Prevención de ataques de desbordamiento del búfer en la pila

La transmisión de grandes cantidades de datos a un programa recibe el nombre de ataque de desbordamiento del búfer en la pila. Normalmente, los datos contienen comandos que consiguen engañar al programa para que los ejecute. Estos ataques se emplean para obtener acceso no autorizado al sistema, destruir o modificar datos, o causar la denegación de servicio a usuarios válidos.

Para controlar los ataques de desbordamiento del búfer en la pila, observe si se producen los siguientes cambios:

Para evitar ataques de desbordamiento del búfer en la pila:

El parámetro optimizable executable_stack del kernel permite impedir que un programa ejecute código de su pila. Esto salvaguarda el sistema contra la transmisión por parte de un intruso de datos no válidos a un programa, lo que haría que el programa ejecutara un código arbitrario desde su pila de programa.

El parámetro optimizable executable_stack del kernel habilita o deshabilita globalmente la protección contra el desbordamiento del búfer en la pila. El valor 0 (cero) hace que no se puedan ejecutar las pilas y es el valor preferido por motivos de seguridad. Por defecto, a efectos de compatibilidad retroactiva, el parámetro optimizable executable_stack se define en 1, lo que permite la ejecución de las pilas y, por lo tanto, no se aplica protección. Utilice la interface HP SMH o el comando kmtune para cambiar el valor del parámetro optimizable executable_stack.

Otra forma más de aplicar la protección contra el desbordamiento del búfer en la pila consiste en utilizar la opción +es del comando chatr. Por ejemplo, si executable_stack se define en cero, pero un programa en efecto necesita ejecutar su pila, utilice el siguiente comando chatr para permitir la ejecución de la pila de ese programa:

# chatr -es enable programa

Para obtener más información, consulte las páginas de manual de chatr(1), kmtune(1M) y executable_stack(5).