Уязвимость в IPComp

0

1

Обнародована уязвимость в реализации стандарта IPComp, способная привести к компрометации серверов на некоторых операционных системах. Стандарт IPComp используется для сжатия дейтаграмм IP с целью повышения скорости передачи данных по соединению, в основном работает совместно с IPSec и другими технологиями VPN.

Как сообщает эксперт по безопасности Тэвис Орманди (Tavis Ormandy), распаковка некоторых дейтаграмм из-за уязвимости может оказаться рекурсивной, что приведет к переполнению стека. Это позволяет атакующему впрыснуть в систему произвольный код и при удачном для него стечении обстоятельств выполнить его. Даже при самых простых сценариях атаки все может привести к аварийному выходу из системы. Орманди утверждает, что атака может быть осуществлена удаленно без необходимости идентификации в системе, а также с поддельным адресом отправителя пакетов.

Атаке подвержены реализации IPSec стека в NetBSD и FreeBSD, а также в производных от них системах (Darwin, Xnu, FTOS, ...).

Патчи для NetBSD и FreeBSD

>>> Подробности

Ссылка

←	Вышел Lift 2.3

Вышел Skype 2.2 для Linux

→

← 1 2 →

Ответ на: комментарий от anonymous 07.04.11 02:42:34 MSK

> Если стек не защищен от выполнения - будет то что надо.

Юнихи разрешают выполнять код только из сегмента кода и все. При переходе на сегмент стека вылетает сегфолт. Сегмент кода, в свою очередь, защищен от записи. В винде эта защита опциональна.

Так что выполнение произвольного кода возможно только путем интерпретации.

Правда, это все работает лишь на тех архитектурах, где адрес возврата лежит в стеке, а не в регистре, как, к примеру в ППЦ или АРМе

В регистре там лежит только последний адрес возврата. Сделано это для повышения скорости. Однако, все адреса возврата в регистр не впихнешь. Все равно используется стек.

segfault ★★★★★
(07.04.11 12:42:44 MSK)

Ссылка

Впрыснуть, говоришь... А слово «вставить» или «внедрить» из словаря давно исчезло?

произвольный код и при удачном для него стечении обстоятельств

Для кода или атакующего? :)

P.S. ушел смотреть на даемон...

jackill ★★★★★
(07.04.11 12:43:02 MSK)

Ссылка

Ответ на: комментарий от anonymous 07.04.11 03:26:50 MSK

> Опции stack-protector в gcc недостаточно?

Это активная защита, которая а) может не сработать б) жрет ресурсы ЦП.

Я предлагал если не нативную хардварную защиту, то хотя бы размещение следом за стеком защищенного от записи сегмента. Хотя, его тоже можно перепрыгнуть, но в куда более редких случаях. Таким образом, мы все равно получаем аппаратную защиту от переполнения стека - эту роль исполняет контроль сегментации.

segfault ★★★★★
(07.04.11 12:54:30 MSK)

Ссылка

Ответ на: комментарий от Led 07.04.11 05:00:49 MSK

> И я не представляю как вообще можно сделать аппаратный stack-protector? данные для контроля стэка в астральный стэк складывать?

Добавить в ЦП 2 регистра, содержащих адреса начала и конца сегмента стека. Если значение esp выходит за эти границы - кидаем исключение.

segfault ★★★★★
(07.04.11 13:02:11 MSK)

Ответ на: комментарий от segfault 06.04.11 23:56:40 MSK

> segfault (06.04.2011 23:56:40)

+100500!!!

anonymous
(07.04.11 14:51:59 MSK)

Ссылка

Ответ на: комментарий от segfault 07.04.11 13:02:11 MSK

>Добавить в ЦП 2 регистра, содержащих адреса начала и конца сегмента стека. Если значение esp выходит за эти границы - кидаем исключение.

Т.е. вложенность функций - максимум 1 уровень?

Led ★★★☆☆
(07.04.11 15:44:09 MSK)

Ответ на: комментарий от Led 07.04.11 15:44:09 MSK

Не пойму, к чему это?

segfault ★★★★★
(07.04.11 15:58:50 MSK)

Ответ на: комментарий от segfault 07.04.11 15:58:50 MSK

>Не пойму, к чему это?

man gcc на предмет -stack-protector

Led ★★★☆☆
(07.04.11 16:02:19 MSK)

Ответ на: комментарий от Led 07.04.11 16:02:19 MSK

> man gcc на предмет -stack-protector

Еще раз, для тех кто в танке: gcc stack-protector программный. А я говорил про аппаратный, работающий по совсем иному принципу.

segfault ★★★★★
(07.04.11 16:07:45 MSK)

Ответ на: комментарий от segfault 07.04.11 16:07:45 MSK

Ещё раз: твоим способом аппаратно програмный -stack-protector не реализуется.

Led ★★★☆☆
(07.04.11 16:13:46 MSK)

Ответ на: комментарий от Led 07.04.11 16:13:46 MSK

Еще раз, это будет не тот же stack-protector, просто перенесенный на уровень железа. Аппаратно защита от stack overflow реализуется намного проще.

Добавить в ЦП 2 регистра, содержащих адреса начала и конца сегмента стека. Если значение esp выходит за эти границы - кидаем исключение.

segfault ★★★★★
(07.04.11 16:23:09 MSK)

Для обработки любых исключений,прерываний и т.д. необходим опять же стек. Кроме того, esp достаточно активно модифицируется. (если мы говорим о x86 like архитектурах). Проще это сделать через ограничение границ сегментного регистра, однако в этом случае потребуется возня с этими границами.

V0ID ★★★
(07.04.11 18:02:29 MSK)

Ответ на: комментарий от segfault 07.04.11 16:23:09 MSK

Вот здесь вам все правильно описали: http://www.linux.org.ru/jump-message.jsp?msgid=6116310&cid=6119674

И еще на заметку: - Не везде реализована защита стека от исполнения (в контексте ядра в большинстве ОС ее нет, включая чистый линукс без сторонних патчей) - Даже на запрещенный к исполнению стек можно проводить атаки типа return-to-operaion (return-to-libc как частный случай): http://en.wikipedia.org/wiki/Return-to-libc_attack

anonymous
(08.04.11 01:37:51 MSK)

Ответ на: комментарий от V0ID 07.04.11 18:02:29 MSK

> Для обработки любых исключений,прерываний и т.д. необходим опять же стек.

Да? Как же тогда у меня обработалось исключение «segmentation fault», когда я начал использовать esp в арифметических операциях, забыл про это и вызвал push?

Проще это сделать через ограничение границ сегментного регистра, однако в этом случае потребуется возня с этими границами.

Я уже четвертый пост про это пишу. И возни там уж очень много - аж один раз при запуске программы установить границы в соответствующие регистры!

segfault ★★★★★
(08.04.11 11:39:31 MSK)

Ответ на: комментарий от anonymous 08.04.11 01:37:51 MSK

> в контексте ядра в большинстве ОС ее нет, включая чистый линукс без сторонних патчей

Давайте не будем рассматривать сферических коней в вакууме. Только что проверил у себя на федоре - защита есть. Еще я могу гарантировать это на убунте, сусе, арче и других широко распространенных дистрах.

Даже на запрещенный к исполнению стек можно проводить атаки типа return-to-operaion

Я же не говорил, что переполнение стека совсем безвредно. Просто при защищенном от выполнения стеке злоумышленнику не удастся подсунуть уж совсем любой код.

segfault ★★★★★
(08.04.11 11:45:30 MSK)

Ответ на: комментарий от segfault 08.04.11 11:45:30 MSK

Вы проверили запрет на исполнение стека пользовательских процессов. У процессов ядра аналогичной защиты нет.

Просто при защищенном от выполнения стеке злоумышленнику не удастся подсунуть уж совсем любой код.

Если процессу разрешено помечать (через mprotect) память стека на запись и исполнение, то можно комбинировать ROP-атаку для вызова mprotect с последующим возвратом на внедренный код на стеке.

anonymous
(08.04.11 13:29:00 MSK)

Ссылка

Ответ на: комментарий от segfault 08.04.11 11:39:31 MSK

>>>Да? Как же тогда у меня обработалось исключение «segmentation fault», когда я начал использовать esp в арифметических операциях, забыл про это и вызвал push?

Вы бы хоть читали на какой пост я отвечал. Прочтите в разрезе наличия двух мифических дополнительных регистров ограничивающих стек...

V0ID ★★★
(09.04.11 11:19:02 MSK)

Ответ на: комментарий от V0ID 09.04.11 11:19:02 MSK

Простите, но сейчас уже не видно, на какой пост вы отвечали.

разрезе наличия двух мифических дополнительных регистров

Да нет этих регистров - я как раз предлагал ввести таковые.

segfault ★★★★★
(09.04.11 14:01:08 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← 1 2 →

←	Вышел Lift 2.3

Безопасность

Вышел Skype 2.2 для Linux

→

Похожие темы