© 1995-2008 by The FreeBSD Project. All rights reserved.URL: http://www.FreeBSD.de
bcr 2009-06-01 21:26:26 UTC
FreeBSD German Documentation Repository
Modified files:
books/developers-handbook/secure chapter.sgml
Log:
MFen 1.29
ProPolice in den Abschnitt über Pufferüberläufe eingefügt.
s/ihres Programme/ihrer Programme/
in einer Überschrift.
Revision Changes Path
1.13 +28 -59 de-docproj/books/developers-handbook/secure/chapter.sgml
Index: chapter.sgml
===================================================================
RCS file: /home/cvs/de-docproj/books/developers-handbook/secure/chapter.sgml,v
retrieving revision 1.12
retrieving revision 1.13
diff -u -I$FreeBSDde.*$ -r1.12 -r1.13
--- chapter.sgml 1 Jun 2009 20:59:48 -0000 1.12
+++ chapter.sgml 1 Jun 2009 21:26:26 -0000 1.13
@@ -3,8 +3,8 @@
The FreeBSD German Documentation Project
$FreeBSD: doc/de_DE.ISO8859-1/books/developers-handbook/secure/chapter.sgml,v 1.1 2009/02/14 22:06:23 miwi Exp $
- $FreeBSDde: de-docproj/books/developers-handbook/secure/chapter.sgml,v 1.12 2009/06/01 20:59:48 bcr Exp $
- basiert auf: 1.28
+ $FreeBSDde: de-docproj/books/developers-handbook/secure/chapter.sgml,v 1.13 2009/06/01 21:26:26 bcr Exp $
+ basiert auf: 1.29
-->
<chapter id="secure">
@@ -73,18 +73,9 @@
<indexterm><primary>Morris Internetwurm</primary></indexterm>
- funktioniert der gleiche grundlegende Angriff noch heute. Von
- den 17 CERT-Sicherheitsmeldungen wurden 1999 zehn
-
- <indexterm>
- <primary>CERT</primary>
- <secondary>Sicheitshinweise</secondary>
- </indexterm>
-
- direkt durch Puffer-Überläufe in der Software
- verursacht. Die bei weitem häufigste Form eines
- Puffer-Überlauf-Angriffs basiert darauf, den Stack
- zu korrumpieren.</para>
+ funktioniert der gleiche grundlegende Angriff noch heute. Die bei weitem
+ häufigste Form eines Puffer-Überlauf-Angriffs basiert darauf,
+ den Stack zu korrumpieren.</para>
<indexterm><primary>Stack</primary></indexterm>
<indexterm><primary>Arguments</primary></indexterm>
@@ -317,56 +308,34 @@
Quelltext, der allgemein verwendet wird und blind Speicher
umherkopiert, ohne eine der gerade besprochenen Funktionen,
die Begrenzungen unterstützen, zu verwenden.
- Glücklicherweise gibt es eine weitere Lösung.
- Verschiedene Compiler-Erweiterungen und Bibliotheken
- überprüfen die Grenzen in C/C++ zur
- Laufzeit.</para>
+ Glücklicherweise gibt es einen Weg, um solche Angriffe zu
+ verhindern - Überprüfung der Grenzen zur Laufzeit, die in
+ verschiedenen C/C++ Compilern eingebaut ist.</para>
+ <indexterm><primary>ProPolice</primary></indexterm>
<indexterm><primary>StackGuard</primary></indexterm>
<indexterm><primary>GCC</primary></indexterm>
- <para>StackGuard ist eine solche Erweiterung, die als
- kleiner Patch für den GCC-Code-Generator
- implementiert ist. Von der <ulink
- url="http://immunix.org/stackguard.html">StackGuard
- Webseite</ulink> (übersetzt):
-
- <blockquote>
- <para>"StackGuard erkennt und verhindert
- Stack-Smashing-Angriffe, indem es die
- Rücksprungadresse auf dem Stack davor
- schützt, geändert zu werden. StackGuard
- platziert ein "Canary"-Wort (Anmerkung des
- Übersetzers: Kanarienvogel, nach einer
- Sicherheitsvorkehrung von Bergleuten, um Gas
- frühzeitig zu erkennen, ein Wort ist hier
- ein 32-Bit-Speicherblock) neben der
- Rücksprungadresse, wenn eine Funktion aufgerufen
- wird. Wenn das Canary bei der Rückkehr der
- Funktion geändert wurde, reagiert das Programm
- auf den Versuch eines Stack-Smashing-Angriffs,
- schickt eine Benachrichtigung an Syslog und
- hält dann an."</para>
- </blockquote>
-
- <blockquote>
- <para>"StackGuard ist als ein kleiner Patch für
- den GCC-Code-Generator implementiert, um genau zu
- sein, für die Routinen function_prolog() und
- function_epilog().
- function_prolog() wurde erweitert, um Canaries beim
- Start einer Funktion auf den Stack zu legen und
- function_epilog() überprüft die
- Integrität des Canaries beim Beenden der
- Funktion. Jeder Versuch, die Rücksprungadresse
- zu ändern, wird daher erkannt, bevor die
- Funktion zurückkehrt."</para>
- </blockquote>
- </para>
+ <para>ProPolice ist eine solche Compiler-Eigenschaft und ist in den
+ &man.gcc.1; Versionen 4.1 und höher integriert. Es ersetzt und
+ erweitert die &man.gcc.1; StackGuard-Erweiterung von
+ früher.</para>
+
+ <para>ProPolice schützt gegen stackbasierte
+ Pufferüberläufe und andere Angriffe durch das Ablegen von
+ Pseudo-Zufallszahlen in Schlüsselbereichen des Stacks bevor es
+ irgendwelche Funktionen aufruft. Wenn eine Funktion beendet wird,
+ werden diese <quote>Kanarienvögel</quote> überprüft
+ und wenn festgestellt wird, dass diese verändert wurden wird das
+ Programm sofort abgebrochen. Dadurch wird jeglicher Versuch, die
+ Rücksprungadresse oder andere Variablen, die auf dem Stack
+ gespeichert werden, durch die Ausführung von Schadcode zu
+ manipulieren, nicht funktionieren, da der Angreifer auch die
+ Pseudo-Zufallszahlen unberührt lassen müsste.</para>
<indexterm><primary>Puffer-Überlauf</primary></indexterm>
- <para>Ihre Anwendungen mit StackGuard neu zu kompilieren ist
+ <para>Ihre Anwendungen mit ProPolice neu zu kompilieren ist
eine effektive Maßnahme, um sie vor den meisten
Puffer-Überlauf-Angriffen zu schützen, aber die
Programme können noch immer kompromittiert werden.</para>
@@ -450,7 +419,7 @@
</sect1>
<sect1 id="secure-chroot">
- <title>Die Umgebung ihres Programme einschränken</title>
+ <title>Die Umgebung ihrer Programme einschränken</title>
<indexterm><primary>chroot()</primary></indexterm>
@@ -468,8 +437,8 @@
aus der chroot-Umgebung ausbrechen kann, wenn er root-Rechte
besitzt. Das kann man erreichen, indem man Gerätedateien
anlegt, um Kernel-Speicher zu lesen, oder indem man einen
- Debugger mit einem Prozess außerhalb seines
- Gefängnisses verbindet, oder auf viele andere
+ Debugger mit einem Prozess außerhalb seiner
+ &man.chroot.8;-Umgebung verbindet, oder auf viele andere
kreative Wege.</para>
<para>Das Verhalten des Systemaufrufs
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-cvs-doc" in the body of the message
Received on Mon 01 Jun 2009 - 23:26:43 CEST