El proyecto Openwall ha publicado el lanzamiento del módulo del núcleo LKRG 0.8 (Linux Kernel Runtime Guard), diseñado para detectar y bloquear ataques y violaciones de la integridad de las estructuras del núcleo.

El módulo es adecuado tanto para organizar la protección contra exploits ya conocidos para el kernel de Linux (por ejemplo, en situaciones donde es problemático actualizar el kernel en el sistema), como para exploits opuestos para vulnerabilidades desconocidas.

¿Qué hay de nuevo LKRG 0.8?

En esta nueva version se ha cambiado el posicionamiento del proyecto LKRG, que ahora no se divide en subsistemas separados para verificar la integridad y determinar el uso de exploits, sino que se presenta como un producto completo para identificar ataques y diversas violaciones de integridad;

En cuanto a la compatibilidad, de esta nueva version, podremos encontrar que es compatible con los núcleos de Linux de 5.3 a 5.7, así como con los núcleos compilados con optimizaciones agresivas de GCC, sin las opciones CONFIG_USB y CONFIG_STACKTRACE o con la opción CONFIG_UNWINDER_ORC, así como con los núcleos en los que no hay funciones interceptadas por LKRG si puede prescindir.

Además de que se añadió el soporte experimental para plataformas ARM de 32 bits (probado en Raspberry Pi 3 Modelo B), mientras que para el soporte disponible anterior para AArch64 (ARM64) se complementa con la compatibilidad con Raspberry Pi 4.

Por otra parte, se han agregado nuevos ganchos, que incluyen un manejador de llamadas «hook()» para identificar mejor las vulnerabilidades que manipulan las «capabilities», en lugar de los identificadores de proceso.

En los sistemas x86-64, se verifica y aplica el bit SMAP (Prevención de acceso en modo supervisor), diseñado para bloquear el acceso a los datos en el espacio del usuario desde el código privilegiado ejecutado a nivel del núcleo. Protección SMEP (Supervisor Mode Execution Prevention) se implementó anteriormente.

Se ha aumentado la escalabilidad de la base de datos de seguimiento de procesos: en lugar de un solo árbol RB protegido por un spinlock, está involucrada una tabla hash de 512 árboles RB, protegida por 512 bloqueos de lectura y escritura, respectivamente;

Se implementa y habilita un modo por defecto, en el que la verificación de integridad de los identificadores de proceso a menudo se realiza solo para la tarea actual, y también opcionalmente para las tareas activadas (despertar). Para otras tareas que están en estado de suspensión o que funcionan sin una llamada a la API del núcleo controlada por el LKRG, la verificación se realiza con menos frecuencia.

Además de que el archivo de la unidad systemd se ha rediseñado para cargar el módulo LKRG en una etapa temprana de carga (la opción de línea de comandos del kernel se puede usar para desactivar el módulo);

Durante la compilacion, se realizó una comprobación de algunas de las configuraciones obligatorias del núcleo CONFIG_ * para generar mensajes de error significativos en lugar de fallas poco claras.

De los demás cambios que se destacan de esta nueva version:

• Soporte agregado para los modos de espera (ACPI S3, suspensión a RAM) y suspensión (S4, suspensión a disco).
• Soporte agregado para DKMS en el Makefile.
• Se propone una nueva lógica para determinar los intentos de salir de las restricciones de espacio de nombres (por ejemplo, de los contenedores Docker).
• En el proceso, la configuración de LKRG se coloca en una página de memoria, generalmente de solo lectura.
• La salida a los registros de información que pueden ser más útiles para ataques (por ejemplo, información sobre direcciones en el núcleo) está limitada por el modo de depuración (log_level = 4 y superior), que está deshabilitado de manera predeterminada.
• Se agregaron nuevos parámetros de sysctl y módulo para ajustar LKRG, así como dos sysctl para una configuración simplificada eligiendo entre los perfiles preparados por los desarrolladores.
• La configuración predeterminada se cambia para lograr un equilibrio más equilibrado entre la velocidad de detección de violaciones y la efectividad de la reacción, por un lado, y el impacto en la productividad y el riesgo de falsos positivos por el otro.
• Según las optimizaciones propuestas en la nueva versión, la disminución del rendimiento al aplicar LKRG 0.8 se estima en 2.5% en el modo predeterminado («pesado») y 2% en el modo ligero («ligero»).

Si quieres conocer mas la respecto, puedes consultar los detalles aqui. 

from Linux Adictos https://ift.tt/31uuotB
via IFTTT

Hace poco se presentó el lanzamiento del popular paquete «BusyBox 1.32» el cual es una implementación de un utilidades UNIX estándar diseñadas como una herramienta principal en la lucha contra la violación de GPL en el firmware.

Este paquete se caracteriza por ser un solo archivo ejecutable y optimizado para un consumo mínimo de recursos del sistema con un tamaño de paquete de menos de 1 MB.

Esta nueva version 1.32 se posiciona como una version inestable, y se espera que se proporcione una estabilización completa en la versión 1.32.1, que se espera en aproximadamente un mes.

Para quienes desconocen de BusyBox, deben saber que hace posible crear un archivo ejecutable unificado que contiene un conjunto arbitrario de utilidades implementadas en el paquete (cada utilidad está disponible en forma de un enlace simbólico a este archivo).

El tamaño, la composición y la funcionalidad de la colección de utilidades pueden variar según las necesidades y capacidades de la plataforma integrada para la cual se realiza.

¿Qué hay de nuevo en BusyBox versión 1.32?

En esta nueva version, podremos encontrar que se añadió un nuevo comando mim para ejecutar scripts desde un archivo Mimfile dado (que recuerda un poco a una utilidad make truncada).

Una gran parte de las correcciones en los comandos de los depósitos de ash y hush, con el objetivo de mejorar la compatibilidad con otros depósitos. En ash y hush, se ha agregado la capacidad de autocompletar comandos integrados con pestañas. Ash ha estabilizado nuevos comandos incorporados.

En la utilidad wget, el límite en el número de redireccionamientos se ha ampliado y se ha implementado la compatibilidad para verificar los certificados TLS en caso de falla con ENABLE_FEATURE_WGET_OPENSSL.

Mientras que para utilidad fdisk, ahora en esta nueva version se añadió el soporte para particiones HFS y HFS+. En Init, se ha mejorado el manejo de las condiciones de carrera cuando llegan las señales.

El formato de salida «% NT»  se ha agregado a la utilidad para el monitoreo visual de los parámetros del sistema nmeter.

En httpd, cuando se trabaja en modo NOMMU, se permite la instalación de un directorio de inicio diferente y la opción ‘-h’ se habilita cuando comienza el proceso en segundo plano.

Se corrigieron errores en las utilidades grep, top, dc, gzip, awk, bc, ntpd, pidof, stat, telnet, tftp, whois, unzip, chgrp, httpd, vi, route.

De los demás cambios que se destacan de esta nueva version:

• La opción «-empty» se ha agregado a la utilidad find para verificar archivos vacíos.
• Grep agregó el soporte correcto para la lista de patrones (lista de patrones) y agregó la opción «-R» (procesamiento recursivo del contenido del directorio).
• Los problemas que aparecen durante la compilacion en Clang 9 son corregidos y se eliminan las advertencias del compilador.
• Se agregó la capacidad de procesar y enumerar la CPU en el conjunto de tareas (opción «-c»).
• El comportamiento de la opción «-a» ha cambiado en tar, que en lugar de habilitar la compresión «lzma» ahora está asociado con la detección automática por extensión de archivo.
• Udhcpc6 agregó soporte para el modo «stateless»para DHCPv6 (el servidor solo proporciona parámetros de red, sin asignar una dirección).
• Nslookup proporciona procesamiento de respuestas sin registros RR y agrega soporte para registros SRV.
• Se agregaron nuevos comandos «showmacs» y «showstp» a brctl.
• Se agregó soporte para el parámetro «servidor de retransmisión» en dhcpc.
• Syslogd agregó una configuración para mostrar el tiempo con una precisión de milisegundos.
• Xargs permite el manejo de argumentos entre comillas, y se garantiza el comportamiento correcto de la opción «-n».

Finalmente, para aquellos que quieran conocer mas al respecto sobre la liberación de esta nueva version de BusyBox 1.32, pueden obtener los detalles dirigiéndose al siguiente enlace.

¿Cómo obtener BusyBox?

Si estás interesado en poder obtener esta nueva versión. Podrás hacerlo dirigiéndote a la página web oficial del proyecto en donde encontraras dentro de su seccion de descargas tanto el código fuente de este, así como binarios y documentación.

El enlace es este.

from Linux Adictos https://ift.tt/3gaVJp4
via IFTTT