Xz : pouvez-vous trouver l’unique caractère qui a neutralisé Landlock sous Linux ?

 (git.tukaani.org)
1 points par GN⁺ 2024-03-31 | 1 commentaires | Partager sur WhatsApp

Correction du test de la fonctionnalité Landlock sous Linux

  • Correction, dans la configuration de build de XZ Utils, du test de la fonctionnalité Landlock sous Linux pour les systèmes de build Autotools et CMake.
  • Sur certains systèmes, le fichier d’en-tête linux/landlock.h existe, mais les appels système nécessaires pour utiliser réellement Landlock ne sont pas définis.
  • Pour résoudre ce problème, une vérification à la compilation a été ajoutée afin de confirmer que la fonctionnalité Landlock est réellement disponible.

Avis de GN⁺

  • Landlock est l’une des fonctionnalités de sécurité du noyau Linux ; elle renforce la sécurité en limitant l’accès d’un processus aux ressources. Tester correctement ce type de fonctionnalité est important pour préserver la sécurité du système.
  • Le problème mentionné dans l’article peut être vu comme un exemple de souci de compatibilité lié à la diversité des systèmes Linux. C’est un problème fréquent dans le développement de logiciels open source, et les développeurs doivent continuellement travailler à le résoudre.
  • Cet article rappelle aux développeurs l’importance de tester la disponibilité réelle de certaines fonctionnalités système. C’est particulièrement crucial lorsqu’il s’agit de fonctionnalités liées à la sécurité.
  • Parmi les autres projets offrant des fonctionnalités similaires, on peut citer AppArmor et SELinux du noyau Linux, qui servent eux aussi à renforcer la sécurité du système.
  • Lors de l’adoption d’une technologie, il faut examiner attentivement la compatibilité du système et trouver un équilibre entre le renforcement de la sécurité apporté par l’activation de fonctionnalités comme Landlock et les problèmes potentiels de compatibilité.

À lire aussi

1 commentaires

 
GN⁺ 2024-03-31
Avis Hacker News

  • Préoccupations concernant un commit récent

    • Un utilisateur souligne qu’un commit récent aggrave le signalement des problèmes de sécurité.
    • Un autre utilisateur fournit un lien vers le commit concerné et propose ainsi une piste de solution.

  • Explication du système de contrôle d’accès Landlock de Linux

    • Pour les personnes peu familières avec Landlock, un lien vers la documentation du système est fourni.

  • Page officielle de réponse à l’incident xz

    • Un lien vers la page officielle de réponse concernant la porte dérobée de xz est fourni.

  • Confusion causée par de la poussière sur l’écran

    • Un utilisateur raconte qu’en examinant le tout attentivement, il a repéré un point là où il n’aurait pas dû y en avoir.
    • En touchant l’écran et en voyant le point bouger, il s’est rendu compte qu’il s’agissait de poussière sur le moniteur.

  • Jeu de données d’entraînement IA pour identifier des problèmes de sécurité

    • Un commentaire indique qu’une équipe malware a constitué un jeu de données utile pour entraîner une IA à repérer des problèmes de sécurité.
    • Tous les commits contiennent des problèmes de sécurité, et la communauté open source les identifiera.

  • Question sur la raison de désactiver Landlock dans xz

    • Un utilisateur se demande si l’objectif était d’injecter quelque chose de malveillant dans l’archive xz, ou bien d’introduire une activité malveillante dans xz lui-même.

  • Inquiétudes sur les maillons faibles de la sécurité système

    • Un commentaire estime que la sécurité du système repose sur plusieurs chaînes de validité, et que divers éléments auraient pu empêcher cela.
    • Il s’interroge sur l’utilité d’un fichier d’en-tête s’il ne déclare pas la fonction réelle.

  • Nécessité de vérifier la sécurité des blobs binaires

    • Un utilisateur souligne l’absence d’un test unique permettant de vérifier que les blobs binaires compilés en open source restent sûrs.
    • Il estime qu’il faut donner la priorité à la stabilité plutôt qu’à l’ajout de fonctionnalités.

  • Importance des merge requests (MR) et des tests

    • Un commentaire exprime l’attente que les merge requests soient accompagnées de tests montrant qu’elles réalisent bien la fonctionnalité annoncée.
    • Il s’interroge sur la manière de vérifier par test que Landlock est activé.

  • Spéculations sur la stratégie de porte dérobée

    • Certains se demandent s’il y avait l’intention d’ajouter davantage de portes dérobées, et si celles-ci auraient pu paraître plus plausibles.

  • Proposition d’options de build pour les fonctionnalités optionnelles

    • Trois options de build sont proposées : activation forcée, activation si possible, désactivation forcée.

  • Confusion autour d’un diff de code

    • Un utilisateur se demande s’il y avait une erreur de syntaxe intentionnelle dans le code détectant, avec cmake, si la fonctionnalité était activée.