Sinalizadores de compilador protegidos VS patches de segurança automáticos?

Navegue suas respostas
2

Percebi que alguns componentes selecionados do software no repositório Long Term Support do meu sistema operacional não foram compilados com PIE ou ligação imediata (por exemplo).

Na opinião de quem está aqui no serverfault, seria mais seguro recompilar esses softwares selecionados, usando sinalizadores e recursos de segurança no GCC? Ou é mais importante manter o software tão atualizado quanto possível do repositório upstream, confiando nas suas decisões quando eles compilam o pacote ?

É claro que "both" é provavelmente a resposta preferida. Mas realisticamente , e a única razão pela qual eu ainda não tentei recompilação de aplicativos de missão crítica, é que eu teria que colocar posteriormente custom build Pacotes DEB em espera (dentro do gerenciador de pacotes) para que compilações personalizadas não sejam sobrescritas por uma atualização de pacote futura sem o meu conhecimento.

Dessa forma, eu teria que avaliar a importância ou a segurança relacionada à atualização. se necessário, reconstrua a partir do código-fonte, empacote e instale a referida atualização -

Simplificando, o benefício da compilação personalizada supera o benefício de patches de segurança sob demanda? alguma sugestão?

e em uma nota lateral ; é o mantenedor de pacotes tipicamente responsável por compilar com certos flags de segurança habilitados (como o PIE)? ou isso tipicamente feito ao capricho do repositório upstream (I.E o Debian / Ubuntu Distro Maintainers)? isso deve influenciar minha decisão?

    
por RapidWebs 23.06.2014 / 07:16

1 resposta

1

É um Meta de Lançamento para que o Projeto Debian "atualize o máximo de pacotes possível para usar sinalizadores de compilação de proteção de segurança via dpkg-buildflags ". Quando esta tarefa será concluída, não é indicado no seu wiki. Então, para responder a uma de suas perguntas, essa é uma decisão tomada no nível da distribuição, que os mantenedores precisam implementar. No caso do Debian, como você sabe, mantenedores são voluntários.

Se esta é uma preocupação de segurança pura, você também pode contatar os mantenedores desses pacotes, ou preencher um relatório de bug contra eles, de preferência fornecendo um patch.

Se essa for uma decisão de negócios, você precisará levar em conta o tempo investido na recompilação, empacotamento e distribuição desses softwares até que eles sejam corrigidos em sua distribuição ou use outra distribuição que já tenha implementado essas medidas de segurança .

    
por 23.06.2014 / 09:04

Tags

pfSense no VMWare não pode acessar o controle da Web Não é possível reiniciar o serviço mysql depois de obter o Error 2002 Não é possível conectar-se ao servidor mysql local