OSS Message Pedia

Using x86 segment limits to approximate...


Contents (mid:59510) code link

look it up!

Message

Using x86 segment limits to approximate NX protection

Arguments

Description

x86のセグメントにあるリミット機能を使用してNX(No eXecute)保護機能をエミュレートする。XDビットが無効な時に表示されるメッセージである。XDビットが有効の場合は本メッセージが表示されない。

1. Exec_ShieldはIngo Molnar氏によって32ビット x86プロセッサ用に開発されたNX機能をエミュレートするパッチである。実行コードがコードセグメント(Code Segment)の上限値を超えるかどうかをチェックすることによりNX機能をエミュレートする。RedHat及びRedHatをベースとしたいくつかのディストリビューションのカーネルにはこのパッチが当っているが、Linuxのメーンストリームには取り入れられていない。exec_shieldを/proc/sys/kernel/exec-shieldや/proc/sys/kernel/exec-shield-randomizeの内容を変更することによってセキュリティレベルの変更が可能である。詳細はに掲載されている:

http://www.jp.redhat.com/support/manuals/RHEL3_RELEASE-NOTES-U3-ja.html

2. AMD社及びインテル社はNX機能をそれぞれプロセッサにXDビット(eXecute Disable bit)、NXビット(No eXecute bit)にて実装した。インテル系プロセッサのNX機能はPAE(Page Address Extension)を有効にし且つカーネル側でCONFIG_X86_PAE=yでなければならない。上記の条件が満たすとカーネルが起動時にプロセッサのPTE(Page Table Entry)のの64ビット目のNXビットをセットし、ハードウエアのNX機能によりページの保護を行なう。保護されるページにはデータの保存だけが有効となる。そこから命令を実行しようとするとプロセッサがページフォルト(Page Fault)を発生し実行を中断し、問題のプロセスにSIGKILLシグナルが送信される仕組になる。これにより悪意を持ったプログラムからバッファオーバーフロー攻撃を免かれる。

Category

警告(Warning)

Action

警告状態ではあるが、対応の必要はなし。

Misc

Example

Using x86 segment limits to approximate NX protection
License: GFDL

Message Data

Code:

Original Message

Using x86 segment limits to approximate NX protection

Environment:

  • Distribution Red Hat Enterprise Linux AS release 4
  • Config all

Contents:

  • Author: papaya
  • Update on: 2007-02-21 12:38:19

Search Another:

  • 2.6.9-34.EL Red Hat Enterprise Linux AS release 4にある、同様のメッセージを検索します
  • 2.6.18-308.EL5 CentOS 5.8 x86-64 (kernel-2.6.18-308.11.1.el5)にある、同様のメッセージを検索します
  • 2.6.32-279.EL6 CentOS 6.3 x86-64 (kernel-2.6.32-279.el6)にある、同様のメッセージを検索します