Journal Grsecurity : le patch stable réservé aux sponsors

Posté par patrick_g (site web personnel) le 27 août 2015 à 09:21. Licence CC By‑SA.

Étiquettes :

48

27

août

2015

Grsecurity est une série de patchs développés dans l'optique d'améliorer la sécurité du noyau Linux. Ces patchs n'ont, pour diverses raisons, pas été intégrés upstream dans le noyau vanilla et il s'agit donc un patch externe que les personnes intéressés doivent appliquer au code source du noyau avant de le recompiler.

Grsecurity maintient deux séries de patchs : la série stable s'applique à un noyau à support long (comme le 3.2 ou le 3.14). La série test s'applique au dernier (…)

Une interview de Brad Spengler

Posté par patrick_g (site web personnel) le 24 juillet 2009 à 16:25. Modéré par j.

Étiquettes :

44

24

juil.

2009

Brad Spengler, le mainteneur du projet grsecurity et l'auteur du dernier exploit en date dans le noyau Linux, a accepté de répondre à quelques questions pour LinuxFr.org.

Sous le pseudonyme de "Spender", Brad s'est rendu célèbre en découvrant de nombreuses vulnérabilités du noyau Linux et en prouvant, à l'aide d'exploits, que ces trous de sécurité étaient exploitables. Il est le mainteneur principal du patch externe grsecurity, qui vise à renforcer la sécurité du noyau en ajoutant divers mécanismes qui restreignent l'impact des vulnérabilités ou qui les bloquent complètement. Après la publication de son dernier exploit plusieurs questions lui ont été envoyées par mail (en une seule fois) et il a eu la gentillesse d'y répondre. Qu'il en soit remercié.

Journal Un autre type de faille locale

Posté par Coren le 19 février 2010 à 17:48.

Étiquettes :

44

19

fév.

2010

En 2007, le développeur de grsecurity, Brad Spengler, a dévoilé un nouveau type de brèche dans les systèmes Linux. À cette époque, la mise en avant de cette faille n'a pas fait grand bruit car comme pour la découvrir, il aurait fallu déployer de trésors d'inventivité pour pouvoir l'exploiter. Il ne s'est néanmoins pas découragé et a posté le 16 juillet 2009 un autre exploit du même genre.

Le problème qu'il a soulevé a été assez vite (…)

La fin de Grsecurity ?

Posté par patrick_g (site web personnel) le 06 janvier 2009 à 16:54. Modéré par Nÿco.

Étiquettes :

38

6

jan.

2009

Grsecurity est un patch sous licence GPL pour Linux qui vise a renforcer la sécurité du noyau par l'ajout de divers mécanismes.

Le sponsor principal du projet s'étant retiré du fait de la crise économique, la version 2.1.12 de Grsecurity pourrait bien être la dernière. Selon l'annonce postée sur le site, si un nouveau sponsor ne se manifeste pas avant le 31 mars alors les développements prendront fin et le projet sera gelé, peut-être définitivement.

Faille locale dans les fonctions pipe_*_open() du noyau Linux

Posté par Victor STINNER (site web personnel) le 05 novembre 2009 à 10:36. Modéré par rootix.

Étiquettes :

38

5

nov.

2009

Une situation de compétition (race condition) a été trouvée le 14 octobre dans les fonctions pipe_read_open(), pipe_write_open() et pipe_rdwr_open() du noyau Linux par Earl Chew, bug vieux de plus de dix ans. Deux jours plus tard, Earl a écrit un patch corrigeant le bug (commité le 21 octobre, il fait partie de la version 2.6.32-rc6).

L'histoire pourrait s'arrêter là, mais Eugene Teo de Red Hat a découvert cinq jours plus tard que le bug est une faille de sécurité. La faille est facile à exploiter avec la boîte à outils de Brad Spengler. Comme les dernières failles du noyau Linux (vmsplice(), tun_chr_pool() et perf_counter), la faille est liée au déréférencement d'un pointeur NULL. Brad Spengler a écrit un exploit (pouvoir passer root à partir d'un compte utilisateur) fonctionnant sur, au moins, Debian Etch, Fedora (6, 10 et 11), et RedHat (5.3 et 5.4). L'exploit contourne les protections SELinux dans le cas de Fedora 10 et RedHat 5.4. Il devrait publier son exploit dans les prochains jours.

Pour se protéger (ou vérifier si votre système est vulnérable ou non), assurez-vous que la valeur de /proc/sys/vm/mmap_min_addr ne soit pas nulle. Debian Sid, Mandriva Linux 2010.0, Fedora 12, Ubuntu (Ibex et supérieurs) et les noyaux patchés avec grsecurity ne sont pas vulnérables. Alors que Debian Lenny et Squeeze ont une valeur nulle par exemple (il est prévu de changer ça à partir de Debian 5.0.4). Comme l'option mmap_min_addr a été introduite dans Linux 2.6.23, Debian Etch (qui utilise un noyau 2.6.18) est vulnérable : vous pouvez utiliser les paquets etchhalf pour installer un noyau 2.6.24. Des correctifs pour RedHat sont déjà disponibles.

Journal Une image de base docker

Posté par barmic le 07 août 2018 à 16:10.

Étiquettes :

37

7

août

2018

Si on connait tous à priori nos bonnes vielles distributions (GNU?/)Linux. Ces dernières années l'arrivée de Docker a donné lieu à l'apparition de distributions nouvelles moins connues (en tout cas pas par moi). En effet même si les distributions classiques sont tout à fait utilisables dans une image docker, le fait d'avoir une distribution pensée pour docker peut être un avantage. Par exemple réduire fortement la taille de l'image rend son utilisation bien plus agréable (plus rapide à télécharger depuis (…)

Les distributions GNU/Linux sécurisées

Posté par patrick_g (site web personnel) le 02 avril 2010 à 15:44. Modéré par patrick_g.

Étiquettes :

33

2

avr.

2010

L'écosystème des distributions GNU/Linux est saturé. Le site Distrowatch en recense plus de 300 et ce chiffre est sans doute une sous-estimation.
On trouve bien entendu les "grandes" que tout le monde connaît (Red Hat/Fedora, Debian GNU/Linux, Ubuntu, Mandriva Linux, etc) mais il existe une multitude de petits projets spécialisés, de forks plus ou moins amicaux, d'expérimentations diverses et variées.
Certaines de ces distributions ont choisi de se spécialiser dans le secteur de la sécurité et il m'a semblé intéressant de regarder d'un peu plus près ce qu'elles avaient à proposer.

Il n'est pas question ici des live-CD spécialisés qui permettent de vérifier la sécurité d'un réseau ou d'un poste local (du type Network Security Toolkit ou bien HoneyWall). Ces distributions sont incontestablement intéressantes mais ce n'est pas le sujet de cette dépêche. Ce qui va être examiné ce sont les distributions installables qui veulent proposer une sécurité au dessus de la moyenne. Seront également examinés certains patchs ou paquets spéciaux pour des distributions préexistantes.
La niche écologique de ces distributions spéciales, ou de ces variantes, c'est la promesse d'une sécurité supérieure par le biais de diverses améliorations techniques.

Dans la suite de la dépêche nous examinerons donc :

OpenWall
EnGarde Secure Linux
Grsecurity/Pax
NetSecL
Bastille Unix
Hardened Gentoo/Hardened Debian

Journal grsecurity abandonne le gratuit

Posté par Glandos le 26 avril 2017 à 19:52. Licence CC By‑SA.

Étiquettes :

32

26

avr.

2017

Hop, le lien : https://grsecurity.net/passing_the_baton.php

Donc, si j'ai bien compris, grsecurity arrête de fournir en accès libre son ensemble de patchs pour le noyau Linux. C'est un peu décevant, parce que je m'en sers depuis à peine un an sur ma Debian, et je trouve que c'est un plus en sécurité relativement facile à mettre en œuvre. Je vais devoir, dans un futur proche, revenir à un noyau normal, parce que grsecurity ne vend rien aux particuliers. Et ce serait (…)

Rétrospective des dépêches et journaux 2015

Posté par Benoît Sibaud (site web personnel) le 02 janvier 2016 à 09:38. Édité par BAud et Nÿco. Modéré par bubar🦥. Licence CC By‑SA.

Étiquettes :

32

2

jan.

2016

Basé sur les dépêches et journaux les mieux notés par la communauté LinuxFr, voici un petit retour sur l'année 2015 sur LinuxFr.org.

Mentions particulières

La dépêche collaborative sur le noyau Linux a remporté un grand succès tout au long de l'année, avec les diverses versions parues : 3.19, 4.0, 4.1, 4.2 et 4.3.

La saga Je créé mon jeu vidéo de rewind s'est poursuivie en saison 2 avec deux épisodes sur les formats de données et sur un hypothétique arrêt.

La saga Parlons XMPP a débuté sur les chapeaux de roue, avec déjà 9 épisodes, sur les bases, le cœur et les extensions 1 et 2, les discussions de groupes, les discussions de groupe (suite) et les transports, les commandes à distance, les cas pratiques: SleekXMPP et SàT, PubSub et PEP et la copie de fichiers et Jingle. Plus un journal hors saga sur XMPP et (micro)blogage: la donne a changé.

On notera aussi d'autres sujets régulièrement traités, comme

Firefox/Mozilla (35, 37, 38, 39 , 40, 41, 42, 43, ou la 2^e deuxième édition du Winter Of Security de Mozilla, un retour sur les décisions, les projets et les polémiques de Mozilla des dernières années, la fin du "permissive add-on model", la volonté de laisser la main pour Thunderbird ou la fin de Firefox OS) ;
la bureautique avec de nouvelles versions comme LibreOffice 4.4 et 5.0, quelques migrations récentes dans le domaine de la bureautique ou le ministère italien de la défense en cours de migration vers Libre Office et ODF, des bugs ou de la concurrence LibreOffice vs Apache OpenOffice ou encore OnlyOffice, applications bureautiques en ligne et OnlyOffice Enterprise Edition. Ou bien 10 Millions d'€uros pour une suite office en ligne et libre ;
Rust (1.0 alpha, 1.0, 1.1, 1.2 et 1.3).

Journal Sparc chez Debian, c'est fini

Posté par claudex le 01 mai 2014 à 11:49. Licence CC By‑SA.

Étiquettes :

30

1

mai

2014

Bonjour nal,

Je t'écris pour d'informer que Debian a décidé d'abandonner le support de l'architecture Sparc pour sa future version, Jessie. La cause est le manque de mainteneur ayant accès à des machines utilisant cette architecture et ayant le temps de corriger les problèmes qui apparaissent, les machines récentes sont chères (après un rapide tour sur le site d'Oracle, je n'ai rien trouvé en dessous de 15k€ HTVA) et les machines plus anciennes disparaissent petit à petit.

Pour l'instant, l'architecture (…)

Hardened BSD, le à-la-grsecurity dans FreeBSD

Posté par David Carlier le 07 septembre 2014 à 21:23. Édité par Benoît Sibaud et Nÿco. Modéré par ZeroHeure. Licence CC By‑SA.

Étiquettes :

27

7

sept.

2014

Shawn Webb et Oliver Pinter, tous deux à l'origine du projet HardenedBSD, l'ont rendu officiel fin août. Il s'agit d'un projet au sein de FreeBSD, et pas d'une extension de la famille des BSD (FreeBSD, NetBSD, OpenBSD, DragonFly BSD, et leurs dérivés comme GhostBSD ou PC-BSD).

Le but premier de Hardened BSD est d'apporter le support ASLR, Address Space Layout Randomization ou distribution aléatoire de l'espace d'adressage, qui existe chez tous les autres BSD, DragonFly BSD compris, dans la branche courante et aussi rétroporter le tout pour les versions précédentes.

Aussi, inspiré de PaX (correctif sécurité du noyau Linux, voir aussi W^X chez OpenBSD), il propose le support Segvguard afin de surveiller les segmentation faults et se protéger contre les attaques par ce biais.

Enfin dans une sous-branche, il renforce les contrôles des appels ptrace (ce dont votre serviteur s'occupe ;-)).

Faille dans le noyau 2.6.31 : Brad remet le couvert

Posté par Florent Zara (site web personnel, Mastodon) le 19 septembre 2009 à 14:39. Modéré par Bruno Michel.

Étiquettes :

27

19

sept.

2009

Brad Spengler a décidé de faire parler de lui cette année :-) Il a écrit le 16 septembre dernier un exploit pour le noyau 2.6.31 tout chaud, à peine sorti du four (le 9 septembre). Il a d'abord posté des vidéos sur Youtube puis, le 18 septembre, le code de son exploit.

La faille se situe dans perf_counter, fonctionnalité introduite dans Linux 2.6.31. Elle n'impacte donc que cette version. La faille a été corrigée le 15 septembre (perf_counter: Fix buffer overflow in perf_copy_attr()), la veille de la première vidéo.

Malgré les corrections apportées à SELinux (ex: Security/SELinux: seperate lsm specific mmap_min_addr), cet exploit arrive à contourner SELinux en utilisant, encore une fois, le mode unconfined_t. Ce mode est utilisé pour les applications ne pouvant pas être confinées dans SELinux, comme par exemple WINE.

Journal Alpine Linux 2.4.6

Posté par bubar🦥 (site web personnel) le 20 octobre 2012 à 03:06. Licence CC By‑SA.

Étiquettes :

27

20

oct.

2012

Sommaire

Vendredi, c’était hier…

Alpine Linux, une petite distribution peu connue du public

Il s’agit à l’origine d’un fork du projet LEAF, souhaitant s’extraire du conteneur d’une unique disquette, ainsi est née A Linux Powered Integrated Network Engine, depuis devenue simplement Alpine Linux.

Alpine Linux n’a pas d’orientation obligeante en termes de cible fonctionnelle, (…)

Exploit local dans le noyau Linux 2.6.30

Posté par Victor STINNER (site web personnel) le 18 juillet 2009 à 14:16. Modéré par Sylvain Rampacek.

Étiquettes :

26

18

juil.

2009

Brad Spengler, mainteneur du projet Grsecurity, a publié un exploit local pour le noyau Linux. Seule la version 2.6.30 du noyau est impactée. L'exploit a été publié rapidement car aucune distribution n'utilise cette version pour le moment. Il est capable de contourner les protections AppArmor, SELinux, LSM, et désactive l'audit. La faille concerne les interfaces réseaux virtuelles tun et a été introduite en février dernier. D'abord considérée comme un simple bug, elle a été découverte le 4 juillet, corrigée le lendemain, puis Brad a publié son exploit le 15 juillet.

Brad profite de l'exploit pour dire tout le mal qu'il pense de la gestion de la sécurité dans le noyau Linux (lire notamment tous les commentaires présents dans le fichier exploit.c du tgz). Il reproche notamment la correction silencieuse de failles qui pose problème aux distributions Linux : les mainteneurs ne savent pas quels patchs doivent être backportés dans les branches stables. Il reproche également l'absence d'analyse de l'impact d'un bug en terme de sécurité : certaines failles sont considérées comme non exploitables, alors qu'elles le sont.

La seconde partie de cette dépêche détaille la faille.

Journal Encore un trou de sécurité, encore Brad qui s'amuse...

Posté par patrick_g (site web personnel) le 14 août 2009 à 11:11.

Étiquettes :

24

14

août

2009

Après la dernière vulnérabilité du noyau Linux ( voir la news de Victor ici ) on aurait pu espérer un peu de répit...mais c'est raté !
Deux membres du Google Security Team (Tavis Ormandy et Julien Tinnes) ont découvert une faille dans le noyau qui permet un exploit local (un simple utilisateur peut passer root).
Leur annonce avec les explications se trouve sur cette page et la correction du bug, par Linus en personne, a été postée ici.

Comme (…)

Tous les contenus étiquetés avec « grsecurity »

Mentions particulières

Sommaire

Alpine Linux, une petite distribution peu connue du public