[JT] снова проблемы от security fixes? (WAS: Re: [sisyphus] Shared memory - HELP PLEASE!)
Sergey Vlasov
=?iso-8859-1?q?vsu_=CE=C1_altlinux=2Eru?=
Чт Мар 25 16:12:23 MSK 2004
On Thu, Mar 25, 2004 at 02:58:03PM +0200, Andrei Bulava wrote:
> On Thu, 25 Mar 2004, Sergey Vlasov wrote:
>
> <skip>
>
> > Видимо, придётся либо убирать CONFIG_HARDEN_SHM, либо добавлять
> > какую-то возможность настройки этого поведения
> > (/proc/sys/kernel/shm_destroy_unused ?)
> >
>
> No offense or flame, pls. Однако на моей памяти это уже не первая
> попытка сначала закрутить гайки, а потом, когда пользователи
> плачут, колются, но продолжают кушать кактус, искать слесарный
> инструмент :-(((
>
> У меня тоже зачастую нечем отмахаться от фанатов других
> дистрибутивов в такие щекотливые моменты, ибо моих скромных
> способностей не хватает для обоснованной аргументации против
> фанатизма. Нести в массы ALT Linux на родине BCL - то ещё
> развлечение ;-(
>
> Предлагаю принять меры по освещению новых затяжек гаек в области
> безопасности, чреватых нарушением работы ПО. Из чтения changelog
> ядра этого не видно :-(
>
> Или плохо / не туда смотрю?
Последний раз подобные настройки менялись в 2.4.22-alt13 - там была
добавлена проверка флага монтирования noexec при выполнении mmap с
флагом PROT_EXEC, чтобы заблокировать обходной метод запуска
исполняемых файлов с таких файловых систем через прямой вызов
/lib/ld-linux.so.2. Позднее этот патч вошёл в upstream (в 2.4.25).
Ну а в 2.4.22-alt11 включили защиту от исполнения кода в стеке и
урезали доступ к /proc (средствами патча Openwall). Всё это
написано в changelog ядра.
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип : application/pgp-signature
Размер : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url : <http://lists.altlinux.org/pipermail/sisyphus/attachments/20040325/61187bad/attachment-0003.bin>
Подробная информация о списке рассылки Sisyphus