Benutzerspezifische Werkzeuge
Sie sind hier: Startseite Members menole news Mehr Sicherheit in Lenny: Security Hardening Project
Artikelaktionen

Mehr Sicherheit in Lenny: Security Hardening Project

von Michael MendeZuletzt verändert: 02.02.2008 19:05

Moritz Muehlenhoff vom "Security Hardening Project" [1] beschrieb in debian-devel-announce [2] einige Features neuerer Versionen der GNU-Kompiler gcc und g++, die für mehr Sicherheit in C- und C++-Programmen führen sollen.

In seinen Ausführungen unterscheidet Moritz zwei Gruppen von Erweiterungen:

  1. Funktionen zur Verhinderung der Ausnutzung von Sicherheitslücken im Quellcode
    1. Stack protector [3]: Compiler-Flag "-fstack-protector"
    2. Fortify Source: Compiler-Flags "-D_FORTIFY_SOURCE=2" und "-O2" oder größer
    3. Format warnings [4]: Compiler-Flags "-Wformat" und "-Wformat-security", Compiler-Warnungen beachten
  2. Funktionen zur Steigerung der Wirksamkeit von Address-Space-Layout-Randomization, was das erfolgreiche Ausnutzen von Schwachstellen deutlich erschweren soll [5]
    1. Relro:Compiler-Flag "-Wl,zrelro"
    2. Position Independent Executables: Compiler-Flags "-fPIE" für Objekte und "-pie" für Bibliotheken und Programme
Sinnvoll seien diese Erweiterungen vor allem für C-/C++-Anwendungen,
  • die Daten aus nicht vertrauenswürdigen Quellen verarbeiten,
  • über Netzwerk(e) kommunizieren oder
  • schon Gegenstand eines DSA [6] waren.

Links

[1] http://alioth.debian.org/projects/hardening/

[2] http://lists.debian.org/debian-devel-announce/2008/01/msg00006.html

[3] http://en.wikipedia.org/wiki/Stack-smashing_protection

[4] http://en.wikipedia.org/wiki/Format_string_attack

[5] http://en.wikipedia.org/wiki/Address_space_layout_randomization

[6] http://www.debian.org/security/

[7] http://wiki.debian.org/Hardening