Xz: Você consegue encontrar o único caractere que neutralizou o Landlock no Linux?

 (git.tukaani.org)
1 pontos por GN⁺ 2024-03-31 | 1 comentários | Compartilhar no WhatsApp

Correção do teste do recurso Landlock no Linux

  • Corrigido o teste do recurso Landlock no Linux na configuração de build do XZ Utils nos sistemas de build Autotools e CMake.
  • Em alguns sistemas, o arquivo de cabeçalho linux/landlock.h existe, mas as chamadas de sistema necessárias para realmente usar o Landlock não estão definidas.
  • Para resolver isso, foi adicionada uma verificação de compilação para confirmar se o recurso Landlock está realmente disponível para uso.

Opinião do GN⁺

  • Landlock é um dos recursos de segurança do kernel Linux e serve para reforçar a segurança ao restringir o acesso de processos a recursos. Testar esse tipo de funcionalidade corretamente é importante para manter a segurança do sistema.
  • O problema mencionado no artigo pode ser visto como um exemplo de questão de compatibilidade causada pela diversidade dos sistemas Linux. Isso é algo comum no desenvolvimento de software de código aberto, e os desenvolvedores precisam continuar trabalhando para resolver esse tipo de problema.
  • Este artigo relembra aos desenvolvedores de software a importância de testar se determinados recursos do sistema estão realmente disponíveis. Isso é ainda mais importante ao lidar com funcionalidades relacionadas à segurança.
  • Outros projetos com funções semelhantes incluem AppArmor e SELinux, do kernel Linux, que também são usados para reforçar a segurança do sistema.
  • Ao adotar uma tecnologia, é preciso avaliar cuidadosamente a compatibilidade do sistema e encontrar um equilíbrio entre o reforço de segurança obtido ao ativar recursos como o Landlock e os possíveis problemas de compatibilidade.

Leituras relacionadas

1 comentários

 
GN⁺ 2024-03-31
Comentários no Hacker News

  • Preocupação com commits recentes

    • Um usuário apontou que um commit recente está piorando os relatórios de segurança.
    • Outro usuário forneceu um link para o commit relacionado, apresentando uma solução.

  • Explicação do sistema de controle de acesso Landlock no Linux

    • Para quem não conhece bem o Landlock, foi fornecido um link para a documentação do sistema.

  • Página oficial de resposta ao incidente do xz

    • Foi fornecido um link para a página oficial de resposta relacionada ao backdoor do xz.

  • Confusão causada por poeira no monitor

    • Um usuário, ao examinar tudo com atenção, encontrou um ponto final em um lugar onde ele não deveria estar.
    • Ao tocar na tela e ver o ponto se mover, percebeu que era poeira no monitor.

  • Dataset de treinamento de IA para identificar problemas de segurança

    • Foi sugerido que a equipe de malware montou um dataset útil para treinar IA na identificação de problemas de segurança.
    • Há problemas de segurança em todos os commits, e a comunidade open source deverá identificá-los.

  • Dúvida sobre por que desativar o Landlock no xz

    • Um usuário questionou se a intenção era injetar conteúdo malicioso no arquivo compactado xz ou inserir atividade maliciosa no próprio xz.

  • Preocupação com os vínculos frágeis da segurança do sistema

    • Foi levantada a preocupação de que a segurança do sistema depende de várias cadeias de correção, e que diversos elementos poderiam ter impedido isso.
    • Também foi questionado qual seria o propósito de um header file caso ele não declare a funcionalidade real.

  • Necessidade de verificação de segurança para blobs binários

    • Foi apontada a ausência de um teste único para verificar se blobs binários compilados em open source mantêm a segurança.
    • Também foi defendido que a estabilidade deve ter prioridade sobre a adição de recursos.

  • Importância de merge requests (MR) e testes

    • Foi expressa a expectativa de que merge requests venham acompanhados de testes mostrando que fazem o que afirmam fazer.
    • Também foi questionado como os testes verificariam se o Landlock está ativado.

  • Especulação sobre a estratégia do backdoor

    • Houve especulação sobre a intenção de adicionar mais backdoors e se esses backdoors poderiam parecer mais plausíveis.

  • Sugestão de opções de build para recursos opcionais

    • Foram propostas três opções de build: ativação forçada, ativação quando possível e desativação forçada.

  • Confusão sobre o diff do código

    • Foi levantada a dúvida se havia um erro de sintaxe intencional no código que detecta, via cmake, se o recurso estava ativado.