Včera vývojáři Gentoo zveřejnili na své wiki stránce vyčerpávající popis nedávno objevené chyby Stack Clash. Jednoduchou dočasnou opravou je zvětšit guard-page ze současných 4 kB na větší hodnotu, touto cestou se vydala většina distribucí (např. Ubuntu, Red Hat).
Například PaX kernel má guard-page 64 kB a hodnotu lze jednoduše zvětšit zápisem do /proc/sys/vm/heap_stack_gap
. Ani velké hodnoty však nemusí být bezpečné, navíc velké hodnoty mohou přinášet problémy na 32bitových architekturách.
Oproti tomu Gentoo Hardened je již od gcc-4.8 celé přeložené s volbou -fstack-check=specific
(použije novější test, v současnosti je to stejné jako pouhé -fstack-check
). Jediné dva programy mají tento parametr vypnutý a to vlc (všude) a tcl (na architektuře HPPA) kvůli problémům s překladem.
Navíc doporučené jádro hardened-sources používá patche PaX, má tedy zvýšenou entropii pro ASLR a používá Deter exploit bruteforcing, kdy útoky na SUID binárky jsou uměle zpomalovány.