Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

The GHOST Vulnerability

[es] :: Advocacy :: The GHOST Vulnerability

[ Pregleda: 2537 | Odgovora: 4 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

Texas Instruments

Član broj: 227540
Poruke: 263
95.180.68.*



+61 Profil

icon The GHOST Vulnerability28.01.2015. u 23:17 - pre 70 meseci
http://www.zdnet.com/article/critical-linux-security-hole-found/

Još jedan bug u glibc-u sa gethostbyname*() setom funkcija (otuda i naziv za bug GetHOSTbyname).

Citat:
Qualys has developed a proof-of-concept in which simply sending a specially created e-mail to a mail server enabled them to create a remote shell to the Linux machine. According to Qualys, "This bypasses all existing protections (like ASLR, PIE and NX) on both 32-bit and 64-bit systems."

https://community.qualys.com/b.../01/27/the-ghost-vulnerability

Pitam se, koliko će se ovakvi bagovi smanjiti kada se pojavi http://en.wikipedia.org/wiki/Intel_MPX.
 
Odgovor na temu

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 16058
...kabel-badenwuerttemberg.de.



+6856 Profil

icon Re: The GHOST Vulnerability29.01.2015. u 08:38 - pre 70 meseci
Koliko razumem, MPX ce zahtevati rekompajliranje softvera.

Ako se doda to da ce MPX biti dostupan samo od Intel Skylake arhitekture, mislim da ce biti potrebno vise godina dok upotreba ne zazivi masovno. Problem je sto ce aplikacije kompajlirane sa MPX podrskom raditi samo na CPU-ovima Skylake i novijih arhitektura, koje ce biti mali % ukupnog PC trzista neko vreme.

Verovatno ce Intel kompajleri moci da generisu opcionalni MPX kod, kao deo per-CPU optimizacija, ali te stvari povecavaju velicinu koda tako da ne znam koliko vendora distribuira binarni kod koji ima u sebi mnostvo per-CPU verzija koda.

Ne sumnjam da ce kod kompajliran sa MPX podrskom biti nesto sigurniji (i to je odlicna stvar), ali bice potrebno vreme da to zazivi.

I, naravno, danas gomila kriticnog koda (za sigurnost) trci na ne-Intel procesorima, po "pametnim" telefonima i tabletima.

Koliko se secam, ARM je imao nesto slicno (ThumbEE), doduse namenjeno JIT kompilaciji. ThumbEE se nije bas proslavio i ARM ga je poslao u istoriju sa ARMv8 arhitekturom. Pretpostavljam da ce MPX imati vise uspeha posto cilja na siru upotrebu + za razliku od ARM-a, koji cilja i na vrlo low-end uredjaje (gde je visak tranzistora zaista visak), Intel moze da priusti tranzistorski budzet za MPX registre na njihovim mainstream procesorima a da se to prakticno ne oseti sto se end-usera tice.
DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1
Demo Videos: http://www.digicortex.net/node/17
Gallery: http://www.digicortex.net/node/25
 
Odgovor na temu

EArthquake

Član broj: 20684
Poruke: 884
*.dynamic.sbb.rs.



+67 Profil

icon Re: The GHOST Vulnerability29.01.2015. u 10:20 - pre 70 meseci
Broj bagova se nece smanjiti , samo ce ih eventualno biti teze exploit-ovati.
Postoje vec soft resenja koja postizu slicnu stvar kroz prosirenja za kompajlere koji
obezbedjuju temproal memory safety i spatial memory safety.
Npr. SoftBound (http://www.cs.rutgers.edu/~santosh.nagarakatte/softbound/).
 
Odgovor na temu

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 16058
...kabel-badenwuerttemberg.de.



+6856 Profil

icon Re: The GHOST Vulnerability29.01.2015. u 14:14 - pre 70 meseci
Tacno, resenja postoje. Ali problem sa softverskim resenjima je taj sto zahtevaju da ih prvo neko implementira.

Na zalost, stanje u softverskoj industriji vec decenijama je da sigurnosni propusti nisu bog zna kakav problem, osim najvecim igracima (a i to je samo zbog medijske buke).

Implementiranje bilo cega kosta i uvek se postavlja staro menadzersko pitanje, da li se isplati. Sve dok sigurnosni propusti ne predstavljaju komercijalni problem, vecina sw. firmi ce uvek odluciti da programersko vreme utrose na nove feature umesto na ojacavanje koda.

IT industrija je uspela da uveri svoje kupce da su bagovi normalna stvar.

Tuzno ali istinito. Sumnjam da bi iko prihvatio pricu da je normalno da mu se kupljena kuca srusi, ili zakljucana vrata otvore bez kljuca. A u softverskoj bransi se upravo radi o tome.

DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1
Demo Videos: http://www.digicortex.net/node/17
Gallery: http://www.digicortex.net/node/25
 
Odgovor na temu

Nedeljko
Nedeljko Stefanović

Član broj: 314
Poruke: 8407
82.208.243.*



+2723 Profil

icon Re: The GHOST Vulnerability29.01.2015. u 18:29 - pre 70 meseci
Bojim se da je obrnuto - da su kupci ti koji su uspeli da ubede menadžere da je svejedno što je cpanje ako je džabe.
Nije bitno koji su zaključci izvučeni, već kako se do njih došlo.
 
Odgovor na temu

[es] :: Advocacy :: The GHOST Vulnerability

[ Pregleda: 2537 | Odgovora: 4 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.