Openwall Linux kernel patch 2.4.37.4-ow1

8.9/10 (36 أصوات )

الترجمة الالية للوصف
Openwall نواة لينكس قطعة هي عبارة عن مجموعة من السمات المتصلة بالأمن لنواة لينكس ، وعبر جميع شكلي الجديد 'الأمن الخيارات' التكوين الباب. بالإضافة إلى ميزات جديدة ، وبعض النسخ من احتواء البقعة الأمنية المختلفة fixes.The يحدد عدد من هذه التغييرات على نسخة من النص ، لأن بعض أصبحت بالية (مثل بسبب نفس المشكلة مع الحصول ثابتة جديدة الافراج عن النواة) في حين أن غيرها من المسائل الأمنية discovered.Non بين المستخدم للتنفيذ كومة area.Most عازلة الفائض يستغل تقوم على وظيفة الكتابة عودة معالجة على كومة أن نشير إلى بعض رمز التعسفي ، وهو ايضا فوق الكومة. إذا كان المجال هو كومة غير تنفيذي ، عازلة الفائض الضعف لتصبح أكثر صعوبة استغلال. وهناك طريقة أخرى لاستغلال الفائض عازلة هو نقطة أمام عودة وظيفة في libc عادة النظام (). هذا التصحيح أيضا تغييرات الافتراضية معالجة مشتركة للمكتبات mmap () 'في طبعة لجعله دائما تتضمن الصفر البايت. وهذا يجعل من المستحيل تحديد أي مزيد من البيانات (البارامترات وظيفة ، أو أكثر من نسخة من العودة معالجة عند ملء مع نمط) -- في كثير من يستغل التي تتعلق ASCIIZ الاوتار. ومع ذلك ، نلاحظ أن هذا التصحيح ليس بأي حال من الأحوال حلا كاملا ، ويسكب طبقة إضافية للأمن. كثير من الفائض عازلة للاستغلال نقاط الضعف وستظل أكثر تعقيدا ، وحتى في بعض وسوف تظل غير متأثرة التصحيح. وسبب استخدام هذه البقعة هو للحماية من بعض نقاط الضعف الفائض الفاصلة التي لا يزال مجهولا. أيضا ، نلاحظ أن بعض عازلة المفرطة يمكن أن تستخدم في هجمات الحرمان من الخدمة (عادة ما تكون في غير respawning شبكة العملاء والشياطين). وهناك مثل هذا التصحيح لا يستطيع فعل أي شيء ضد ذلك. ومن المهم أن تحدد نقاط الضعف في أقرب وقت لأنها أصبحت معروفة ، حتى لو كنت تستخدم التصحيح. وينطبق الشيء نفسه على ميزات أخرى للقطعة (تناقش أدناه) وما يقابلها من نقاط الضعف. مقيد في الروابط / tmp.I 'هاء أضاف صلة في تقييد ر أصلا لينكس 2.0 فقط ، واندرو Tridgell. لقد تحديث لمنع ذلك من صعوبة في استخدام وصلة في هجوم بدلا من ذلك ، بعدم السماح للمستخدمين العادية من الصعب إيجاد صلة الملفات أنهم لا يملكون ، إلا إذا كانوا يستطيعون القراءة والكتابة في الملف (بسبب مجموعة أذونات). عادة ما يكون هذا السلوك المرغوب فيه على أية حال ، لأنه بغير ذلك لا يمكن للمستخدمين إزالة هذه الروابط انهم مجرد إنشاء دليل على (لسوء الحظ ، فإن هذا لا يزال ممكنا لمجموعة ملفات للكتابة) ، وذلك بسبب نظام الحصص القرص. لسوء الحظ ، فإن هذا قد كسر التطبيقات الحالية. مقيدة في FIFOs / tmp.In بالإضافة إلى الحد من الصلات ، قد ترغب أيضا في الحد من يكتب في غير موثوق FIFOs (اسمه الأنابيب) ، لجعل البيانات بالتحايل الهجمات صعوبة. ويرفض هذا الخيار لتمكين الكتابة إلى FIFOs ليست ملكا للمستخدم طن في الأدلة ، إلا إذا كان المالك هو ذاته دليل على أن من FIFO أو فتح دون علم O_CREAT. مقيد / proc.This الأصل التصحيح من قبل أن الطريق الوحيد إلى تغيير الأذونات على بعض الأدلة في / إجراءات ، لذلك كان لا بد من الوصول اليها من جذورها. ثم كانت هناك بقع مماثل من قبل الآخرين. لقد وجدت كل منها تماما غير قابلة للاستخدام في الأغراض بلدي ، وعلى النظام فيها عدد من مدراء أردت أن تكون قادرا على رؤية كل العمليات وغيرها ، من دون جذور سو (أو استخدام sudo) في كل مرة. لذلك كنت لخلق بلدي البقعة التي تتضمن خيار here.This يقيد على أذونات / إجراءات حتى غير الجذر يمكن للمستخدمين انظر العمليات الخاصة بها فقط ، وشيئا عن شبكة اتصالات ، ما لم يكن أنهم في فئة خاصة. هذه المجموعة هي هوية محددة عن طريق دائرة المخابرات العامة = يشن الخيار ، و0 افتراضي. (ملاحظة : إذا كنت تستخدم identd ، ستحتاج إلى تحرير inetd.conf لتشغيل خط identd هذا الفريق الخاص.) ، كما ان هذا العجز dmesg (8) للمستخدمين. قد ترغب في استخدام هذا النظام المتكامل قذيفة على الخادم حيث الخصوصية هي مسألة. علما بأن هذه القيود الاضافية يمكن تجاوزها مع مسلي الوصول المادي) دون الحاجة إلى إعادة تشغيل الكمبيوتر). وعند استخدام هذا الجزء من التصحيح ، ومعظم البرامج ووظائف العليا ، والذين (العمل المطلوبة -- إلا أنها تظهر عمليات هذا المستخدم) ما لم يتم استئصال أو في مجموعة خاصة ، أو تعمل مع القدرات ذات الصلة على 2.2) ، ولا يشكو ولا يمكنهم الوصول إلى أخرى. بيد أن هناك مشكلة معروفة مع ث (1) في النسخ الأخيرة من procps ، لذا ينبغي أن تدرج في تطبيق التصحيح على procps إذا كان ذلك ينطبق عليك. ما الجديد في هذا الإصدار : [سجل التغيير قراءة كاملة] الدعم لنواة لينكس 2.4.37.3



  • مرات التنزيل: 297
  • متطلبات التشغيل:
  • الحجم:
  • الترخيص:
  • الاصدار : patch
  • اضيف في: 2009-04-08 00:00:00
  • اخر تحديث: 04/08/2009
  • الموقع علي الانترنت:



استخدام البرامج التي تم تنزيلها من موقعنا يجب أن يكون وفقاً للقوانين في بلدك.لا نوصي باستخدام برامج تنتهك القوانين في بلدك.،اذا كنت تري ان هذا المحتوي لا يتوافق مع حقوق الملكية الفكرية برجاء ابلاغنا بالضغط هنا



Description



Openwall Linux kernel patch is a collection of security-related features for the Linux kernel, all configurable via the new 'Security options' configuration section. In addition to the new features, some versions of the patch contain various security fixes.The number of such fixes changes from version to version, as some are becoming obsolete (such as because of the same problem getting fixed with a new kernel release), while other security issues are discovered.Non-executable user stack area.Most buffer overflow exploits are based on overwriting a function's return address on the stack to point to some arbitrary code, which is also put onto the stack. If the stack area is non-executable, buffer overflow vulnerabilities become harder to exploit. Another way to exploit a buffer overflow is to point the return address to a function in libc, usually system(). This patch also changes the default address that shared libraries are mmap()'ed at to make it always contain a zero byte. This makes it impossible to specify any more data (parameters to the function, or more copies of the return address when filling with a pattern), -- in many exploits that have to do with ASCIIZ strings. However, note that this patch is by no means a complete solution, it just adds an extra layer of security. Many buffer overflow vulnerabilities will remain exploitable a more complicated way, and some will even remain unaffected by the patch. The reason for using such a patch is to protect against some of the buffer overflow vulnerabilities that are yet unknown. Also, note that some buffer overflows can be used for denial of service attacks (usually in non-respawning daemons and network clients). A patch like this cannot do anything against that. It is important that you fix vulnerabilities as soon as they become known, even if you're using the patch. The same applies to other features of the patch (discussed below) and their corresponding vulnerabilities. Restricted links in /tmp.I've also added a link-in- t restriction, originally for Linux 2.0 only, by Andrew Tridgell. I've updated it to prevent from using a hard link in an attack instead, by not allowing regular users to create hard links to files they don't own, unless they could read and write the file (due to group permissions). This is usually the desired behavior anyway, since otherwise users couldn't remove such links they've just created in a t directory (unfortunately, this is still possible for group-writable files) and because of disk quotas. Unfortunately, this may break existing applications. Restricted FIFOs in /tmp.In addition to restricting links, you might also want to restrict writes into untrusted FIFOs (named pipes), to make data spoofing attacks harder. Enabling this option disallows writing into FIFOs not owned by the user in t directories, unless the owner is the same as that of the directory or the FIFO is opened without the O_CREAT flag. Restricted /proc.This was originally a patch by route that only changed the permissions on some directories in /proc, so you had to be root to access them. Then there were similar patches by others. I found them all quite unusable for my purposes, on a system where I wanted several admins to be able to see all the processes, etc, without having to su root (or use sudo) each time. So I had to create my own patch that I include here.This option restricts the permissions on /proc so that non-root users can see their own processes only, and nothing about active network connections, unless they're in a special group. This group's id is specified via the gid= mount option, and is 0 by default. (Note: if you're using identd, you will need to edit the inetd.conf line to run identd as this special group.) Also, this disables dmesg(8) for the users. You might want to use this on an ISP shell server where privacy is an issue. Note that these extra restrictions can be trivially bypassed with physical access (without having to reboot).When using this part of the patch, most programs (ps, top, who) work as desired -- they only show the processes of this user (unless root or in the special group, or running with the relevant capabilities on 2.2 ), and don't complain they can't access others. However, there's a known problem with w(1) in recent versions of procps, so you should apply the included patch to procps if this applies to you. What's New in This Release: [ read full changelog ]

· Support for Linux kernel 2.4.37.3



Moshax.com only provide legal software, please help us keeping pur site legal, if you think this page is violating copyrights please let us know by clicking here Here





التعليقات علي Openwall Linux kernel patch 2.4.37.4-ow1
اضافة تعليق

تعليقات الفيسبوك

تعليقات الموقع