On Mon, Oct 07, 2019 at 09:12:15PM +0300, Andrey Savchenko wrote:
> Добрый вечер!
> 
> Я выполнил анализ sisyphus x86_64 на предмет наличия исполняемых
> файлов и библиотек с исполняемым стеком. Их оказалось не так уж
> мало, см. приложенный файл в формате repo pkg file.
> 
> Анализ делался скриптом check.sh из
> http://git.altlinux.org/people/bircoph/public/execstack.git
> Так что легко проверить и другие архитектуры и репозитории.

У нас есть специальная проверка во время сборки на эту тему,
в логе сборки это выглядит так:
verify-elf: WARNING: ./sbin/nologin: found executable STACK entry:   GNU_STACK      0x000000 0x0000000000000000 0x0000000000000000 0x000000 0x000000 RWE 0x10

> Главный вопрос: какая у нас вообще политика в отношении таких
> пакетов? Мы считаем это допустимым или всё же стараемся устранить?
> На мой взгляд нужно предметно разобрать указанные пакеты
> и избавиться от исполняемого стека везде, где возможно.

Я согласен, executable STACK следует считать исключением,
каждый случай которого подлежит разбору.

Для начала можно снизить уровень проверки verify_elf, на котором
executable stack считается ошибкой, с нынешнего stack=strict до
stack=normal.


-- 
ldv