安全人員發現 SELinux 防禦可被輕易繞過
SuSE的安全研究人員Sebastian Krahmer成功的繞過了SELinux的白名單規則,Sebastian分析了漏洞利用的方法並且公開了PoC。由於在targeted規則的情況下,社群的維護人員都假設程式是安全的,所以會給一些的程式root許可權執行,可能這正是NSA所希望看到的;-)
著名的MAC(強制訪問控制)開源實現SELinux是由NSA(美國國家安全域性)於1990年代末發起的專案,於2000年以GPL自由軟體許可證開放原始碼,2003年合併到Linux核心中,過去10年中關於是否NSA在其中放後門的爭論沒有停過,一些人認為應該信任SELinux,因為它是以GPL自由軟體許可證公開的原始碼,也有人認為它是NSA參與過的專案,所以不應該信任。2013年Snowden曝光稜鏡後更多的人極度的不信任NSA,認為NSA有對Android程式碼植入後門的前科,所以應該懷疑所有NSA積極參與的專案包括SELinux。
目前MAC的開源實現裡,SELinux主要由RedHat/CentOS/Fedora社群維護,Apparmor主要由OpenSuSE/Ubuntu社群維護,而以縱深防禦著稱的PaX/Grsecurity到目前未知因為廠商利益以及社群政治等各種原因,雖然被諸多作業系統抄襲( Linux/Windows/OSX),但一直未能進入Linux主幹程式碼。
相關文章
- Webscan360的防禦與繞過Web
- xss原理繞過防禦個人總結
- 關於重複發包的防護與繞過
- Discuz 6、7 版本存在全域性變數防禦繞過導致程式碼執行漏洞變數
- 高防伺服器如何實現防禦伺服器
- 幾種通用防注入程式繞過方法
- 重大漏洞:Bitlocker成擺設,多款固態硬碟硬體加密均可被繞過硬碟加密
- 中轉Webshell繞過流量檢測防護Webshell
- 4、幾種通用防注入程式繞過方法
- AccessibilityService防禦
- DDoS 防禦
- 學Guava發現:不可變特性與防禦性程式設計Guava程式設計
- 防禦DDoS原理搞明白,防禦效果才能事半功倍
- 前端防禦XSS前端
- js繞過-前端加密繞過JS前端加密
- 前端實現iPhone繞過AppStore從瀏覽器安裝App前端iPhoneAPP瀏覽器
- 戴爾、聯想、微軟膝上型電腦上的Windows Hello身份驗證可被繞過微軟Windows
- AccessibilityService分析與防禦
- CSS 樣式防禦CSS
- 資料發現和零信任如何幫助防禦資料洩露
- 列隊:網路空間擬態防禦的“家族成員”們
- Lumen XSS 防禦 和 SQL 注入怎樣實現SQL
- 通過進攻心態進行有效的網路防禦
- CDN防禦與高防伺服器伺服器
- 擬態防禦再迎挑戰 自主可控保障網安
- 安全研究員無意間發現谷歌手機一個鎖屏繞過漏洞,收穫七萬美元賞金谷歌
- DDOS伺服器防禦的方法有哪些,如何防禦DDOS攻擊伺服器
- WMI 的攻擊,防禦與取證分析技術之防禦篇
- 防禦式CSS是什麼?這幾點屬性重點防禦!CSS
- 併發,繞不過的彎兒
- CSRF攻擊與防禦
- 什麼是CDN防禦
- CSRF 攻擊與防禦
- LDAP注入與防禦剖析LDA
- WEB攻擊與防禦Web
- 分享DDOS防禦過程中需要了解的技術手段
- C/C++ 踩過的坑和防禦式程式設計C++程式設計
- 【虹科分享】一種動態防禦策略——移動目標防禦(MTD)
- RAKsmart高防伺服器防禦形式解析伺服器