搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統(tǒng)消息
      • 評(píng)論與回復(fù)
      VIP于 到期 續(xù)費(fèi)
      登錄后你可以
      • 下載海量資料
      • 學(xué)習(xí)在線課程
      • 觀看技術(shù)視頻
      • 寫文章/發(fā)帖/加入社區(qū)
      會(huì)員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動(dòng)

      完善資料讓更多小伙伴認(rèn)識(shí)你,還能領(lǐng)取20積分哦,立即完善>

      3天內(nèi)不再提示

      Linux內(nèi)核漏洞精準(zhǔn)檢測

      禿頭也愛科技 ? 來源:禿頭也愛科技 ? 作者:禿頭也愛科技 ? 2022-10-13 15:44 ? 次閱讀

      Linux內(nèi)核結(jié)構(gòu)

      Linux內(nèi)核由七個(gè)部分構(gòu)成,每個(gè)不同的部分又有多個(gè)內(nèi)核模塊組成,結(jié)構(gòu)框圖如下:

      IMG_256

      Linux裁剪場景分析:

      通過分析Linux內(nèi)核源代碼可以看到不同目錄中存放著不同模塊的實(shí)現(xiàn)代碼,同時(shí)在編譯時(shí)可以config中配置的信息來控制哪些模塊編譯到最終的二進(jìn)制中,哪些模塊被裁剪掉,比如以IPV6模塊為例,控制該模塊的配置名稱為CONFIG_IPV6,如果該配置項(xiàng)為設(shè)置為y,則表示該功能模塊未被編譯到最終的二進(jìn)制文件中,如下所示:

      IMG_257

      如果該功能模塊被裁剪了,即使該漏洞沒有被補(bǔ)丁修復(fù),那么該功能模塊中存在的漏洞在二進(jìn)制中也是不受影響的,因此和IPV6相關(guān)的漏洞在漏洞檢測時(shí)就應(yīng)該在報(bào)告中明顯的標(biāo)識(shí)出不受該漏洞的影響,如CVE-2013-0343(Linux kernel 3.8之前版本內(nèi)的net/ipv6/addrconf.c中的函數(shù) ipv6_create_tempaddr沒有正確處理IPv6臨時(shí)地址生成問題,可允許遠(yuǎn)程攻擊者通過 ICMPv6 Router Advertisement (RA) 消息,造成拒絕服務(wù),然后獲取敏感信息)。

      業(yè)界二進(jìn)制SCA工具不能檢測的原因分析:

      為什么目前業(yè)界通常的二進(jìn)制SCA工具無法做到精準(zhǔn)檢測,原因是因?yàn)闃I(yè)界二進(jìn)制SCA工具是基于檢測到的開源軟件名稱和版本號(hào)來關(guān)聯(lián)出已知漏洞清單的,而這種通過裁剪功能模塊的方法來應(yīng)用Linux內(nèi)核,開源軟件名稱和版本號(hào)是不會(huì)改變的,因此工具就無法精準(zhǔn)的檢測出來了。

      二進(jìn)制SCA工具如何實(shí)現(xiàn)該功能:

      要實(shí)現(xiàn)Linux內(nèi)核裁剪場景下的已知漏洞精準(zhǔn)檢測,二進(jìn)制SCA工具必須在原來檢測開源軟件名稱和版本號(hào)的基礎(chǔ)上,需要實(shí)現(xiàn)更新細(xì)顆粒度的檢測技術(shù),基于源代碼文件顆粒度、函數(shù)顆粒度的檢測能力,從而實(shí)現(xiàn)裁剪場景下已知漏洞的精準(zhǔn)檢測,即可以知道哪些代碼被編譯到最終的二進(jìn)制文件中,哪些代碼沒有參與編譯。同時(shí)漏洞庫也必須實(shí)現(xiàn)對(duì)細(xì)顆粒維度的支持,即漏洞信息必須精準(zhǔn)定位是由哪些文件和函數(shù)中的代碼片段引入的。

      以CVE-2013-0343為例,通過分析漏洞描述信息和Linux內(nèi)核源代碼,可以獲取到該漏洞和下面這些位置代碼相關(guān)的定位信息:

      "CVE-2013-0343" : {

      "net/ipv6/addrconf.c" : [

      “addrconf_add_ifaddr”,

      “addrconf_dad_begin”,

      “addrconf_dad_stop”,

      “addrconf_dad_work”,

      “addrconf_del_ifaddr”,

      “addrconf_prefix_rcv”,

      “addrconf_verify_rtnl”,

      “addrconf_verify_work”,

      “inet6_addr_add”,

      “inet6_addr_del”,

      “inet6_addr_modify”,

      “inet6_rtm_deladdr”,

      “inet6_rtm_newaddr”,

      “inet6_set_iftoken”,

      “inet6_set_link_af”,

      “ipv6_create_tempaddr”,

      “manage_tempaddrs”

      ]

      }

      基于如果引入漏洞的源代碼沒有參與編譯出二進(jìn)制,那么編譯出來的二進(jìn)制也就是不存在該漏洞的原理;因此只要二進(jìn)制SCA工具能檢測出上述位置的源代碼沒有參與編譯出最終的vmlinux二進(jìn)制文件,那么此vmlinux文件就不受CVE-2013-0343漏洞的影響。

      總結(jié):

      二進(jìn)制SCA工具要想更好的輔助安全人員實(shí)現(xiàn)安全審計(jì)、降低漏洞檢測的誤報(bào)率,必須向更細(xì)顆粒度的檢測維度發(fā)展,而不僅僅停留在開源軟件的層面,同時(shí)對(duì)漏洞庫的要求也需要向細(xì)顆粒度的精準(zhǔn)信息提出的挑戰(zhàn)。

      審核編輯:湯梓紅

      聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請(qǐng)聯(lián)系本站處理。 舉報(bào)投訴
      • 二進(jìn)制
        +關(guān)注

        關(guān)注

        2

        文章

        804

        瀏覽量

        42177
      • Linux
        +關(guān)注

        關(guān)注

        87

        文章

        11469

        瀏覽量

        212917
      • SCA
        SCA
        +關(guān)注

        關(guān)注

        1

        文章

        37

        瀏覽量

        12123
      收藏 0人收藏

        評(píng)論

        相關(guān)推薦
        熱點(diǎn)推薦

        Linux內(nèi)核內(nèi)存泄漏怎么辦

        Linux內(nèi)核開發(fā)中,Kmemleak是一種用于檢測內(nèi)核中內(nèi)存泄漏的工具。
        發(fā)表于 07-04 11:04 ?966次閱讀

        淺析Linux系統(tǒng)開源漏洞檢測工具

        jSQL是一款輕量級(jí)安全測試工具,可以檢測SQL注入漏洞。它跨平臺(tái)(Windows, Linux, Mac OS X, Solaris)、開源且免費(fèi)。
        發(fā)表于 07-23 07:21

        Linux內(nèi)核教程

        本章學(xué)習(xí)目標(biāo)掌握LINUX內(nèi)核版本的含義理解并掌握進(jìn)程的概念掌握管道的概念及實(shí)現(xiàn)了解內(nèi)核的數(shù)據(jù)結(jié)構(gòu)了解LINUX內(nèi)核的算法掌握
        發(fā)表于 04-10 16:59 ?0次下載

        Linux內(nèi)核配置系統(tǒng)詳解

        隨著 Linux 操作系統(tǒng)的廣泛應(yīng)用,特別是 Linux 在嵌入式領(lǐng)域的發(fā)展,越來越多的人開始投身到 Linux 內(nèi)核級(jí)的開發(fā)中。面對(duì)日益龐大的 L
        發(fā)表于 11-01 15:45 ?4次下載

        Linux內(nèi)核提權(quán)攻擊研究

        提權(quán)攻擊是針對(duì)Linux系統(tǒng)的一種重要攻擊手段。根據(jù)提權(quán)攻擊所利用的漏洞類型,一般可將其分為應(yīng)用層提權(quán)攻擊和內(nèi)核提權(quán)攻擊。現(xiàn)有的防御技術(shù)已經(jīng)能夠防御基本的應(yīng)用層提權(quán)攻擊,但是并不能完全防御內(nèi)核
        發(fā)表于 11-24 11:46 ?0次下載
        <b class='flag-5'>Linux</b><b class='flag-5'>內(nèi)核</b>提權(quán)攻擊研究

        基于符號(hào)執(zhí)行技術(shù)實(shí)現(xiàn)的驅(qū)動(dòng)程序的漏洞檢測

        的思路,提出了一種基于符號(hào)執(zhí)行技術(shù)實(shí)現(xiàn)的驅(qū)動(dòng)程序模擬環(huán)境,可以用于分析和檢測Linux設(shè)備驅(qū)動(dòng)程序中存在的安全漏洞。該環(huán)境通過模擬內(nèi)核提供給驅(qū)動(dòng)程序的服務(wù)接口,使驅(qū)動(dòng)程序可以在應(yīng)用層進(jìn)
        發(fā)表于 12-05 16:06 ?0次下載
        基于符號(hào)執(zhí)行技術(shù)實(shí)現(xiàn)的驅(qū)動(dòng)程序的<b class='flag-5'>漏洞</b><b class='flag-5'>檢測</b>

        如何修復(fù)Linux內(nèi)核存在的TCP漏洞?

        卡內(nèi)基梅隆大學(xué)的 CERT/CC 發(fā)出警告,稱 Linux 內(nèi)核 4.9 及更高版本中有一個(gè) TCP 漏洞,該漏洞可使攻擊者通過極小流量對(duì)系統(tǒng)發(fā)動(dòng) DoS (Denial-of-Ser
        的頭像 發(fā)表于 08-10 11:15 ?3767次閱讀

        linux內(nèi)核是什么_linux內(nèi)核學(xué)習(xí)路線

        Linux內(nèi)核是一個(gè)操作系統(tǒng)(OS)內(nèi)核,本質(zhì)上定義為類Unix。它用于不同的操作系統(tǒng),主要是以不同的Linux發(fā)行版的形式。Linux
        發(fā)表于 09-16 15:49 ?2796次閱讀

        linux內(nèi)核參數(shù)設(shè)置_linux內(nèi)核的功能有哪些

        本文主要闡述了linux內(nèi)核參數(shù)設(shè)置及linux內(nèi)核的功能。
        發(fā)表于 09-17 14:40 ?1494次閱讀
        <b class='flag-5'>linux</b><b class='flag-5'>內(nèi)核</b>參數(shù)設(shè)置_<b class='flag-5'>linux</b><b class='flag-5'>內(nèi)核</b>的功能有哪些

        谷歌和英特爾警告Linux內(nèi)核都存在高嚴(yán)重性藍(lán)牙漏洞

        谷歌和英特爾警告說,除了最新版本的Linux內(nèi)核外,其他所有版本的Linux內(nèi)核都存在高嚴(yán)重性藍(lán)牙漏洞。谷歌的一位研究人員表示,該
        的頭像 發(fā)表于 10-16 17:00 ?2263次閱讀

        最硬核的Linux內(nèi)核文章

        來源 :頭條號(hào)@Linux學(xué)習(xí)教程,冰凌塊兒 01 前言 本文主要講解什么是Linux內(nèi)核,以及通過多張圖片展示Linux內(nèi)核的作用與功能,
        的頭像 發(fā)表于 10-19 17:46 ?2310次閱讀
        最硬核的<b class='flag-5'>Linux</b><b class='flag-5'>內(nèi)核</b>文章

        快速理解什么是Linux內(nèi)核以及Linux內(nèi)核的內(nèi)容

        01 前言 本文主要講解什么是Linux內(nèi)核,以及通過多張圖片展示Linux內(nèi)核的作用與功能,以便于讀者能快速理解什么是Linux
        的頭像 發(fā)表于 10-21 12:02 ?4503次閱讀
        快速理解什么是<b class='flag-5'>Linux</b><b class='flag-5'>內(nèi)核</b>以及<b class='flag-5'>Linux</b><b class='flag-5'>內(nèi)核</b>的內(nèi)容

        騰訊安全披露多個(gè)0day漏洞,Linux系統(tǒng)或陷入“被控”危機(jī)

        資源、數(shù)據(jù)和業(yè)務(wù)都將為攻擊者所掌控。 騰訊安全對(duì)此發(fā)布中級(jí)安全風(fēng)險(xiǎn)預(yù)警,已按照Linux社區(qū)規(guī)則公開披露了其攻擊路徑,并建議Linux用戶密切關(guān)注最新安全更新。 通過對(duì)漏洞攻擊路徑的分析發(fā)現(xiàn),此類
        的頭像 發(fā)表于 11-04 17:17 ?2701次閱讀

        Linux 5.10.5內(nèi)核正式發(fā)布

        1月6日,Linux基金會(huì)宣布,Linux 5.10.5內(nèi)核正式發(fā)布,所有5.10內(nèi)核系列的用戶都必須升級(jí)。
        的頭像 發(fā)表于 01-07 14:36 ?2785次閱讀

        內(nèi)核程序漏洞介紹

        電子發(fā)燒友網(wǎng)站提供《內(nèi)核程序漏洞介紹.pdf》資料免費(fèi)下載
        發(fā)表于 08-12 09:38 ?0次下載

        電子發(fā)燒友

        中國電子工程師最喜歡的網(wǎng)站

        • 2931785位工程師會(huì)員交流學(xué)習(xí)
        • 獲取您個(gè)性化的科技前沿技術(shù)信息
        • 參加活動(dòng)獲取豐厚的禮品