Ny orinasa Edera, izay mamolavola vahaolana amin'ny fiarovana ny fotodrafitrasa Kubernetes sy ny rafitra AI, dia nanolotra ny tetikasa OpenPaX, izay fitambarana paty amin'ny kernel Linux miaraka amin'ny fampiharana fomba hanoherana ny fitrandrahana ny fahalemena ateraky ny fahadisoana rehefa miasa amin'ny fitadidiana. OpenPaX dia napetraka ho analogue tsy voafetra amin'ny fonosana PaX napetraka avy amin'ny tetikasa Grsecurity, izay nanomboka tamin'ny taona 2017 dia tsy nisy afa-tsy ampahany amin'ny vokatra karamaina. Ny fivoaran'ny OpenPaX dia misokatra eo ambanin'ny fahazoan-dàlana GPLv2.
Ny mpamorona ny fizarana Alpine Linux dia mikasa ny hanome fananganana andrana amin'ny kernel miaraka amin'ny paty OpenPaX amin'ny famoahana 3.21 manaraka, ary amin'ny famoahana 3.22 hamindra izany amin'ny sokajy safidy mahazatra. Ny OpenPaX dia azo ampiasaina amin'ny fizarana Gentoo sy Arch Linux, izay nanolotra karazany teo aloha ny kernel Linux miaraka amin'ny patch PaX. Ny mpamorona OpenPaX koa dia manantena ny hamindra ny sasany amin'ireo rafitra fiarovana novolavolainy ho ao anaty kernel lehibe.
Anisan'ireo endri-javatra ampiharina ao amin'ny OpenPaX, azontsika atao ny manamarika ny fampiasana ny W^X (soraty XOR execute) amin'ny fanaovana sarintany pejy fitadidiana, izay tsy mamela ny famoronana pejy fitadidiana izay azo ampiasaina amin'ny fanoratana sy famonoana, ary koa ny fanakanana ny fanovana. ny karazana sarintany pejy manomboka amin'ny fanoratana ka hatramin'ny famonoana. OpenPaX koa dia manana mekanika emulation izay ahafahanao mampiasa ny stack sy heap, izay voarara ny famonoana kaody, miaraka amin'ny fiasan'ny trampoline, ohatra, ireo vokarin'ny libffi na GCC (ny fototry ny trampoline dia ny fehezan-dalàna hiantsoana akany na Ny fiasa ivelany dia noforonina sy tanterahina amin'ny stack). Trampolines dia alaina amin'ny alalan'ny fisakanana ny lesoka pejy rehefa manandrana mampandeha kaody amin'ny fahatsiarovana tsy azo tanterahana ary maka tahaka ny hitsambikina.
Koa satria ny fomba fiarovana ampiharina dia mety hanelingelina ny fampandehanana ara-dalàna ny JIT compiler, dia azo atao ny mampiasa xattr sy ny utility paxmark mba hifehezana ny fampidirana ireo endri-javatra OpenPaX mifandraika amin'ny rakitra azo tanterahana. Misy ihany koa ny maodely fampahavitrihana malefaka OpenPaX (sysctl kernel.pax.softmode=1), izay tsy ahitàna ny OpenPaX amin'ny alàlan'ny default, saingy azo alaina ho an'ny fampiharana tsirairay izay mitaky fiarovana.
Fanampin'izany, azontsika atao ny manamarika ny famoahana ny module kernel LKRG 0.9.9, novolavolain'ny tetikasa Openwall ary natao hamantarana sy hanakanana ny fanafihana, ary koa hisorohana ny fanitsakitsahana ny fahamendrehan'ny rafitra kernel. Ohatra, ny module dia afaka miaro amin'ny fanovana tsy nahazoana alalana amin'ny kernel mihazakazaka ary manandrana manova ny fahazoan-dàlana amin'ny fizotran'ny mpampiasa (famantarana ny fampiasana exploit). Ny maodely dia mety tsara ho an'ny fandaminana fiarovana amin'ny fanararaotana ny vulnerabilities kernel Linux efa fantatra (ohatra, amin'ny toe-javatra sarotra ny manavao ny kernel ao amin'ny rafitra), ary amin'ny fanoherana ny fanararaotana ho an'ny vulnerability mbola tsy fantatra. Ny kaody tetikasa dia zaraina eo ambanin'ny fahazoan-dàlana GPLv2. Azonao atao ny mamaky momba ny endriky ny fampiharana ny LKRG amin'ny fanambarana voalohany momba ny tetikasa. Ny dikan-teny vaovao dia manome fampifanarahana amin'ny kernel Linux 5.10.220+, 6.10.10+, 6.11 ary 6.12-rc, ary koa ny fonosana miaraka amin'ny kernel 5.14.0-470.el9+ omena miaraka amin'ny CentOS Stream 9 sy RHEL 9. Mifanaraka amin'ny cores miangona amin'ny fomba "CONFIG_JUMP_LABEL" amin'ny rafitra misy maritrano ARM64.
Source: opennet.ru
