Линус Торвальдс столкнулся с дилеммой: устранение уязвимости или сохранение совместимости

24 января 2015 года

Пользователи компьютерных игр столкнулись с невозможностью запуска игры Witcher 2 на системах с новыми ядрами Linux. В частности, наблюдается крах при запуске игры в окружении ядра 3.17.7 и более новых выпусков. После анализа ситуации разработчики выяснили, что причиной являются добавленные в недавних выпусках ядра дополнительные проверки параметров системного вызова "set_thread_area".

Линус Торвальдс присоединился к дискуссии и подтвердил свою приверженность принципу сохранения полной совместимости с приложениями, заключающемуся в том, что программные интерфейсы должны обеспечивать обратную совместимость, и никакие изменения в ядре не должны нарушать корректную работу пользовательских приложений. Чтобы не допустить подобные инциденты с играми в будущем, Линус посоветовал ответственным за тестирование ядра разработчикам включить игровые приложения в число проверяемых программ, а разработчикам проприетарных игр более активно сотрудничать с разработчиками ядра и сразу сообщать о всех возникших проблемах. В качестве решения проблемы с Witcher 2 Линус указал на необходимость смягчить добавленные в системный вызов ограничения "set_thread_area" или организовать жесткие проверки только для серверных систем.

Неоднозначность ситуации заключается в том, что добавление дополнительных проверок параметров системного вызова "set_thread_area" было осуществлено в рамках устранения выявленных в декабре критических уязвимостей ( CVE-2014-9322, CVE-2014-9090) и данные проверки необходимы для предотвращения атак, которые могут привести к повышению привилегий в системе. При этом старое недокументированное поведение системного вызова использовалось в игре Witcher 2. Для поиска свободных слотов TLS в системный вызов "set_thread_area" передавалась полностью обнулённая структура и такой метод работал в Witcher 2, хотя формально требовалась установка флагов read_exec_only и seg_not_present. Поведение системного вызова при передаче нулевых данных не было явно определено в документации, но воспринималось некоторыми разработчиками приложений как выполнение вызова без выделения сегментов, при том, что фактически подобные вызовы без установленного флага seg_not_present приводили к созданию доступного на чтение и запись 16-битного сегмента с нулевыми границами. В новых выпусках ядра передача в "set_thread_area" структур, содержащих 16-разрядные сегменты TLS была запрещена, так как подобные манипуляции с LDT используются (Архивная копия от 16 апреля 2015 на Wayback Machine) в эксплоите.

Таким образом возникла дилемма: сохранить совместимость, но оставить потенциальную уязвимость, или устранить вектор атаки, но нарушить совместимость программных интерфейсов. В случае с игрой Witcher удалось найти компромиссное обходное решение и подготовить патчи(недоступная ссылка), воспринимающие передачу структуры user_desc со всеми нулевыми значениями как операцию поиска свободного слота, и не проводить в этом случае заполнение сегмента TLS.

Источники

править
 
 
Creative Commons
Эта статья содержит материалы из статьи «Линус Торвальдс столкнулся с дилеммой: устранение уязвимости или сохранение совместимости», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.