Grsecurity

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 14. maaliskuuta 2021 tarkistetusta versiosta . tarkastukset vaativat 16 muokkausta .
Grsecurity
Tyyppi Patch
Sisään kirjoitettu C [1]
Käyttöjärjestelmä Linux
Lisenssi GNU GPL 2 [2]
Verkkosivusto grsecurity.net

Grsecurity  on oma Linux-ytimen muokkaussarja ( korjaus ) , joka sisältää useita turvallisuuteen liittyviä parannuksia, kuten ytimen muistin ja käyttäjäprosessien suojauksen , pakotetun pääsyn hallinnan , objektien sijainnin satunnaistamisen muistissa , tiedostojen käyttörajoitukset proc, rajoitukset pääsyn järjestelmärajapintoihin chroot () vankilassa , rajoitukset palvelin- ja asiakasverkkopistokkeiden käytölle sekä lisämahdollisuudet prosessitoiminnan ja eräiden muiden toimintojen auditointiin. Tyypillinen sovellusalue on järjestelmät, jotka voivat hyväksyä verkkoyhteyksiä mahdollisesti vaarallisista lähteistä: kuten palvelimet eri verkkopalveluille (esimerkiksi verkkopalvelimet ) tai palvelimet, jotka tarjoavat käyttäjilleen käyttöliittymän . Grsecurity-korjaustiedosto on julkaistu GPL - versiolla 2 vuodesta 2001, ja se sisältää PaX -korjauspaketin . 26. huhtikuuta 2017 alkaen grsecurityn lähdekoodit ja niihin liittyvät korjaustiedostot eivät ole enää ladattavissa, ja niiden jakelu tapahtuu vain maksullisena [3] . Grsecurityn luoja ja johtava kehittäjä on Brad Spengler, eli kuluttaja.

Lisenssit ja oikeudenkäynnit

Grsecurity korjaustiedosto oli alun perin avoimen lähdekoodin ja ilmainen ohjelmisto. Vuonna 2015 kiistan jälkeen grsecurity-tavaramerkin virheellisestä käytöstä korjaustiedoston kirjoittaja päätti lopettaa korjaustiedoston vakaan version koodien ilmaisen (rajoittamattoman) jakelun kaikille [4] [5] . Grsecurityn [5] testiversiot yhden korjaustiedoston muodossa ilman, että ne hajosivat sarjoihin tuolloin olivat julkisesti saatavilla.

26. huhtikuuta 2017 lähtien vapaa pääsy grsecurity-korjauksen testiversioihin (sekä PaX) on suljettu, mikä johtuu todennäköisesti ristiriidosta KSPP :n [6] tai Wind Riverin [7] kanssa . Viimeisin julkinen julkaisu oli testikorjaus Linux-ytimen versiolle 4.9. Uudemmat versiot ovat saatavilla vain "Open Source Security Inc:n" kaupallisille tilaajille (korjauksen kehittäjä vuodesta 2008, PA ) [3] [8] [6] erillisen palvelusopimuksen [9] [10] [11] nojalla .

Selvennyksessä OSSI ilmoitti, että korjaustiedostoja lisensoidaan edelleen GPLv2:n mukaisesti kaikilla oikeuksilla ja velvoitteilla . [12] Käyttäjän ja yrityksen välinen kaupallinen sopimus sisältää kuitenkin ehdon, joka estää asiakkailta pääsyn korjauspäivityksen tuleviin versioihin, jos käyttäjä käyttää GPL:n hänelle antamia oikeuksia käyttää (asentamaan ja jakaa) grsecurity-korjaustiedostoja ohittamalla. sopimus [13] .

Kesäkuussa 2017 Bruce Perens , joka tunnetaan osallistumisestaan ​​vapaiden ohjelmistojen liikkeeseen, ilmaisi julkisesti mielipiteensä, että kolmansien osapuolten tulisi välttää "Grsecurity" -tuotteen ostamista grsecurity.net-sivustolta. Hän huomautti, että korjaustiedosto on johdannainen Linux-ytimen koodista ja sitä tulisi jakaa GPL-version 2 tai yhteensopivan lisenssin ehtojen mukaisesti, kuten aiempien versioiden tapauksessa. Tuolloin korjaustiedostosta oli tullut kaupallinen tuote, jota jaetaan vain maksua vastaan, ja tavanomaisesti käyttäjiä varoitettiin, että jos he jakavat korjaustiedoston uudelleen (GPLv2:n heille antama oikeus), heiltä evätään pääsy ohjelmiston myöhempiin versioihin. korjaustiedoston, jonka Brucen mielestä väitetään rikkovan julkisen lisenssin kohtaa 6, väitetään sisältävän lisenssin irtisanomisen ja vastaavasti tekijänoikeus- ja muiden oikeuksien rikkomisen (piratismi). [14] [15] Perensin kommentit julkaistiin hänen henkilökohtaisessa Internet-blogissaan, Debian - projektin postituslistalla ( jonka Perens oli aiemmin johtaja ) [16] ja sitten niistä keskusteltiin aktiivisesti Slashdotin Internet-foorumilla [17] .

17. heinäkuuta 2017 OSSI (yhden miehen) aloitti oikeudenkäynnin Bruce Perensiä vastaan ​​(kuten Spangler muistutti [18] , koska muita vaihtoehtoja ei ollut, koska hän näki lausunnossaan kunnianloukkausta ja mahdollisen merkittävän vahingon yrityksen maineelle ja liike-elämän eduille hänen yrityksensä [ 19] [20] [21] ). Yhtiö kiisti seuraavat kaksi väitettä pitäen niitä väärinä tosiasioina:

"Olen vahvasti sitä mieltä, että yrityksesi tulisi välttää osoitteessa grsecurity.net myytävää Grsecurity-tuotetta, koska se aiheuttaa myötävaikutteisen loukkauksen ja sopimusriskin." "Asiakkaana olen sitä mieltä, että joutuisit sekä myötävaikutteisen loukkauksen että sopimusrikkomuksen kohteeksi, jos käytät tätä tuotetta yhdessä Linux-ytimen kanssa Grsecurityn tällä hetkellä soveltaman jakelukiellon mukaisesti."

- [3]

Joulukuussa 2017 maistraattituomari Laurel Beeler (San Francisco) päätti, että Perens ilmaisi Yhdysvaltain lain salliman mielipiteen ja hylkäsi kunnianloukkausvaatimuksen [22] . Muut oikeudenkäynnit jatkuivat noin 3 vuotta ja päättyivät useiden valitusten jälkeen 9. järjestelmään[ tuntematon termi ] Yhdysvaltain muutoksenhakutuomioistuinten (asia "Open Source Security v. Perens" [23] ) [17] .) Tuomioistuin hylkäsi kanteet Brucea vastaan ​​ja peri Open Source Securitylta ja Brad Spanglerilta takaisin oikeudenkäyntikulut. noin 260-300 tuhatta dollaria [24] [22] [25] . Tuomioistuimet eivät ole käsitelleet kysymyksiä siitä, onko GPL-lisenssin ehtoja rikottu.

Oikeudenkäynti nimettiin 10 suurimman avoimen lähdekoodin oikeusjutun joukkoon vuonna 2017 [26] .

PaX

Yksi grsecurityn pääkomponenteista on PaX , joka toteuttaa useita mekanismeja suojatakseen haavoittuvuuksien hyödyntämistä (esimerkiksi puskurin ylivuodon kautta ), mukaan lukien objektien sijainnin satunnaistaminen muistissa (osoitetilan layout randomization, ASLR) ja rajoitukset mielivaltaisen konekoodin suorittaminen prosessin käytettävissä olevilta sivuilta kirjoitustilassa (erityisesti pino ).

PaX:ää kehittää grsecurity-kehitystiimin jäsen.

Itse PaX:n on kehittänyt erillinen grsecurityn ohjelmoijatiimi.


Kritiikki

Yksi Kernel Linux -projektin kirjoittajista ja ylläpitäjistä puhui kielteisesti grsecurity-korjauksen tekijöiden lähestymistavoista ohjelmakoodin suhteen, ja ylisti itse projektia [27] [28] .

Grsecurity-yhtiön nähtiin osallistuvan kiistanalaiseen toimintaan sosiaalisessa mediassa käyttäjän suhteen, joka ilmoitti ohjelmistovirheestä korjaustiedostona vuonna 2016 [29] .

Muistiinpanot

  1. Grsecurity Open Source -projekti Open Hubissa: Languages Page - 2006.
  2. Turvallisuus  _
  3. 1 2 grsecurity - Viestikapula . grsecurity.net. Haettu 26. toukokuuta 2020. Arkistoitu alkuperäisestä 19. toukokuuta 2020.
  4. Kulta, Jon Grsecurity lopettaa korjaustiedostojen julkaisemisen vedoten tavaramerkin väärinkäyttöön  . Network World (28. elokuuta 2015). Haettu 28. toukokuuta 2020. Arkistoitu alkuperäisestä 8. marraskuuta 2020.
  5. 1 2 Hardened Linux Stawarts Grsecurity vetää pinssin laillisen  taistelun jälkeen . thereregister.co.uk (27. elokuuta 2015). Haettu 28. toukokuuta 2020. Arkistoitu alkuperäisestä 2. lokakuuta 2018.
  6. 1 2 Grsecurity lakkaa jakamasta korjaustiedostojaan ilmaiseksi . opennet.ru (26.04.2017). Haettu 25. toukokuuta 2020. Arkistoitu alkuperäisestä 23. syyskuuta 2020.
  7. Linux-ytimen tietoturvagurut Grsecurity karkoittivat freeloaders  linnasta . thereregister.co.uk (26. huhtikuuta 2017). Haettu 28. toukokuuta 2020. Arkistoitu alkuperäisestä 10. heinäkuuta 2019.
  8. Jonathan Corbet. Grsecurity menee yksityiseksi [  LWN.net ] . lwn.net (4. toukokuuta 2017). Haettu 26. toukokuuta 2020. Arkistoitu alkuperäisestä 1. huhtikuuta 2020.
  9. grsecurity - Käyttöoikeussopimus UKK . grsecurity.net. Haettu 26. toukokuuta 2020. Arkistoitu alkuperäisestä 1. joulukuuta 2020.
  10. B. Perensin mukainen lisäsopimus, hänen kesäkuussa 2017 julkaisema versio. Arkistokopio päivätty 24.4.2021 Wayback Machinessa  (eng.)
  11. Avoimen lähdekoodin ohjelmistolisenssien haavoittuvuudet, Andrey Savchenko, 2018: "Grsecurity-korjaukset ... koodin ja binäärikokoonpanojen jakelua rajoittaa lisätilaussopimus ... avoimen lähdekoodin ohjelmistojen jakelun ja muokkaamisen perusvapauksia rikotaan" . Haettu 28. toukokuuta 2020. Arkistoitu alkuperäisestä 1. syyskuuta 2019.
  12. https://grsecurity.net/agree/agreement_faq Arkistoitu 1. joulukuuta 2020 Wayback Machinessa "Voit käyttää, kopioida, muokata ja jakaa mitä tahansa Linux-ydintä, jota on muokattu yhdessä grsecurity-korjausten kanssa GPLv2:n ehtojen mukaisesti."
  13. https://grsecurity.net/agree/agreement_faq Arkistoitu 1. joulukuuta 2020 Wayback Machinessa "Varaamme oikeuden peruuttaa pääsyn grsecurity-korjausten ja muutoslokien tuleviin päivityksiin milloin tahansa mistä tahansa syystä. Syyt irtisanomiseen voivat olla mm . : ... grsecurity-korjausten jakelu tai asennus käyttöoikeussopimuksen ehtojen vastaisesti"
  14. " Grsecurityn Stable Patch Access -sopimus lisää GPL :   ään ehdon, joka kieltää jakelun tai luo
  15. Grsecurity saattaa rikkoa GPL:ää yrittäessään lopettaa koodin siirtämisen Linux-ytimeen . opennet.ru (10.07.2017). Haettu 28. toukokuuta 2020. Arkistoitu alkuperäisestä 30. maaliskuuta 2020.
  16. debian-user: Re: Miksi kukaan ei välitä siitä, että GRSecurityn Brad Spengler rikkoo räikeästi Linux-ytimen oikeudenhaltijoiden aikomusta? Arkistoitu 26. huhtikuuta 2022 Wayback Machinessa , 2017-07
  17. 1 2 Bruce Perens voitti sananvapauden. 25-02-2020 . Haettu 26. toukokuuta 2020. Arkistoitu alkuperäisestä 29. kesäkuuta 2020.
  18. Varghese, Sam iTWire - Linux-ytimen korjaustiedostojen valmistaja sanoo, että oikeusjuttu oli ainoa  tie . itwire.com (10. helmikuuta 2020). Haettu 28. toukokuuta 2020. Arkistoitu alkuperäisestä 14. toukokuuta 2020.
  19. Grsecurity-toimittaja haastaa avoimen lähdekoodin pioneerin Bruce Perensin oikeuteen GPLv2-kiistassa. 25. elokuuta 2017 . Haettu 26. toukokuuta 2020. Arkistoitu alkuperäisestä 5. elokuuta 2020.
  20. Thomas Claburn. Linux-ytimen kovettimet Grsecurity haastaa avoimen lähdekoodin Bruce Perensin  oikeuteen . www.theregister.co.uk (3. elokuuta 2017). Haettu 28. toukokuuta 2020. Arkistoitu alkuperäisestä 30. maaliskuuta 2020.
  21. nebularia. Grsecurityn kehittäjät ovat menneet täysin sekaisin . Arvovaltainen foorumi avoimen lähdekoodin liikkeestä "linux.org.ru" (08/04/2017). Haettu 28. toukokuuta 2020. Arkistoitu alkuperäisestä 30. tammikuuta 2021.
  22. 1 2 Grsecurityn valmistaja maksaa vihdoin 300 000 dollaria avoimen lähdekoodin pioneerin Bruce Perensin lakilaskujen peräkkäin GPL:n takia . Arkistoitu 27. toukokuuta 2020 Wayback Machinessa / The Register  
  23. DC nro. 3:17-cv-04002-LB Arkistoitu 11. toukokuuta 2021 Wayback Machinessa [1] [2]
  24. Tuomioistuin peri 259 tuhatta dollaria Grsecuritya kehittävältä yritykseltä 06/10/2018 . Haettu 26. toukokuuta 2020. Arkistoitu alkuperäisestä 30. maaliskuuta 2020.
  25. Tuomioistuin määräsi OSS:n maksamaan 300 tuhatta dollaria Bruce Perensille Grsecurityn kanssa käydyn menettelyn tulosten jälkeen . opennet.ru (28.03.2020). Haettu 28. toukokuuta 2020. Arkistoitu alkuperäisestä 3. huhtikuuta 2020.
  26. Richard Fontana (Red Hat). Top 10 avoimen lähdekoodin juridista tarinaa, jotka järkyttivät vuotta  2017 . opensource.com (27. helmikuuta 2018). Haettu 28. toukokuuta 2020. Arkistoitu alkuperäisestä 27. syyskuuta 2020.
  27. ↑ Linus Torvalds kritisoi Grsecurityn  klovneilta " puhdasta roskaa" . thereregister.co.uk (26. kesäkuuta 2017). Haettu 28. toukokuuta 2020. Arkistoitu alkuperäisestä 17. helmikuuta 2020.
  28. Re: Lisää CONFIG_VMAP_STACK-haavoittuvuuksia, refcount_t UAF ja ohitettu Secure Boot ohitus / rootkit -menetelmä . Haettu 28. toukokuuta 2020. Arkistoitu alkuperäisestä 25. huhtikuuta 2021.
  29. Maria Nefyodova. Grsecurity-kehittäjät ovat kieltäneet tutkijan, joka löysi vian uusimmasta korjaustiedostosta - "Hacker" . xakep.ru (28.04.2016). Haettu 28. toukokuuta 2020. Arkistoitu alkuperäisestä 17. helmikuuta 2020.

Katso myös

Kirjallisuus

Linkit