OpenBSD mit neuem Sicherheitskonzept

Manwe

Well-Known Member
Die für den 1. Mai angekündigte neue Version 3.3 des freien Unix-Derivats OpenBSD will den Buffer Overflows, einer wichtigen Ursache für Software-Sicherheitsprobleme, den Garaus machen. Eine Kombination von Maßnahmen soll es praktisch unmöglich machen, Programmschwächen bei der Prüfung von Eingabedaten dazu auszunutzen, um fremden Code in den Speicher des Programms zu schmuggeln und durch Überschreiben der Rücksprungadresse einer Funktion auszuführen. Details dazu finden sich in dem c't-Artikel Das Sicherheitsloch -- Buffer-Overflows und wie man sich davor schützt.

Der so genannte ProPolice-Stackschutz implementiert die StackGuard-Methode. Dabei handelt es sich um einen gcc-Patch, der dafür sorgt, dass ein Überschreiben der Rücksprungadresse auf dem Stack bemerkt wird. Eingeschmuggelter Fremdcode lässt sich so nicht mehr anspringen. Zudem kommt "W^X" (Writeable xor eXecutable) in der Version 3.3 von OpenBSD auf einigen Prozessorarchitekturen zum Einsatz (Sparc, Sparc64, Alpha und HP-PA; i386 soll mit der Version 3.4 folgen): Das Beschreiben von Speicherseiten und das Auführen von Code in diesen Speicherseiten schließen sich gegenseitig aus. So soll es Angreifern unmöglich gemacht werden, eigenen Code in den Speicher zu bringen und auszuführen.

Die Arbeit an den neuen Schutzkonzepten wird unter anderem mit Geldern des US-Verteidigungsministeriums finanziert. Die OpenBSD-Entwickler rühmen sich der hohen Sicherheit ihres Betriebssystems: Bislang will ihnen in der Default-Installation nur eine einzige von außen angreifbare Sicherheitslücke durchgerutscht sein; zur Geschichte von OpenBSD und der anderen Unix- Derivate auf Basis der 4.4BSDLite-Linie siehe auch den Artikel Das Allerwelts-Unix: 10 Jahre NetBSD. (odi/c't)

Quelle www.heise.de/ct
 
Oben