parametr vypnutý a to vlc (všude) a tcl (na architektuře HPPA) kvůli problémům s překladem.

Navíc doporučené jádro hardened-sources používá patche PaX, má tedy zvýšenou entropii pro ASLR a používá Deter exploit bruteforcing, kdy útoky na SUID binárky jsou uměle zpomalovány.

Našli jste v článku chybu?