Grsecurity

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt közreműködők, és jelentősen eltérhet a 2021. március 14-én felülvizsgált verziótól ; az ellenőrzések 16 szerkesztést igényelnek .
Grsecurity
Típusú Tapasz
Beírva C [1]
Operációs rendszer Linux
Engedély GNU GPL 2 [2]
Weboldal grsecurity.net

A Grsecurity  egy szabadalmaztatott módosításkészlet ( patch ) a Linux kernelhez , amely számos biztonsággal kapcsolatos fejlesztést tartalmaz, beleértve a kernelmemória és a felhasználói folyamatok védelmét , a kényszerített hozzáférés-szabályozást , az objektumok helyének véletlenszerű beállítását a memóriában , a fájlhozzáférési korlátozásokat a / proc, a chroot () jail -en belüli rendszerinterfészekhez való hozzáférés korlátozása, a szerver és kliens hálózati socketek használatára vonatkozó korlátozások, valamint a folyamattevékenység és néhány egyéb funkció auditálásához szükséges kiegészítő szolgáltatások. Tipikus alkalmazási terület azok a rendszerek, amelyek potenciálisan veszélyes forrásokból képesek hálózati kapcsolatokat fogadni: például különféle hálózati szolgáltatások szerverei (például webszerverek ), vagy olyan szerverek, amelyek shell hozzáférést biztosítanak felhasználóiknak . A grsecurity javítást 2001 óta adják ki a GPL 2-es verziója alatt, és tartalmazza a PaX javításkészletet . 2017. április 26-tól a grsecurity forráskódok és a kapcsolódó javítások már nem tölthetők le, terjesztésük csak fizetős alapon történik [3] . A grsecurity megalkotója és vezető fejlesztője Brad Spengler, más néven költő.

Engedélyezés és peres eljárások

A grsecurity javítás eredetileg nyílt forráskódú és ingyenes szoftver volt. 2015-ben a grsecurity védjegy helytelen használatával kapcsolatos vita után a javítás szerzője úgy döntött, hogy leállítja a javítás stabil verziójának kódjainak ingyenes (korlátlan) terjesztését mindenki számára [4] [5] . A grsecurity [5] tesztverziói egyetlen patch formájában, sorozatokra bontás nélkül akkoriban nyilvánosan elérhetőek maradtak.

2017. április 26. óta a grsecurity javítás (valamint a PaX) tesztverzióihoz való ingyenes hozzáférés le van zárva, valószínűleg a KSPP [6] vagy a Wind River [7] konfliktusa miatt . A legújabb nyilvános kiadás a Linux kernel 4.9-es verziójának tesztjavítása volt. Az újabb verziók csak az "Open Source Security Inc" kereskedelmi előfizetői számára érhetők el (2008 óta patch-fejlesztő, PA ) [3] [8] [6] , külön szolgáltatási szerződés [9] [10] [11] keretében .

A felvilágosításban az OSSI jelezte, hogy a javítások továbbra is a GPLv2 licenc alatt állnak, minden joggal és kötelezettséggel együtt . [12] A felhasználó és a vállalat közötti kereskedelmi megállapodás azonban tartalmaz egy olyan feltételt, amely szerint meg kell fosztani az ügyfeleket a javítás jövőbeli verzióihoz való hozzáféréstől, ha a felhasználó gyakorolja a GPL által neki biztosított jogait a grsecurity javítások használatának (telepítésének és terjesztésének) megkerülésére. a megállapodás [13] .

2017 júniusában a szabad szoftvermozgalomban való részvételéről ismert Bruce Perens nyilvánosan kifejtette véleményét, miszerint harmadik feleknek kerülniük kell a „Grsecurity” termék megvásárlását a grsecurity.net webhelyről. Rámutatott, hogy a javítás a Linux kernel kódjának származéka, és a GPL 2-es verziója vagy a kompatibilis licenc feltételei szerint kell terjeszteni, ahogy az a korábbi verziók esetében is történt. Ekkor a javítás kereskedelmi termékké vált, amelyet csak térítés ellenében terjesztenek, és a felhasználókat szokásosan figyelmeztették, hogy ha újraterjesztik a javítást (ez a jogot a GPLv2 biztosította számukra), megtagadják a hozzáférést a következő verziókhoz. a javítás, amely Bruce véleménye szerint sértheti a Nyilvános Licenc 6. szakaszát, állítólag magában hordozza a licenc felmondásának és ennek megfelelően a szerzői jogok és egyéb jogok megsértésének (kalózkodás) kockázatát. [14] [15] Perens megjegyzéseit személyes internetes blogján, a Debian projekt levelezőlistáján tették közzé ( amelynek korábban Perens volt a vezetője ) [16] , majd aktívan megvitatták a Slashdot internetes fórumon [17] .

2017. július 17-én az OSSI (egyszemélyes) bírósági eljárást kezdeményezett Bruce Perens ellen (ahogyan Spangler emlékeztetett [18] ) , más lehetőségek híján rágalmazást , valamint a cég jó hírnevének és üzleti érdekeinek esetleges jelentős sérelmét látva. cége [ 19] [20] [21] ). A cég az alábbi két állítást vitatta, hamis tényeknek tekintve:

"Határozott véleményem, hogy az Ön vállalatának kerülnie kell a grsecurity.net oldalon értékesített Grsecurity terméket, mert az hozzájáruló jogsértést és szerződésszegési kockázatot jelent." „Ügyfélként az a véleményem, hogy Önt egyrészt közreműködői jogsértésnek, másrészt szerződésszegésnek vethetik alá, ha ezt a terméket a Linux kernellel együtt alkalmaznák a Grsecurity által jelenleg alkalmazott továbbterjesztés tilalmi szabályzata értelmében.”

- [3]

2017 decemberében Laurel Beeler bíró (San Francisco) úgy döntött, hogy Perens az Egyesült Államok törvényei által megengedett véleményt nyilvánított, és elutasította a rágalmazási keresetet [22] . A további pereskedés körülbelül 3 évig tartott, és több fellebbezés után a 9. sémával zárult[ ismeretlen kifejezés ] az amerikai fellebbviteli bíróságok ("Open Source Security kontra Perens" ügy [23] ) [17] .) A bíróság elutasította a Bruce elleni kereseteket, és az Open Source Security-től és Brad Spanglertől a perköltségeket összegben behajtotta. körülbelül 260-300 ezer dollár [24] [22] [25] . A bíróságok nem foglalkoztak azzal a kérdéssel, hogy megsértették-e a GPL licenc feltételeit.

A pert 2017-ben a 10 legjobb nyílt forráskódú jogi ügy közé sorolták [26] .

PaX

A grsecurity egyik fő összetevője a PaX , amely számos mechanizmust valósít meg a sebezhetőségek kihasználása ellen (például puffertúlcsorduláson keresztül ), beleértve az objektumok helyének véletlenszerűsítését a memóriában (címterület-elrendezés véletlenszerűsítése, ASLR) és a tetszőleges gépi kód végrehajtása a folyamat számára írási módban elérhető oldalakról (különösen verem ).

A PaX-et a grsecurity fejlesztőcsapat egyik tagja fejleszti.

Magát a PaX-et a grsecurity programozóinak külön csapata fejleszti.


Kritika

A Kernel Linux projekt egyik társszerzője és karbantartója negatívan nyilatkozott a grsecurity patch szerzői által a programkód tekintetében alkalmazott megközelítésekről, magát a projektet dicsérve [27] [28] .

A grsecurity vállalat ellentmondásos magatartást tanúsított a közösségi médiában egy olyan felhasználóval kapcsolatban, aki 2016-ban javításként jelentett egy szoftverhibát [29] .

Jegyzetek

  1. A grsecurity nyílt forráskódú projekt az Open Hubon: Nyelvek oldala – 2006.
  2. Grsecurity_  _
  3. 1 2 grsecurity - A staféta átadása . grsecurity.net. Letöltve: 2020. május 26. Az eredetiből archiválva : 2020. május 19.
  4. Arany, a Jon Grsecurity leállítja a javítások kiadását a védjeggyel való visszaélésre hivatkozva  . Network World (2015. augusztus 28.). Letöltve: 2020. május 28. Az eredetiből archiválva : 2020. november 8.
  5. 1 2 A megkeményedett Linux sztárok, a Grsecurity kihúzzák a tűt a jogi  harc után . thereregister.co.uk (2015. augusztus 27.). Letöltve: 2020. május 28. Az eredetiből archiválva : 2018. október 2.
  6. 1 2 A Grsecurity leállítja a javítások ingyenes terjesztését . opennet.ru (2017.04.26.). Letöltve: 2020. május 25. Az eredetiből archiválva : 2020. szeptember 23.
  7. A Linux kernel biztonsági guruk, a Grsecurity kiszorítják a  várból a freeloadereket . thereregister.co.uk (2017. április 26.). Letöltve: 2020. május 28. Az eredetiből archiválva : 2019. július 10.
  8. Jonathan Corbet. A Grsecurity priváttá válik [  LWN.net ] . lwn.net (2017. május 4.). Letöltve: 2020. május 26. Az eredetiből archiválva : 2020. április 1.
  9. grsecurity – Hozzáférési szerződés GYIK . grsecurity.net. Letöltve: 2020. május 26. Az eredetiből archiválva : 2020. december 1.
  10. Kiegészítő megállapodás B. Perens szerint, az általa 2017 júniusában közzétett verzió 2021. április 24-i archív példány a Wayback Machine -nél  (eng.)
  11. Sebezhetőségek a nyílt forráskódú szoftverlicencekben, Andrey Savchenko, 2018: "Grsecity javítások ... a kód és a bináris összeállítások terjesztését egy további előfizetési szerződés korlátozza ... a nyílt forráskódú szoftverek terjesztésének és módosításának alapvető szabadságai sérülnek" . Letöltve: 2020. május 28. Az eredetiből archiválva : 2019. szeptember 1.
  12. https://grsecurity.net/agree/agreement_faq Archiválva : 2020. december 1. a Wayback Machine -nél "A GPLv2 feltételei szerint használhat, másolhat, módosíthat és terjeszthet bármilyen Linux-kernelt, amelyet grsecurity javításokkal kombinálva módosítottak."
  13. https://grsecurity.net/agree/agreement_faq Archiválva : 2020. december 1. a Wayback Machine -nél "Fenntartjuk a jogot, hogy bármikor, bármilyen okból megvonjuk a hozzáférést a grsecurity javítások és változásnaplók jövőbeli frissítéseihez. A felmondás okai között szerepelhetnek : ... grsecurity javítások terjesztése vagy telepítése a hozzáférési szerződés feltételeit megsértve"
  14. " A   Grsecurity Stable Patch Access megállapodása egy olyan kitétellel egészíti ki a GPL-t, amely
  15. Lehet, hogy a Grsecurity megsérti a GPL-t, amikor megpróbálja leállítani a kód portolását a Linux kernelre . opennet.ru (2017.07.10.). Letöltve: 2020. május 28. Az eredetiből archiválva : 2020. március 30.
  16. debian-user: Re: Miért nem érdekel senkit, hogy Brad Spengler a GRSecurity-től nyilvánvalóan megsérti a Linux kernel jogtulajdonosainak szándékát? Archivált : 2022. április 26. a Wayback Machine -nél , 2017-07
  17. 1 2 Bruce Perens nyert a szabad beszédért. 2020-02-25 . Letöltve: 2020. május 26. Az eredetiből archiválva : 2020. június 29.
  18. Varghese, Sam iTWire – A Linux kernelfolt-gyártója szerint a bírósági eljárás volt az egyetlen  kiút . itwire.com (2020. február 10.). Letöltve: 2020. május 28. Az eredetiből archiválva : 2020. május 14.
  19. A grsecurity szállítója bepereli a nyílt forráskódú úttörőt, Bruce Perenst a GPLv2 nézeteltérés miatt. 2017. augusztus 25 . Letöltve: 2020. május 26. Az eredetiből archiválva : 2020. augusztus 5..
  20. Thomas Claburn. A Linux kernel keményítői, a Grsecurity beperelték a nyílt forráskódú Bruce  Perenst . www.theregister.co.uk (2017. augusztus 3.). Letöltve: 2020. május 28. Az eredetiből archiválva : 2020. március 30.
  21. nebularia. A Grsecurity fejlesztői teljesen elcseszettek . Hiteles fórum a „linux.org.ru” nyílt forráskódú mozgalomról (2017.08.04 .). Letöltve: 2020. május 28. Az eredetiből archiválva : 2021. január 30.
  22. 12 _ _ _ _ _ _   _
  23. DC sz. 3:17-cv-04002-LB Archiválva : 2021. május 11. a Wayback Machine -nél [1] [2]
  24. A bíróság 259 ezer dollárt követelt be a Grsecurityt fejlesztő cégtől 2018.06.10 . Letöltve: 2020. május 26. Az eredetiből archiválva : 2020. március 30.
  25. A bíróság kötelezte az OSS-t, hogy fizessen 300 ezer dollárt Bruce Perensnek a Grsecurityvel folytatott eljárás eredményeként . opennet.ru (2020.03.28.). Letöltve: 2020. május 28. Az eredetiből archiválva : 2020. április 3.
  26. Richard Fontana (Red Hat). A 10 legjobb nyílt forráskódú jogi történet, amely megrázta  2017-et . opensource.com (2018. február 27.). Letöltve: 2020. május 28. Az eredetiből archiválva : 2020. szeptember 27.
  27. ↑ Linus Torvalds „tiszta szemetet” sújt a „bohócoktól a Grsecurity-nél  . thereregister.co.uk (2017. június 26.). Letöltve: 2020. május 28. Az eredetiből archiválva : 2020. február 17.
  28. Re: További CONFIG_VMAP_STACK sebezhetőség, refcount_t UAF és figyelmen kívül hagyott Secure Boot bypass / rootkit metódus . Letöltve: 2020. május 28. Az eredetiből archiválva : 2021. április 25.
  29. Mária Nyefjodova. A Grsecurity fejlesztői kitiltották azt a kutatót, aki hibát talált a legújabb javításban, a "Hacker"-ben . xakep.ru (2016.04.28.). Letöltve: 2020. május 28. Az eredetiből archiválva : 2020. február 17.

Lásd még

Irodalom

Linkek