No eXecution für Linux [Update]
Der bei Redhat beschäftigte Kernel-Hacker Ingo Molnar hat einen Patch für den Linux-Kernel entwickelt, der die No-Execution-Funktionen der AMD64-CPUs unterstützt.
Der bei Redhat beschäftigte Kernel-Hacker Ingo Molnar hat einen Patch für den Linux-Kernel 2.6 entwickelt, der die No-Execution-Funktionen der AMD64-CPUs unterstützt. Über diese Funktion lassen sich Speicherbereiche wie der Stack als nicht-ausführbar markieren, was das Ausnutzen von Programmfehlern wie Buffer Overflows deutlich erschwert. Auch Intel, Transmeta und VIA haben solche Funktionen bereits angekündigt.
Der Patch beruht auf einem Prototyp des NX-Patches für 2.4er Kernel von Intel und bezieht sich ausschließlich auf Systeme, die im 32-Bit-Modus laufen. Wurde Linux für eine x86-64-Bit-Architektur übersetzt, nutzt es ohnehin die 64-Bit-Version von NX. Neben dem Patch, der ein Neuübersetzen des Kernels erfordert, gibt es auch bereits fertige RPM-Pakete für Redhat-Systeme. Windows XP soll ab dem in Vorbereitung befindlichen Service Pack 2 die No-Execution-Funktionen nutzen können (siehe dazu die Artikelserie Vergitterte Fenster auf heise Security.)
Update:
Ingo Molnar erklärte gegenüber heise Security, dass geplant sei, den Patch in den offiziellen 2.6er-Kernel zu integrieren; dessen Maintainer Andrew Morton habe ihn bereits in seinen Entwicklungszweig für die nächste Kernel-Version aufgenommen. NX-Unterstützung für Kernelversion 2.4 sei derzeit nicht geplant, doch möglicherweise integriert Molnar die NX-Unterstützung in die Sicherheitserweiterung ExecShield.
Siehe dazu auch:
- Kurzanleitung zum NX-Patch von Ingo Molnar
- Kernel-Patch von Ingo Molnar
- gepatchte Redhat Kernel RPMs (ab 2.6.6-1.411)
(ju)
