Frequently Asked Questions

Linuxカーネルには、毎年約120の公共の脆弱性(CVE番号付き)があります。メモリ破損の軽減は、利用前段階、利用段階、および利用後段階の 3 つの段階に分かれて実行できます。VEDは後の2つに重点を置いており、搾取前の段階については何もできません。MITREのCVE + Ubuntuセキュリティトラッカー+パブリックPoCから多数の脆弱性のあるものに対する多くのエクスプロイトテクニックを評価しました。私たちの評価率は、パブリックPoC /エクスプロイトよりも優れていますが、Ubuntuセキュリティトラッカーよりも低くなっています。VEDの現在のメインラインの開発とテストは、Linuxカーネルv4.19とv5.15に基づいています。一部のユーザーは、まだCentOS 7.x(v3.10)でVEDを実行しています。

新しい攻撃方法に対する保護機能の開発を続けています。

はい、攻撃者がコンテナを足がかりとして使用し、Linuxカーネル(CVE-2021-22555など)で攻撃を開始してホストを制御しようとした場合。

VED は、小規模な plt (CPU 集中型) テストでのパフォーマンスへの影響の 1% 未満ですが、I/O を集中的に使用するシナリオでは 30% を超える可能性があります。

はい。

VED は kprobe/ftrace を使用してフックメカニズムを実装します。Debian はデフォルトで AppArmor を有効にし、CentOS はデフォルトで SELinux を有効にします。VED は Debian と CentOS と完璧に連携します。VED は、クラウドネイティブの監査目的でフル機能の LKM バージョンと eBPF バージョンを提供しており、後者はフックを介して実装する必要はありません。

x86_64とアーム64。Arm64 は AWS Gratiton2 (armv8.2) および Raspberry 4 (armv8.0) でのみ使用されます。

VEDはSuSE、RedHat、PaX/GRsecurityと同じオープンソースサブスクリプションモデルを使用しています。つまり、HardenedVaultはお客様とオープンソースサブスクリプション契約に署名し、その中には、1)HardenedVaultがVEDコードを顧客と共有します2)お客様が契約に違反した場合、HardenedVaultはサービスを終了します。しかし、お客様が受け取ったソースコードはまだGPLです。

オープンソースのサブスクリプション条件は似ていますが、Apacheライセンス2.0に基づくVaultFuzzerなど、すべての製品がGPLに基づいているわけではありません。