View previous topic :: View next topic |
Author |
Message |
loux.thefuture Tux's lil' helper
Joined: 15 Nov 2005 Posts: 135
|
Posted: Sat Mar 11, 2006 1:18 pm Post subject: [securité] vulnérabilité de strcpy,(strcpy, RANDEXEC) ré |
|
|
bonjour,
j'ai des petits soucis avec pax :
paxtest kiddie me donne :
...
Return to function (strcpy) : Vulnerable
Return to function (memcpy) : Vulnerable
Return to function (strcpy, RANDEXEC) : Vulnerable
Return to function (memcpy, RANDEXEC) : Vulnerable
...
alors que j'ai activé ce qu'il faut (enfin je pense) dans le noyau :
cat .config :
...
CONFIG_PAX=y
#
# PaX Control
#
# CONFIG_PAX_SOFTMODE is not set
CONFIG_PAX_EI_PAX=y
CONFIG_PAX_PT_PAX_FLAGS=y
CONFIG_PAX_NO_ACL_FLAGS=y
# CONFIG_PAX_HAVE_ACL_FLAGS is not set
# CONFIG_PAX_HOOK_ACL_FLAGS is not set
#
# Non-executable pages
#
CONFIG_PAX_NOEXEC=y
CONFIG_PAX_PAGEEXEC=y
CONFIG_PAX_SEGMEXEC=y
# CONFIG_PAX_DEFAULT_PAGEEXEC is not set
CONFIG_PAX_DEFAULT_SEGMEXEC=y
CONFIG_PAX_EMUTRAMP=y
CONFIG_PAX_MPROTECT=y
# CONFIG_PAX_NOELFRELOCS is not set
CONFIG_PAX_KERNEXEC=y
#
# Address Space Layout Randomization
#
CONFIG_PAX_ASLR=y
CONFIG_PAX_RANDKSTACK=y
CONFIG_PAX_RANDUSTACK=y
CONFIG_PAX_RANDMMAP=y
CONFIG_PAX_NOVSYSCALL=y
#
# Grsecurity
#
CONFIG_GRKERNSEC=y
# CONFIG_GRKERNSEC_LOW is not set
# CONFIG_GRKERNSEC_MEDIUM is not set
# CONFIG_GRKERNSEC_HIGH is not set
CONFIG_GRKERNSEC_CUSTOM=y
#
# Address Space Protection
#
CONFIG_GRKERNSEC_KMEM=y
# CONFIG_GRKERNSEC_IO is not set
CONFIG_GRKERNSEC_PROC_MEMMAP=y
CONFIG_GRKERNSEC_BRUTE=y
CONFIG_GRKERNSEC_MODSTOP=y
CONFIG_GRKERNSEC_HIDESYM=y
...
Auriez-vous une idée pour résoudre ce problème ?
Merci
Loux _________________ "So long and thanks for all the fishs !"
Last edited by loux.thefuture on Thu Mar 16, 2006 10:59 am; edited 3 times in total |
|
Back to top |
|
|
PabOu Veteran
Joined: 11 Feb 2004 Posts: 1088 Location: Hélécine - Belgium
|
Posted: Sat Mar 11, 2006 11:28 pm Post subject: |
|
|
Salut,
Il me semble que c'est normal, et cela se protège à l'aide d'une autre technologie (comme par exmple ProPolice/SSP) |
|
Back to top |
|
|
boozo Advocate
Joined: 01 Jul 2004 Posts: 3193
|
Posted: Sat Mar 11, 2006 11:36 pm Post subject: |
|
|
'alute
d'après la doc et selon ton architecture, tu dois avoir celà :
Quote: | Return to function (strcpy) : Vulnerable
Return to function (memcpy) : Vulnerable
Return to function (strcpy, RANDEXEC) : Killed
Return to function (memcpy, RANDEXEC) : Killed |
avec la justification founie par PabOu en sus
Quote: | # strcpy and memcpy are listed as Vulnerable. This is expected and normal - it is simply showing the need for a technology such as ProPolice/SSP
# there is no randomization for PAGEEXEC. This is normal since our recommended x86 kernel configuration didn't activate the PAGEEXEC setting. However, on arches that support a true NX (non-executable) bit (most of them do, including x86_64), PAGEEXEC is the only method available for NOEXEC and has no performance hit. |
Edit : pourrais-tu faire le nécessaire pour la conformité de ton titre stp merci _________________ " Un psychotique, c'est quelqu'un qui croit dur comme fer que 2 et 2 font 5, et qui en est pleinement satisfait.
Un névrosé, c'est quelqu'un qui sait pertinemment que 2 et 2 font 4, et ça le rend malade ! " |
|
Back to top |
|
|
PabOu Veteran
Joined: 11 Feb 2004 Posts: 1088 Location: Hélécine - Belgium
|
Posted: Sat Mar 11, 2006 11:42 pm Post subject: |
|
|
j'ai la meme config que lui et j'ai le meme output que lui, donc c'est normal il me semble :) |
|
Back to top |
|
|
loux.thefuture Tux's lil' helper
Joined: 15 Nov 2005 Posts: 135
|
Posted: Sun Mar 12, 2006 8:33 am Post subject: comment résoudre ce problème de vulnérabilité |
|
|
Bonjour,
j'ai bien compris que mon "output" était normale,
mais j'ai utilisé le profile "hardened" donc je devrais avoir la protection SSP" ?
Loux
PS: pour le titre, c'est mieux ? _________________ "So long and thanks for all the fishs !" |
|
Back to top |
|
|
PabOu Veteran
Joined: 11 Feb 2004 Posts: 1088 Location: Hélécine - Belgium
|
Posted: Mon Mar 13, 2006 8:16 am Post subject: |
|
|
normalement, si tu utilises le profile hardened depuis le début, tu as bien les patchs Pie et SSP qui ont été appliqués sur GCC et compagnie.
Si tu as changé de profile (pour choisir hardened) après une install qui fonctionne déjà, tu dois t'assurer que tu compiles avec les flags "hardened" et "pic", faire un bootstrap.sh et puis un emerge world -e
edit : tout ca c'est avec un kernel hardened-sources.. pour un grsec-sources ou selinux-sources, apparement, c'est directement dans le kernel, mais je ne suis pas sur de ce que je raconte là. |
|
Back to top |
|
|
loux.thefuture Tux's lil' helper
Joined: 15 Nov 2005 Posts: 135
|
Posted: Wed Mar 15, 2006 1:29 pm Post subject: [securité] vulnérabilité de strcpy et (strcpy, RANDEXEC) |
|
|
Bonjour,
j'ai problème pour sécurisé un ordinateur avec gentoo, lorsque je lance "paxtest kiddie" j'obtiens :
<
Return to function (strcpy) : Vulnerable
Return to function (memcpy) : Vulnerable
Return to function (strcpy, RANDEXEC) : Vulnerable
Return to function (memcpy, RANDEXEC) : Vulnerable
>
pour tant j'ai installé la distribution gentoo en profiles hardened avec en plus USE="hardened pic".
ma question est : "est-ce normale au vu des options que j'utilise" et si non "comment y remédier ?"
Merci
Loux
PS : ci-dessous les informations
voici ce que dit "uname -a" :
<
Linux localhost 2.6.14-hardened-r5 #1 PREEMPT Sat Mar 11 15:26:08 CET 2006 i686 AMD Athlon(tm) Processor AuthenticAMD GNU/Linux
>
voici ce que dit "gcc -v" :
<
Reading specs from /usr/lib/gcc/i686-pc-linux-gnu/3.4.5/specs
Configured with: /var/tmp/portage/gcc-3.4.5/work/gcc-3.4.5/configure --prefix=/usr --bindir=/usr/i686-pc-linux-gnu/gcc-bin/3.4.5 --includedir=/usr/lib/gcc/i686-pc-linux-gnu/3.4.5/include --datadir=/usr/share/gcc-data/i686-pc-linux-gnu/3.4.5 --mandir=/usr/share/gcc-data/i686-pc-linux-gnu/3.4.5/man --infodir=/usr/share/gcc-data/i686-pc-linux-gnu/3.4.5/info --with-gxx-include-dir=/usr/lib/gcc/i686-pc-linux-gnu/3.4.5/include/g++-v3 --host=i686-pc-linux-gnu --build=i686-pc-linux-gnu --disable-altivec --enable-nls --without-included-gettext --with-system-zlib --disable-checking --disable-werror --disable-libunwind-exceptions --disable-multilib --disable-libgcj --enable-languages=c,c++ --enable-shared --enable-threads=posix --enable-__cxa_atexit --enable-clocale=gnu
Thread model: posix
gcc version 3.4.5 (Gentoo Hardened 3.4.5, ssp-3.4.5-1.0, pie-8.7.9)
>
et voici les options pax de mon noyau :
<
# PaX
#
CONFIG_PAX=y
#
# PaX Control
#
# CONFIG_PAX_SOFTMODE is not set
CONFIG_PAX_EI_PAX=y
CONFIG_PAX_PT_PAX_FLAGS=y
CONFIG_PAX_NO_ACL_FLAGS=y
# CONFIG_PAX_HAVE_ACL_FLAGS is not set
# CONFIG_PAX_HOOK_ACL_FLAGS is not set
#
# Non-executable pages
#
CONFIG_PAX_NOEXEC=y
CONFIG_PAX_PAGEEXEC=y
CONFIG_PAX_SEGMEXEC=y
# CONFIG_PAX_DEFAULT_PAGEEXEC is not set
CONFIG_PAX_DEFAULT_SEGMEXEC=y
CONFIG_PAX_EMUTRAMP=y
CONFIG_PAX_MPROTECT=y
# CONFIG_PAX_NOELFRELOCS is not set
CONFIG_PAX_KERNEXEC=y
#
# Address Space Layout Randomization
#
CONFIG_PAX_ASLR=y
CONFIG_PAX_RANDKSTACK=y
CONFIG_PAX_RANDUSTACK=y
CONFIG_PAX_RANDMMAP=y
CONFIG_PAX_NOVSYSCALL=y
>
Loux _________________ "So long and thanks for all the fishs !" |
|
Back to top |
|
|
xaviermiller Bodhisattva
Joined: 23 Jul 2004 Posts: 8717 Location: ~Brussels - Belgique
|
Posted: Wed Mar 15, 2006 1:33 pm Post subject: |
|
|
rien à voir avec GCC ou le noyau, ce sont des fonctions de glibc qui sont marquées "deprecated".
essaie les versions en "_s" : srtrcpy_s , memcpy_s, ... qui font des copies en vérifiant la taille du buffer de destination _________________ Kind regards,
Xavier Miller |
|
Back to top |
|
|
loux.thefuture Tux's lil' helper
Joined: 15 Nov 2005 Posts: 135
|
Posted: Wed Mar 15, 2006 1:38 pm Post subject: paxtest |
|
|
bonjour,
je comprends votre réponse,
mais j'utilise pour tester mon systéme l'utilitaire paxtest (emerge paxtest) qui teste un certain de vulnérabilités
et je ne veux pas changer le code source de cet utilitaire.
pourquoi gcc ne transforme-t-il pas le code strcpy en strcpy_s, y a-t-il un moyen de forcer cette transformation ?
Cordialement
Loux _________________ "So long and thanks for all the fishs !" |
|
Back to top |
|
|
boozo Advocate
Joined: 01 Jul 2004 Posts: 3193
|
|
Back to top |
|
|
loux.thefuture Tux's lil' helper
Joined: 15 Nov 2005 Posts: 135
|
Posted: Wed Mar 15, 2006 1:42 pm Post subject: sources hardened |
|
|
Bonjour,
oui je sais que cela n'est pas nécessaire de rajouter "hardened et pic" dans USE avec le profiles hardened.
pour les sources que j'utilise, c'est hardened comme le montre 'uname -a'
<
Linux localhost 2.6.14-hardened-r5 #1 PREEMPT Sat Mar 11 15:26:08 CET 2006 i686 AMD Athlon(tm) Processor AuthenticAMD GNU/Linux
>
Cordialement
Loux _________________ "So long and thanks for all the fishs !" |
|
Back to top |
|
|
xaviermiller Bodhisattva
Joined: 23 Jul 2004 Posts: 8717 Location: ~Brussels - Belgique
|
Posted: Wed Mar 15, 2006 1:53 pm Post subject: Re: paxtest |
|
|
loux.thefuture wrote: | pourquoi gcc ne transforme-t-il pas le code strcpy en strcpy_s, y a-t-il un moyen de forcer cette transformation ?
Cordialement
Loux |
Ce n'est pas à GCC de le faire, car il faut adapter proprement les sources (dont entre autres s'assurer que le buffer destination a une taille connue lors du copy). C'est au programmeur à le faire. _________________ Kind regards,
Xavier Miller |
|
Back to top |
|
|
loux.thefuture Tux's lil' helper
Joined: 15 Nov 2005 Posts: 135
|
Posted: Wed Mar 15, 2006 2:03 pm Post subject: pax again |
|
|
Bonjour,
oui je comprends que les sources doivent être adaptées par le programmeur et pas par la personne qui les installe !
Cependant si je veux (moi utilisateur et non programmeur) protéger mon serveur des buffers overflows des techniques existent
avec les sources hardened, pax et grsecurity (si j'ai bien compris). J'en veux pour preuve le howto
http://www.gentoo.org/proj/en/hardened/grsecurity.xml
le problème c'est que j'ai fait quasiment la même chose que dans ce howto mais je n'obtiens pas les même résultats sur paxtest !
voici ce que je devrais obtenir :
<
Return to function (strcpy) : Vulnerable
Return to function (memcpy) : Vulnerable
Return to function (strcpy, RANDEXEC) : Killed
Return to function (memcpy, RANDEXEC) : Killed
>
et moi j'obtiens vulnérable à tous ces test
Cordialement
Loux _________________ "So long and thanks for all the fishs !" |
|
Back to top |
|
|
xaviermiller Bodhisattva
Joined: 23 Jul 2004 Posts: 8717 Location: ~Brussels - Belgique
|
Posted: Wed Mar 15, 2006 2:05 pm Post subject: |
|
|
Et pourquoi ne pas simplement ignorer le message ? c'est pour un pc @ home ? _________________ Kind regards,
Xavier Miller |
|
Back to top |
|
|
loux.thefuture Tux's lil' helper
Joined: 15 Nov 2005 Posts: 135
|
Posted: Wed Mar 15, 2006 2:12 pm Post subject: sécurité avant tout |
|
|
Bonjour,
je veux faire un serveur sécurisé, cela ne sert à rien d'installer les sources hardened, de renforcer la compilation avec gcc + ssp + pie
si à la fin un simple strcpy ma programmé crée une vulnérabilité sur la machine !
En plus dans le tutorial ca marche et moi non et la je suis sec
A+
loux _________________ "So long and thanks for all the fishs !" |
|
Back to top |
|
|
xaviermiller Bodhisattva
Joined: 23 Jul 2004 Posts: 8717 Location: ~Brussels - Belgique
|
Posted: Wed Mar 15, 2006 2:17 pm Post subject: |
|
|
Est-ce que la doc que tu as lue est à jour par rapport aux sources que tu as utilisées" ? _________________ Kind regards,
Xavier Miller |
|
Back to top |
|
|
loux.thefuture Tux's lil' helper
Joined: 15 Nov 2005 Posts: 135
|
Posted: Wed Mar 15, 2006 2:44 pm Post subject: doc à jour |
|
|
hello
je pense que la doc date un peu mais les mécanismes utilisés sont les mêmes
A+
loux _________________ "So long and thanks for all the fishs !" |
|
Back to top |
|
|
xaviermiller Bodhisattva
Joined: 23 Jul 2004 Posts: 8717 Location: ~Brussels - Belgique
|
Posted: Wed Mar 15, 2006 2:51 pm Post subject: |
|
|
Bref, faudra trouver quelqu'un qui est dans le même cas que toi pour comparer vos résultats _________________ Kind regards,
Xavier Miller |
|
Back to top |
|
|
loux.thefuture Tux's lil' helper
Joined: 15 Nov 2005 Posts: 135
|
Posted: Wed Mar 15, 2006 6:12 pm Post subject: |
|
|
Hello,
en gros il faudrait quelqu'un qui a monté un serveur sécurisé avec hardened-sources + SSP + PIE + PAX
et qui a testé paxtest
A+
loux _________________ "So long and thanks for all the fishs !" |
|
Back to top |
|
|
boozo Advocate
Joined: 01 Jul 2004 Posts: 3193
|
|
Back to top |
|
|
guilc Bodhisattva
Joined: 15 Nov 2003 Posts: 3326 Location: Paris - France
|
Posted: Wed Mar 15, 2006 6:43 pm Post subject: |
|
|
Salut,
De ce que je peux checker chez moi sur ma Gentoo hardened et sur des debian grsec, ça fait pareil partout, avec PAX activé...
/me sait pas pourquoi il met vulnerable _________________ Merci de respecter les règles du forum.
Mon site perso : https://www.xwing.info
Mon PORTDIR_OVERLAY : https://gentoo.xwing.info ou layman -a xwing |
|
Back to top |
|
|
PabOu Veteran
Joined: 11 Feb 2004 Posts: 1088 Location: Hélécine - Belgium
|
Posted: Wed Mar 15, 2006 6:59 pm Post subject: |
|
|
moi pareil, sur une gentoo hardened avec hardened-sources, comme je l'ai dit dans l'autre sujet de loux.thefuture (je ne pige pas pourquoi il a ouvert 2 threads pour le meme sujet d'ailleurs.. il a peut-etre perdu le premier qui à du passer sur la 2eme page) |
|
Back to top |
|
|
boozo Advocate
Joined: 01 Jul 2004 Posts: 3193
|
|
Back to top |
|
|
kernelsensei Bodhisattva
Joined: 22 Feb 2004 Posts: 5619 Location: Woustviller/Moselle/FRANCE (49.07°N;7.02°E)
|
Posted: Wed Mar 15, 2006 8:02 pm Post subject: |
|
|
boozo wrote: | ah je me disais aussi... j'avais pas rêvé les deux topic
faudrait merger les deux topic en fait... vais demander aux mod's s'ils peuvent faire qqch |
Done ! _________________ $ ruby -e'puts " .:@BFegiklnorst".unpack("x4ax7aaX6ax5aX15ax4aax6aaX7ax2aX5aX8 \
axaX3ax8aX4ax6aX3aX6ax3ax3aX9ax4ax2aX9axaX6ax3aX2ax4ax3aX4aXaX12ax10aaX7a").join' |
|
Back to top |
|
|
loux.thefuture Tux's lil' helper
Joined: 15 Nov 2005 Posts: 135
|
Posted: Wed Mar 15, 2006 8:12 pm Post subject: |
|
|
tout ca c'est de ma faute,
mais j'avais pas fait un topic propre la première fois
alors je me suis dit qu'en recommençant cela irait mieux
mea culpa
Loux _________________ "So long and thanks for all the fishs !" |
|
Back to top |
|
|
|