[Comm] Уязвимости , связанные с переполнением буфера

[Denis Smirnov]

Vitaly Lipatov wrote:

>On Sunday 23 October 2005 14:10, Денис Смирнов wrote:
>  
>
>>Неисполняемый стек, который у нас только в ядрах 2.4 (с
>>патчами от openwall) улучшает ситуацию, не решая её полностью.
>>    
>>
>А, вот я про это и спрашивал. Спасибо!
>Но это же важно знать, что в 2.4 такое было, а в 2.6 - нет... 
>Жаль что нет, это было важным преимуществом.
>  
>
Это был патч от openwall.

Openwall это такие умные параноики, которые считают что система должна 
быть надёжной, и что пытаться сделать глюкалку безопасной смысле не имеет.

Как только ветка 2.6 по их мнению будет пригодна для серверов, эти патчи 
буду портированы на 2.6.

Есть другой путь -- пытаться использовать у себя grsecurity патч. Вещь 
интересная, но помнится против него в devel/devel-kernel высказывались 
матюки и обоснования почему в наших ядрах этой радости нет.

Моё личное IMHO -- надо разбираться с SElinux, и чтобы не было глюков 
первое время (год-два) использовать его в режиме "всё разрешено, что не 
запрещено", а мантейнеры пакетов по желанию могут закручивать гайки для 
конкретных сервисов.