Xz: Können Sie das eine einzige Zeichen finden, das Linux Landlock ausgehebelt hat?

 (git.tukaani.org)
1 Punkte von GN⁺ 2024-03-31 | 1 Kommentare | Auf WhatsApp teilen

Korrektur des Linux-Landlock-Feature-Tests

  • In der Build-Konfiguration von XZ Utils wurde der Test für das Linux-Landlock-Feature in den Build-Systemen Autotools und CMake korrigiert.
  • Auf einigen Systemen existiert zwar die Header-Datei linux/landlock.h, aber die Systemaufrufe, die für die tatsächliche Nutzung von Landlock erforderlich sind, sind nicht definiert.
  • Um dieses Problem zu lösen, wurde ein Kompilierungs-Check hinzugefügt, der prüft, ob das Landlock-Feature tatsächlich verfügbar ist.

Meinungen von GN⁺

  • Landlock ist eine der Sicherheitsfunktionen des Linux-Kernels und dient dazu, den Zugriff eines Prozesses auf Ressourcen einzuschränken und so die Sicherheit zu erhöhen. Ein präziser Test solcher Funktionen ist wichtig, um die Systemsicherheit aufrechtzuerhalten.
  • Das im Artikel erwähnte Problem kann als Beispiel für Kompatibilitätsprobleme gesehen werden, die durch die Vielfalt von Linux-Systemen entstehen. Solche Probleme treten in der Open-Source-Softwareentwicklung häufig auf, und Entwickler müssen kontinuierlich daran arbeiten, sie zu lösen.
  • Dieser Artikel erinnert Softwareentwickler daran, wie wichtig es ist, die Verfügbarkeit bestimmter Systemfunktionen zu testen. Insbesondere bei sicherheitsrelevanten Funktionen sind solche Tests noch wichtiger.
  • Andere Projekte mit ähnlicher Funktionalität sind etwa AppArmor oder SELinux im Linux-Kernel, die ebenfalls zur Stärkung der Systemsicherheit eingesetzt werden.
  • Bei der Einführung von Technologien sollte die Systemkompatibilität gründlich geprüft werden, und es gilt, ein Gleichgewicht zwischen dem Sicherheitsgewinn durch die Aktivierung von Sicherheitsfunktionen wie Landlock und möglichen Kompatibilitätsproblemen zu finden.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-03-31
Hacker-News-Kommentare

  • Bedenken zu einem aktuellen Commit

    • Ein Nutzer weist darauf hin, dass ein aktueller Commit die Sicherheitsberichterstattung verschlechtert.
    • Ein anderer Nutzer liefert einen Link zu dem betreffenden Commit und schlägt damit eine Lösung vor.

  • Erklärung des Landlock-Zugriffskontrollsystems von Linux

    • Für Personen, die Landlock nicht gut kennen, wird ein Link zur Dokumentation des Systems bereitgestellt.

  • Offizielle Reaktionsseite zum xz-Vorfall

    • Ein Link zur offiziellen Reaktionsseite im Zusammenhang mit der xz-Backdoor wird bereitgestellt.

  • Verwirrung durch Staub auf dem Monitor

    • Ein Nutzer entdeckt beim sorgfältigen Durchsehen einen Punkt an einer Stelle, an der keiner sein sollte.
    • Als er den Bildschirm berührt und der Punkt sich bewegt, erkennt er, dass es sich um Staub auf dem Monitor handelt.

  • KI-Trainingsdatensatz zur Identifizierung von Sicherheitsproblemen

    • Es wird die Meinung geäußert, dass ein Malware-Team einen nützlichen Datensatz für das KI-Training zur Erkennung von Sicherheitsproblemen aufgebaut hat.
    • In jedem Commit steckten Sicherheitsprobleme, und die Open-Source-Community werde diese identifizieren.

  • Frage, warum Landlock in xz deaktiviert wird

    • Ein Nutzer fragt sich, ob das Ziel darin bestand, bösartige Inhalte in das xz-Archiv einzuschleusen, oder ob bösartige Aktivitäten in xz selbst eingebracht werden sollten.

  • Bedenken über lose gekoppelte System­sicherheit

    • Es wird angemerkt, dass Systemsicherheit von mehreren Ketten der Korrektheit abhängt und dass es verschiedene Elemente gegeben hätte, die dies hätten verhindern können.
    • Es wird gefragt, welchen Zweck eine Header-Datei hat, wenn sie die tatsächliche Funktionalität nicht deklariert.

  • Notwendigkeit der Sicherheitsprüfung von Binary Blobs

    • Es wird darauf hingewiesen, dass im Open-Source-Bereich ein einzelner Test fehlt, der überprüft, ob kompilierte Binary Blobs sicher bleiben.
    • Es wird die Meinung geäußert, dass Stabilität Vorrang vor dem Hinzufügen neuer Funktionen haben sollte.

  • Wichtigkeit von Merge Requests und Tests

    • Es wird die Erwartung formuliert, dass Merge Requests mit Tests eingereicht werden sollten, die zeigen, dass sie die behauptete Funktion erfüllen.
    • Es wird gefragt, wie ein Test überprüfen soll, ob Landlock aktiviert ist.

  • Spekulationen über die Backdoor-Strategie

    • Es wird spekuliert, ob die Absicht bestand, weitere Backdoors hinzuzufügen, und ob diese Backdoors plausibler hätten wirken können.

  • Vorschlag für Build-Optionen bei optionalen Funktionen

    • Es werden drei Build-Optionen vorgeschlagen: erzwungen aktiviert, wenn möglich aktiviert und erzwungen deaktiviert.

  • Verwirrung über den Code-Diff

    • Es wird gefragt, ob im Code zur Erkennung, ob eine Funktion mit cmake aktiviert wurde, absichtlich ein Syntaxfehler eingebaut war.